近年、ChatGPTをはじめとする生成AIの目覚ましい進化により、ビジネスにおけるAI活用は加速の一途を辿っています。業務効率化、データ分析、顧客対応など、AIがもたらす恩恵は計り知れません。しかし、その一方で、AI活用には新たなセキュリティリスクがつきまといます。機密情報の漏洩、不正アクセス、マルウェア感染、プロンプトインジェクションなど、様々な脅威から組織を守るためには、適切なセキュリティ対策が不可欠です。

本記事では、AIをセキュアに活用するために有効なセキュリティソリューションである「SWG（Secure Web Gateway）」と「CASB（Cloud Access Security Broker）」に焦点を当て、その役割と具体的な対策について解説します。

AI活用における新たなセキュリティリスク

AIを活用する際、どのようなセキュリティリスクが考えられるでしょうか。主なリスクは以下の通りです。

• 機密情報の漏洩:
  • プロンプトへの機密情報入力: AIモデルへの入力（プロンプト）に、顧客情報、社内機密、個人情報などが意図せず含まれてしまい、AIサービス提供者のサーバーに保存されたり、学習データとして利用されたりするリスク。
  • AI生成コンテンツからの情報漏洩: AIが生成したコンテンツに、外部に公開すべきではない情報が含まれてしまうリスク。
• 不正アクセス・なりすまし:
  • AIサービスのアカウント乗っ取り: AIサービスのアカウントが乗っ取られ、不正に利用されるリスク。
  • AIを悪用したフィッシング詐欺・マルウェア拡散: AIが生成した巧妙なフィッシングメールやマルウェア感染ファイルによって、従業員が騙されるリスク。
• シャドーITのリスク増大:
  • 従業員が企業の許可なく個人でAIサービスを利用することで、企業が利用状況を把握できず、セキュリティポリシーが適用されない「シャドーIT」が拡大するリスク。
• プロンプトインジェクション:
  • 悪意のあるプロンプトによってAIモデルの動作を不正に制御し、機密情報の引き出しや不正なコンテンツ生成を試みる攻撃。

これらのリスクから組織を守るためには、従来のセキュリティ対策に加え、AI活用に特化した対策を講じる必要があります。そこで重要となるのがSWGとCASBです。

SWG（Secure Web Gateway）とは？

SWGは、企業ネットワークとインターネットの間に位置し、ウェブトラフィックを監視・制御するセキュリティソリューションです。従業員がウェブサイトにアクセスする際に、SWGを経由することで、マルウェア感染、フィッシング詐欺、不適切なコンテンツへのアクセスなどを防ぎます。

AI活用におけるSWGの主な役割は以下の通りです。

• AIサービスへのアクセス制御:
  • 企業が許可していないAIサービスへのアクセスをブロックしたり、特定のAIサービスのみアクセスを許可したりすることで、シャドーITを抑制します。
  • 利用を許可するAIサービスのURLをホワイトリスト化し、それ以外のAIサービスへのアクセスを遮断することで、情報漏洩のリスクを低減します。
• コンテンツフィルタリング:
  • ウェブトラフィックを検査し、悪意のあるサイトやフィッシングサイトへのアクセスをブロックします。
  • AIサービスからのダウンロードコンテンツにマルウェアが含まれていないかをスキャンします。
• データ損失防止（DLP）連携:
  • SWGでウェブトラフィックを監視し、機密情報を含むデータがAIサービスにアップロードされるのを検知・ブロックすることができます。

CASB（Cloud Access Security Broker）とは？

CASBは、クラウドサービス利用におけるセキュリティを強化するためのソリューションです。企業とクラウドサービスプロバイダーの間に位置し、クラウドアプリケーションへのアクセスを可視化・制御し、セキュリティポリシーを適用します。

AI活用におけるCASBの主な役割は以下の通りです。

• クラウドAIサービスの可視化と制御:
  • 従業員が利用しているSaaS型のAIサービスを特定し、利用状況を可視化します。
  • 許可されていないAIサービスへのアクセスをブロックしたり、利用を制限したりすることで、シャドーITを防止します。
• データ損失防止（DLP）機能:
  • クラウド上のAIサービスにアップロードされるデータや、AIサービスからダウンロードされるデータを監視し、機密情報の含まれるデータが送受信されるのを検知・ブロックします。
  • 例えば、特定のキーワードや正規表現に一致する情報がプロンプトに含まれる場合、AIサービスへの入力をブロックするといった設定が可能です。
• 脅威防御:
  • クラウドAIサービスへの不正アクセスや異常なアクティビティを検知し、アラートを発します。
  • AIサービスに関連するマルウェアや不正なファイルのアップロード・ダウンロードを検知・ブロックします。
• コンプライアンス遵守:
  • クラウドAIサービスの利用状況を記録し、監査ログとして保持することで、GDPRやHIPAAなどの規制要件への準拠を支援します。

