今こそ知るべき、生成AIアプリ特有のセキュリティ対策アプローチ──数百万人の調査から判明した脅威とは

拡大する生成AIの実務活用、一方で数多の情報漏えいリスクが……

　急速に進化を続ける生成AI。クラウドサービスのベンダーは、自社のサービスに続々と生成AI機能を搭載している。事業会社の中でも、業務アプリケーションへの生成AI実装が進みつつある。目的や業種・業界に特化した新サービスの登場や、内部の性能強化など、その技術動向からは目が離せない。

　Netskopeは、企業におけるAIクラウドサービスの活用状況に関する調査レポートを公表した。調査期間は2023年から約1年間。事前に了承を得た世界のNetskopeユーザーおよそ数百万人の匿名データから分析した結果となる。

　まずは、直近で人気の生成AIアプリ“トップ10”を見てみよう。1位は、生成AIアプリの代名詞とも言える「ChatGPT」。回答企業の80％が利用している。2位は英文校正ツールの「Grammarly」（60％）、3位は急伸が著しい「Microsoft Copilot」（57％）、4位には「Google Gemini」（51％）が並ぶ。

　回答企業のうち、半数以上が利用しているアプリはすべてメジャーなものだといってよいだろう。また、調査期間の過去13ヵ月における生成AIアプリの利用者数の推移を見ると、着実に増えていることがわかる。特に2024年春ごろから勢いが加速している。

　生成AIが個人の生産性にもたらすメリットは大きい。これは間違いないだろう。しかし、組織全体からの視点で見ればリスクもある。同社の田中資子氏は、組織視点でのリスクについて、大きく「生成AIアプリへのデータ入力時に関するもの」と、「出力結果の利用時に関するもの」に分けられると話す。

　まずは、データ入力時に関するもの。たとえば、誰かが会社で非公認の生成AIアプリを利用することや、個人情報・シークレット・営業秘密・著作権などの漏えいしてはならないデータを生成AIアプリに入力してしまうなどのリスクがある。対策としては、組織全体で利用する生成AIアプリを限定して、それ以外は制限することや、疑わしいデータ利用を検出できる仕組みを構築すること、さらにはユーザーのリテラシーを向上するためのトレーニングを実施することなどが挙げられる。

　次に、出力結果の利用時に関するもの。これには、誤情報やハルシネーションなど正確性の問題や、著作権侵害など合法性の問題、あるいは人間の仕事が生成AIに置き換わるなど解雇のリスク、さらにはフィッシングやディープフェイクなど、ソーシャルエンジニアリングに悪用されるリスクなどが挙げられる。これらすべてに対策を打つことは簡単ではないが、生成AIアプリ利用時の目的や運用ルールを統制すること、職務の明確化、加えてフィッシング対策や、データ監査・追跡などを検討していくことが考えられる。

　実際、企業ではどのようなDLP（データ損失防止）違反が生じているのか。生成AIアプリにアップロードまたはポストされたデータで、DLP違反として検出されたものを見てみると、現時点で最も高い割合を占めるのは「ソースコード」で、全体の約半分を占めている。社内で生成AIの実務活用がいち早く進んでいるのが、アプリケーション開発の現場である場合が多いためかもしれない。他には、業界規制やコンプライアンス要件による規制対象データが35％、知的財産関連が15％となっている。田中氏は、「生成AIアプリの出現で情報規制対象が増え、ユーザートレーニングの重要性がますます高まっている」と指摘する。