Zscaler Data Securityによる生成AIとMicrosoft Copilotの保護

AIの利用に伴うデータ保護の重要性

組織でのMicrosoft Copilotやその他の生成AIアプリケーションの導入が急速に進むなか、そのセキュリティの確保が非常に重要になっています。これらのツールは生産性の向上やワークフローの合理化につながる一方、重大なセキュリティ リスクももたらします。機密データが誤って公開される可能性や、組織内で未承認のAIアプリケーションが広がる可能性もあります。セキュリティ侵害を防ぐためには、プロアクティブなアプローチが必要です。

Zscaler Data Securityは、AIやCopilotの安全な導入に必要な可視性と制御を提供します。このブログでは、一般公開された生成AIアプリの安全な利用を可能する方法、そしてMicrosoft Copilotを通じた過剰なデータ共有のリスクを最小化する方法を解説していきます。

一般公開されたAIへのデータ流出

AIは、生産性や競争力の向上につながる新しい強力なアプローチでビジネスを変革しています。しかし、一般公開されたAIを活用する最大のリスクの一つとして、機密データが流出する可能性があります。

顧客データ、独自のコード、組織の内部情報がAIに送信され、モデルのトレーニングに利用される可能性があり、不正アクセスやデータ侵害のリスクも高まります。しかし、強力なデータ セキュリティ アーキテクチャーの採用によって、こうしたリスクは次のような形で管理できます。

• 即時のデータ検出：すべての機密データとその転送先を特定します。
• シャドーAIの強力な可視化：リスクの高い未承認のAIアプリの使用を検出します。
• スマートな分離機能：AIアプリケーションとのリスクの高いやり取りを封じ込めます。

強力なデータ セキュリティ ソリューションを実装することで、厳格なセキュリティ制御を維持しながら、AIによる生産性向上のメリットを最大化できます。

シャドーAIの検出

AIアプリケーションを保護するには、まず組織の環境内でのAIの使用状況をすべて可視化する必要があります。シャドーAI (従業員が許可なく導入したAIアプリケーション)は、深刻なセキュリティ上の課題を引き起こします。IT部門の監督なしにAIツールを使用している従業員は、知らず知らずのうちに機密データを外部のサードパーティー システムと共有する可能性があるため、データ流出のリスクが高まります。

シャドーAIの特定と管理

シャドーAIに対抗するには、ネットワーク全体でAIの使用を検出、監視するソリューションの実装が必要です。

1. アプリケーションの検出：AIを活用したツールによって組織の環境をスキャンし、使用中の不正なアプリケーションを検出します。
2. ユーザー アクティビティーの監視：セキュリティ部門が従業員によるAIアプリケーションの操作を分析し、リスクを評価します。
3. リスクベースのアクセス制御：ポリシーを施行することで、未承認のAIアプリケーションを制限しながら、承認されたツールの安全な使用を可能にします。

最近の調査によると、従業員の38%が組織の許可なくAIツールで業務上の機密データを共有していることがわかりました¹。AIでの操作を積極的に追跡し、ゼロトラスト アクセス制御を適用することで、シャドーAIのリスクを軽減しながら、AIによる生産性向上を実現できます。

さらに、シャドーAIに対抗するには、組織のリスク状況の把握が欠かせません。AIを活用した自動検出では、機密データの場所と環境内での移動(エンドポイントやSaaSからプライベート アプリまで)をリアルタイムで可視化できます。これにより、セキュリティ部門は一貫した制御を適用し、死角を排除できるため、データ セキュリティ対策を簡単に施行できるようになります。

公開されたAIアプリの安全な利用

AIに関する状況を把握した後、次に優先すべき点がユーザーとAIアプリケーション間のやり取りの保護です。強力なセキュリティ対策を施さなければ、意図せぬデータ漏洩、知的財産の窃取、コンプライアンス違反のリスクが発生します。

AIガバナンス ポリシーの実装

堅牢なAIガバナンス フレームワークを確立するには、次のような要素が必要です。

• 許容されるデータ使用に関するポリシー：AIアプリケーションによる処理を許可するデータの種類を定義します。
• 許可されるAIユース ケース：ビジネスでの使用が許可されるAIツールについて定めます。
• 継続的なコンプライアンスの監視：AIの使用状況を継続的に監視し、ポリシーと各種規制を確実に順守します。

