ガートナー、AI時代の情報漏えい対策要素を発表

今回は「ガートナー、AI時代の情報漏えい対策要素を発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 ガートナージャパンは、AIおよび生成AIが台頭する時代に必要だという6つの情報漏えい対策の要素を発表した。同社調査で2023年に情報漏えいが発生した企業は、サイバー攻撃が原因の場合で34.0%、内部関係者が原因の場合では27.7%に上り、セキュリティ部門の57.2%が、AIなどによるデータ活用の拡大に不安を感じていることも分かったという。

 AI時代に必要な情報漏えい対策の要素は次の通り。

 多くの企業が境界型セキュリティ施策を取っていたため、セキュリティ部門やシステムインテグレーターには、データセキュリティについての実務経験者がいないなど、セキュリティの知見がサイバーセキュリティに偏っているような現状が見られる。セキュリティの範囲は広く、サイバーセキュリティに詳しい担当者が必ずしもデータセキュリティに明るいわけではないという点を認識する必要がある。

 実務経験者が少ない企業は、現実性のある運用を想定するのが難しい場合がある。新しい時代の情報漏えい対策の知見を得るために、公開事例に頼らず、先進的な取り組みを行っている企業に自らインタビューを実施するなど、新しい情報収集方法の実践が重要となる。

 企業は、セキュリティの境界を定め、ユーザーは境界の中で、自由にデータにアクセスし、分析できた。しかし、これでは情報を外に持ち出せず、クラウドの利用や外部との共有を思うようにできず、企業が目指すデジタル時代の姿と大きく懸け離れてしまうことになる。境界型セキュリティ、つまり、データ保護をネットワークやシステムといった大きな単位で行うのではなく、ユーザー、データの種類、ユーザーの作業範囲などの小さな単位で暗号化や権限付与を行うことが求められている。

 アクセスできる人や操作できる内容を限定する、情報漏えい対策に向けた過剰なアクセス権の付与をなくすことへ大転換することが重要であり、さらに、これを従業員が生成AIなどを本格利用する前に、大々的に周知することが重要になる。

 情報漏えいで困るのは、経営陣だけではない。ユーザー部門も取引先や顧客の情報には責任があり、何かあった場合には、それを伝える説明責任がある。境界型セキュリティでは企業のセキュリティがインフラセキュリティに大きく依存していたことなどから、情報漏えいの責任が経営、IT/セキュリティ部門にあると誤解しているユーザーが多く存在する。

 セキュリティ部門は、ルールの制定やテクノロジーの評価に責任を持つものの、ビジネスで必要なデータを使う上で、データ保護/アクセス管理を行い、情報が漏えいしないようにする責任がユーザー部門にもあることを今一度周知しておく。

 データの生成、保存の場所、所有者、そのデータの重要度と使用者を示す「データマップ」を作成することが重要になる。作成する際は、どのデータがそのビジネスにとって重要なのか、ユーザーはそのデータを本当に扱う必要があるのかなど、さまざまな観点を踏まえて作成する必要がある。

 データ保護では、データの分類/検出、データ暗号、ファイル保護、権限管理などさまざまな種類のテクノロジーが用いられる。しかし、これらは決して新しいものではなく、これまでにもある。現在は「どのように実装するか」といった点に検討の重心が移動しつつある。評価する際は、機能面だけでなく、「ユーザーにとって使いやすいものなのか」という運用面にも十分な時間を費やすことが重要。また、新しく「データセキュリティポスチャーマネジメント」(Data Security Posture Management)など、リスクの変動を分析できるようなものを検討できるようになっているが、過度に依存し過ぎず冷静に評価する。

 情報漏えい対策に関するルールは、データ分析に用いるツールや取り扱うデータの種類によってさまざま。ユーザーもそうした状況に応じて適切なルールを適用しなければならないが、セキュリティのリテラシーは一定ではない。戦略的な業務や重要なデータを扱う場合は、ユーザーのルールの順守を促進させるために、セキュリティ部門でユーザーのデータの使い方を積極的に理解し、セキュリティマニュアルに、これまで以上にリアリティーを持たせることが肝要となる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
JavaScriptランタイム「Bun」がバージョン1.0に到達へ、9月7日にローンチイベント開催
Bun
2023-08-25 11:45
セキュリティ担当者の6割が業務に満足も7割が転職予定–Trellix調査
IT関連
2022-11-11 02:32
一般人が撮影したネット上の写真から建物を高品質に3D化するGoogleの機械学習技術 :Innovative Tech
トップニュース
2021-01-29 23:20
マイクロソフト、経理部門を自動化する「Copilot for Finance」発表。決算書や未収金などの確認、予実分析などをAIが実行
ERP
2024-03-06 07:35
長期投資で勝つための「景気1サイクル投資」
IT関連
2021-06-29 21:36
八十二銀行、クラウドバックアップで「AvePoint Cloud Backup」を導入
IT関連
2024-09-13 05:01
テクノロジーで難民を支える–ロゼッタストーンと支援団体の取り組み
IT関連
2022-07-13 02:47
Kotlin 2.0正式リリース。新コンパイラ「K2」採用でコンパイル速度が約2倍、マルチプラットフォーム対応も加速へ
Kotlin
2024-05-24 17:44
HDCと日本オラクル、北海道の総合行政情報システムのガバメントクラウド移行に向け連携
IT関連
2024-04-11 05:48
キンドリル、日本法人の新社長を任命–上坂氏はエグゼクティブアドバイザーに就任
IT関連
2024-02-03 22:06
HTTPが全てを飲み込む(中編)~HTTPの上にIPやイーサネットが実装されて便利になること
HTTP
2024-01-18 12:57
フェイスブックがトランプ前大統領の利用を2年間禁止に、有名人の利用禁止措置ルールも変更
ネットサービス
2021-06-06 10:22
Broadcom、シマンテックなどのソフトウェアを「Google Cloud」に移行へ
IT関連
2021-04-15 01:47
中小企業にHRプラットフォームを提供する独Personioが約130億円調達
HRテック
2021-01-20 23:01