Data Loss Prevention:ChatGPTによるデータ漏洩を防止

人工知能(AI)技術の急速な進歩は、職場の生産性と効率性を高める可能性があるとして、ここ数週間で大きな注目を集めました。しかし、このようなAIイノベーションへの注目は、そのような新しい技術に伴うリスクを覆い隠してしまっています。ChatGPTやGoogle BardなどのAIサービスは、サイバー犯罪者が組織に対する攻撃を開発するために使用され始め、これらのサービスがもたらす潜在的なサイバーセキュリティリスクが浮き彫りになっています。しかしながら、ユーザーがこれらのサービスを通して自組織の知的財産 (IP) や機密情報にアクセスして公開することに関連するリスクについては、ほとんど議論されていません。

多くのAIサービスは、ユーザーが送信したデータを学習目的でキャッシュしたり使用したりしないと主張していますが、特にChatGPTに関する最近の事件では、システムの脆弱性が露呈しています。これは、企業の知的財産や応答を伴うユーザー検索プロンプトが公開されたりする可能性があり、組織に重大なリスクをもたらす可能性があります。その結果、企業は、機密データが一般に公開されないように保護しながら、AI サービスをどのように活用できるかについて、ますます懸念を抱いています。このことは、企業がAIサービスに関連するリスクと利点を評価し、機密データを保護するための対策を実施する必要性を強調しています。

こうしたリスクに対処するため、企業はAIサービスによる機密データの流出から保護するための積極的なアプローチを取る必要があります。これには、エンドポイントレベルとネットワークレベルでデータを監視し保護することができるデータ損失防止(DLP)ソリューションの導入が考えられます。さらに、企業はAIサービスに関連するリスク(他のサードパーティサービスと同様)と、機密データを公開することで起こりうる結果について従業員を教育する必要があります。これらのステップを踏むことで、企業は、機密データへの潜在的なリスクを軽減しながら、AIサービスの利点を確実に活用することができます。

AIサービスは組織に大きなメリットをもたらす一方で、サイバーセキュリティ上の潜在的なリスクもはらんでいます。企業はこれらのリスクを慎重に検討し、機密データの漏洩から保護するための対策を講じる必要があります。サイバーセキュリティに対するプロアクティブなアプローチを採用することで、企業は最も貴重な資産を保護しながら、AIサービスの利点を活用することができます。


データ保護対策の重要性

新しい技術にはセキュリティ上のギャップがあり、組織は偶発的または意図的な侵害の影響を受けやすくなる可能性があります。テクノロジーの進化に伴い、企業は機密データを保護するために適切なセキュリティ対策を講じることが極めて重要となっています。Trellixは、サイバーセキュリティ領域での豊富な経験により、潜在的な脅威に対して効果的な保護を提供することに定評があります。

どうして自分の環境でこのようなことが起こるのか、自問自答している人もいるかもしれません。このようなAIサービスがもたらす効率化によって、ユーザーは日常業務でますます活用するようになるでしょう。ユーザーがこれらのサービスを使用して、機密データが予期せず漏洩する可能性がある例をいくつかいくつか挙げてみましょう。

  • 社員が、市場に影響を与える新製品に関する社内会議のメモとアクションアイテムをキャプチャする場合があります。経営陣のためにメモを要約するために、ChatGPTにメモを投稿し、メモから要約を作成するように依頼することがあります。
  • 企業のトップ製品に携わるソフトウェア開発者が、ソースコードをChatGPTにコピー&ペーストして、コードを改善するための推奨事項を依頼する場合があります。
  • エンジニアは、エンドユーザーから提出されたログファイルをChatGPTにコピー&ペーストして、ユーザー名、IPアドレス、システム名などのログをスクラブせずに、根本原因分析レポートを作成するよう依頼する場合があります。

Trellix のデータ損失防止 (DLP) ソリューションは、エンドポイント レベルとネットワーク レベルの両方で組織を監視および保護するように設計されています。この包括的なアプローチにより、新しいテクノロジーが登場しても、機密情報の安全性が確保されます。Trellix の DLP ソリューションを使用すると、組織は最も価値のある王冠を潜在的なセキュリティ侵害から保護することができます。