SWGとCASBの連携による強力なAIセキュリティ

SWGとCASBは、それぞれ異なる得意分野を持つセキュリティソリューションですが、連携することでより強固なAIセキュリティを実現できます。

• SWG: 主にウェブトラフィック全体を監視し、悪意のあるウェブサイトへのアクセスや基本的なコンテンツフィルタリングを行います。AIサービスへのアクセス制御の第一段階として機能します。
• CASB: クラウドアプリケーションに特化し、より詳細な可視化、データ保護（DLP）、脅威防御を提供します。特にSaaS型AIサービスにおける機密情報保護に強みを発揮します。

両者を組み合わせることで、企業は以下のメリットを享受できます。

1. 多層防御: ウェブアクセス全体をSWGで制御しつつ、CASBでクラウドAIサービスに特化した詳細なセキュリティ対策を施すことで、多層的な防御体制を構築できます。
2. シャドーITの徹底排除: SWGで未許可のAIサービスへのアクセスをブロックし、CASBで既存のクラウドAIサービスの利用状況を可視化・制御することで、シャドーITを効果的に排除できます。
3. より精度の高いDLP: SWGとCASBそれぞれのDLP機能が連携することで、ウェブ上でのデータ流出とクラウドAIサービスからのデータ流出の両方を高精度で検知・防止できます。
4. 包括的なAI利用状況の可視化: 従業員がどのようなAIサービスを利用し、どのようなデータを扱っているかを包括的に把握できるようになります。

AIをセキュアに活用するための具体的なSWG/CASB対策

AIをセキュアに活用するためには、以下の具体的な対策を講じることが重要です。

1. AIサービス利用ポリシーの策定と周知:

   • 利用を許可するAIサービスと、禁止するAIサービスを明確にする。
   • AIサービスに入力してよい情報と、入力してはいけない情報を具体的に定める（例：個人情報、顧客情報、社内機密情報の入力禁止）。
   • AIが生成したコンテンツの取り扱いに関するルールを定める。
   • これらのポリシーを従業員に徹底的に周知し、定期的な研修を行う。

2. SWGによるアクセス制御の強化:

   • ホワイトリスト方式の採用: 原則として、企業が承認したAIサービスのみアクセスを許可する。
   • カテゴリフィルタリング: 「生成AI」などのカテゴリで一括ブロック、またはアクセスログの監視を行う。
   • DLP連携: SWGのDLP機能で、機密情報を含むファイルがAIサービスにアップロードされるのを検知・ブロックする。

3. CASBによるクラウドAIサービスの可視化とDLP:

   • 利用状況の可視化: 従業員が利用しているクラウドAIサービスを特定し、利用頻度や利用ユーザーを把握する。
   • DLPポリシーの適用:
     • AIサービスへのプロンプトに機密情報が含まれていないかをリアルタイムでスキャンし、ブロックまたは警告を発する。
     • AIサービスからのダウンロードファイルに機密情報が含まれていないかをチェックする。
     • 特定のキーワード、正規表現、ファイルタイプに基づいたDLPポリシーを設定する。
   • 脅威検知・異常検知: 不審なログイン、大量のデータダウンロードなど、異常なアクティビティを検知し、アラートを発する。

4. 定期的なログ監視と分析:

   • SWGとCASBから収集されるログを定期的に監視し、不審なアクセスやデータ転送がないかを確認する。
   • AIサービスの利用状況を分析し、セキュリティポリシーの見直しや改善に役立てる。

5. 従業員へのセキュリティ教育:

   • AI利用におけるリスクと適切な利用方法について、継続的な教育を実施する。
   • プロンプトインジェクションの危険性や、個人情報を入力しないことの重要性などを具体的に説明する。

まとめ

AIの活用は、ビジネスに大きな変革をもたらす一方で、新たなセキュリティリスクを生み出します。機密情報の漏洩、不正アクセス、シャドーITといった脅威から組織を守るためには、SWGとCASBの導入と適切な運用が不可欠です。