明確なガバナンス ポリシーを確立することで、IT部門とエンド ユーザーは責任あるAIの使用ができるようになります。定期的に監査を行うことで、基準に則ってAIを使用し、意図せず誤った形でデータを使用するリスクを最小限に抑えられます。

データ セキュリティ対策の適用

ガバナンスだけでなく、組織は高度な情報漏洩防止戦略を実装し、AIアプリケーションによる機密データへの不適切なアクセスや共有を防ぐ必要があります。主な保護対策には、次のものがあります。

• インラインDLP検査：AIとのやり取りをリアルタイムで監視し、不正なデータ転送を防止します。
• クラウド アプリ制御：組織のユーザーが使用する未承認のAIアプリをブロックまたは警告します。
• インライン プロンプト制御：AIへの入力プロンプトを監視し、プロンプト ワークフローへの機密データの流入を防止します。
• AIアプリの分離：安全なクラウド ブラウザーでユーザーとAIアプリを分離し、切り取り、貼り付け、ダウンロードなどの操作を制御します。

データ セキュリティ制御を統合することで、AIによる効率性を活用しながら、機密データを保護し、規制を順守できます。

Microsoft Copilotの利用に伴うデータ保護

Microsoft Copilotは、AIを活用した自動化を日常的なワークフローに統合することで生産性を向上させる強力なツールです。ただし、Microsoft 365のあらゆるデータにアクセスするため、重大なセキュリティ上の課題が発生します。SharePointやOneDrive、Teamsから情報を取得できるため、適切に管理しなければ、意図しないユーザーに機密データが公開される可能性があります。

たとえば、権限設定が誤っていた場合、従業員がCopilotに販売動向の要約を依頼した際に、財務レポート、顧客情報、さらには内部の買収計画まで表示されるかもしれません。Copilotは既存のユーザー権限に依存するため、アクセス権の範囲が過剰なデータは思わぬセキュリティ リスクになる可能性があります。Copilotを利用してセキュリティ ギャップを生まずに生産性を向上させるには、アクセス制御とデータ保護に対するプロアクティブなアプローチが必要です。

Microsoft Copilotのためのデータ セキュリティ

こうしたリスクを軽減するには、 データ保護のアプローチを追加して標準のMicrosoft Securityを強化し、許可されたユーザーとアプリケーションのみが正しいデータにアクセスできるようにする必要があります。

• OneDriveのアクセス許可：CASBを活用することで、OneDriveの過剰なアクセス許可を取り消し、Copilotによる利用と共有を防止できます。
• 秘密度ラベルの確認：秘密度ラベルが欠落している機密データを特定して更新し、Copilotによる利用と共有を(CASBで)防止します。
• Copilotの設定ミスの修正：不要なリスクにデータをさらす可能性があるMicrosoft 365とCopilotの設定ミスを検出、修正します。

インラインのデータ セキュリティによるCopilotとデータの制御

適切なアクセス制御が施されている場合でも、インラインのデータ セキュリティ対策によってCopilotの使用における機密データのセキュリティを確保する必要があります。これには次のような機能が必要です。

• 入力プロンプトの可視化：セッションとプロンプトを可視化することで、Copilotとのやり取りや使用状況を把握します。
• インラインDLP検査：インラインDLP辞書を活用し、機密データがCopilotのワークフローに取り込まれることを防止します。
• Purviewラベルに基づくブロック：Purviewの秘密度ラベルに基づいて組織外へのデータ流出のブロックを有効にすることで、Copilotの利用に伴うセキュリティを強化します。

こうした高度なデータ セキュリティ アプローチをMicrosoftの組み込みの保護機能と組み合わせることで、最も機密性の高いデータのセキュリティとコンプライアンスを確保し、安心してCopilotを導入できます。しかし、多くの組織は、過剰なアクセス許可が付与されたMicrosoft 365のデータがもたらすリスクを過小評価しています。

Microsoft Copilotのセキュリティ に関するZscalerの最近のブログでは、権限の監査、AIとのやり取りの監視、ゼロトラストの原則の施行によって、Copilotが許可されていないユーザーに機密データを公開しないようにする方法を詳しく解説しています。