TrellixのDLP(Data Loss Prevention)ソリューションは、エンドポイントレベルとネットワークレベルの両方で組織を監視し、保護するように設計されています。この包括的なアプローチは、新しいテクノロジーが登場しても、機密情報の安全性を維持することを保証します。TrellixのDLPソリューションにより、組織は最も貴重な資産が潜在的なセキュリティ侵害から保護されていることに確信を持つことができます。


Trellix DLPの活用

Trellix Data Loss Prevention (DLP)は、あらゆる環境でDLPを迅速に確立するために使用できる、定義済みのルールセットテンプレートの包括的なパッケージを提供します。これらの既成のテンプレートは、DLPのニーズをすべて満たすとは限りませんが、環境内のデータを保護する方法に関する貴重なガイダンスを提供します。ChatGPTやGoogle BardのようなAIサービスの場合、環境のセキュリティを確保する上で独自の課題がありますが、必要なルールの構築は数分で完了します。これにより、本番環境でのテスト、チューニング、施行のためのルールを迅速に展開できます。

これらのサービスにデータが漏洩するのを防ぐために、活用できるDLPルールは3種類あります。

  • クリップボード保護: 機密データをコピーするためのクリップボードの使用を監視、またはブロック。
  • Web プロテクション: Webサイトに投稿されるデータを監視。
  • アプリケーション制御: ユーザーのWebサイトへのアクセスを監視またはブロック。

ルールを作成する前に、まず実装予定のルールで使用される定義を作成する必要があります。この記事の使用例では、以下のDLP定義タイプを作成する必要があります。

  • URL リスト:  Web保護ルールやWebコンテンツフィンガープリントの分類基準を定義するために使用。これらは、Web アドレス(URL)条件としてルールや分類に追加。

  • アプリケーション テンプレート: 製品名やベンダー名、実行ファイル名、ウィンドウタイトルなどのプロパティを使用して、特定のアプリケーションを制御。アプリケーションテンプレートは、単一のアプリケーション、または類似のアプリケーションのグループに対して定義。Windows Explorer、Webブラウザ、暗号化アプリケーション、電子メールクライアントなど、いくつかの一般的なアプリケーション用の組み込み(事前定義)テンプレート利用。

Trellix ePolicy Orchestrator (ePO)コンソールからDLP Policy Manager | Definitionsに移動します。


送信先URL

ソース/送信先のセクションからURLリストのカテゴリを選択し、新しいURLリストを作成します。
以下に焦点を当てます。

  • ChatGPT – https://chat.openai.com
  • Google Bard – https://bard.google.com
  • Bing AI – https://bing.com
  • ChatGPT API – https://api.openai.com
  • And any other LLM you’d like to add

図 1: URL リストの DLP 定義図1: URLリストのDLP定義


ソース アプリケーション

ソース/送信先のセクションからアプリケーションテンプレートカテゴリを選択し、新しいURLリストを作成します。
以下に焦点を当てます。

  • Visual Studio – devenv.exe
  • Visual Studio Code – Code.exe

図 2: アプリケーション テンプレートの DLP 定義
図2: アプリケーションテンプレートのDLP定義

定義が作成されたら、環境に必要なルールの構築を開始することができます。まず、DLPポリシーマネージャで「GPT監視とブロック」というラベルの付いた新しいルールセットを生成し、要件を満たすルールの確立を進めます。以下のサンプルは、解決しようとする特定のユースケースに対応するルールを作成するためのガイドとして考えてください。本番環境に導入する前に、管理された環境で徹底的にテストし、ビジネスオペレーションに悪影響を与えないように必要な調整を行うことを強くお勧めします。

A.ユーザーがブラウザプロンプトに機密データを入力していることを報告

Data Protection | Actions | New Rule | Web Protection から新しいWeb保護ルールを作成を作成 

      1. ルールの条件は次のとおり
        • a. 適用対象: Windows およびネットワーク
             (注: MACレポートの場合のみ許可)
        • b. 分類: URLへのアクセスをブロックするコンテンツを選択
        • c. エンドユーザー:すべて
        • d. Webアドレス (URL): 前の手順で作成したURLリスト、すなわちGPT URLリストを選択
        • e. アップロードの種類:すべて

図 3: ブラウザ プロンプトを監視するための DLP ルール
図3: ブラウザプロンプトを監視するためのDLPルール

B.ユーザーが機密データをブラウザプロンプトにコピーすることをブロックして報告

      1. Data Protection | Actions | New Rule | Clipboard Protection から新しいクリップボード保護ルールを作成
      2. ルールの条件は次のとおり
        • i. 適用対象: Windows
              (注: MACレポートの場合のみ許可)
        • ii. 分類: URLへのアクセスをブロックするコンテンツを選択
        • iii. エンドユーザー: すべて
        • iv. ソース アプリケーション: すべて
        • v. 宛先アプリケーション: サポートされているブラウザー
        • vi. リンク先 URL: 前のステップで作成されたURLリスト、すなわちGPT URL

図 4: ブロック ;amp ブラウザ プロンプトにコピーされたデータに関するレポートの DLP ルール
図 4: ブラウザプロンプトにコピーされたデータの;ampレポートをブロックするためのDLPルール

C. Visual Studioからブラウザープロンプトに機密データをコピーしているユーザーをブロックして報告

  1. Data Protection | Actions | New Rule | Clipboard Protection から新しいクリップボード保護ルールを作成
  2. ルールの条件は次のとおり
    • a. 適用対象: Windows 
         (注: MACレポートの場合のみ許可)
    • b. 分類: URLへのアクセスをブロックするコンテンツを選択
    • c. エンドユーザー:すべて
    • d.ソース アプリケーション: すべて
    • e. 宛先アプリケーション: サポートされているブラウザ
    • f. リンク先 URL: 前のステップで作成されたURLリスト、すなわちGPT URL

      図 5: Visual Studio からブラウザー プロンプトにコピーされたデータをブロックおよびレポートするための DLP ルール

    図5: Visual StudioからブラウザープロンプトにコピーされたデータをブロックおよびレポートするためのDLPルール

    D. GPT URLにアクセスしようとするユーザーをブロックして報告

      1. Data Protection | Actions | New Rule | Clipboard Protection から新しいクリップボード保護ルールを作成
      2. ルールの条件は次のとおり
        • a. エンドユーザー: すべて
        • b. Web アドレス (URL): 前の手順で作成したURLリスト、すなわちGPT URL

    図 6: GPT URL にアクセスするユーザーをブロックおよび報告するための DLP ルール
    図6: GPT URLにアクセスするユーザーをブロックおよび報告するためのDLPルール

    新しいルールセットが作成されると、環境内のシステムに適用することができます。ただし、これらのルールは、組織がすでにデータ保護プログラムを導入しており、カスタマイズされた分類を含み、新しく作成されたルールが本番展開前に環境で徹底的にテストされていることを前提としていることに注意する必要があります。これらのルールの恩恵を十分に受け、機密データのセキュリティを確保するために、企業はデータの不正利用を防ぐための適切なセキュリティ対策を実施する必要があります。ChatGPTのようなAIサービスは大きな利点を提供できますが、これらの利点とサイバーセキュリティに対する潜在的なリスクとのバランスを取ることが重要です。

    組織がまだデータ保護プログラムを導入していない場合、または新しいルールをどのように導入するかわからない場合、または現在Trellixのお客様でない場合は、Trellixが組織の安全確保にどのように貢献できるかについて、お問合せいただくことをお勧めします。Trellixは、内部からの機密データの漏洩を保護してきた長い歴史があり、サイバーセキュリティのリスクを軽減するための専門知識とソリューションを提供することができます。

    こちらの対策にご関心があれば、ぜひ以下からお問合せをお願いします。
    お問合せフォームはこちら

    ※本ページの内容は2023年4月17日(US時間)更新の以下のTrellix Storiesの内容です。
    原文:Using Data Loss Prevention to Prevent Data Leakage via ChatGPT
    著者:Zak Krider