Fifth of CISOs Admit Staff Leaked Data Via GenAI

One in five UK organizations have had corporate data exposed unwittingly by employees using generative AI

https://www.infosecurity-magazine.com

• 調査に回答したCISOの75%が、内部の従業員による脅威の方が外部の脅威よりも大きいと考えている。GenAIの誤用によるデータ漏洩がその一因と考えられる。

• CISOの5分の1が、GenAIがサイバー攻撃を促進するため、自社にとって最大の脅威だと見なしている。
• 英国NCScはGenAIが社会工学的攻撃を改善し、今後2年間でサイバー攻撃の量と深刻度を確実に高めると警告した。

• 調査対象のCISOの3分の2(65%)が、GenAIの導入によりサイバーセキュリティ予算が制限されたと回答した。
• 経営陣はGenAIが既存チームの生産性を高めると期待しているため、追加の予算配分を渋っているという見方があるとのこと。

• 調査では、CISOの83%が自社にサイバースキル不足があると認めた。
• 既存のチームは限界に近い状況にあり、新たな脅威に適切に対処できない恐れがある。

• 学習データの取り込み: GenAIは大量のデータを取り込むことで学習しますが、このデータに機密情報が含まれている場合、その情報がモデルに記憶され、出力結果に反映される可能性があります。
• プロンプトインジェクション: 悪意のあるユーザーがGenAIに特定の指示を与えることで、機密情報を引き出すことが可能です。
• モデルの盗難: 攻撃者がGenAIモデル自体を盗み出すことで、その中に含まれる機密情報にアクセスできる可能性があります。

• GenAIの使用ポリシーの策定: 従業員がGenAIをどのように使用すべきか、明確なルールを定めることが重要です。
• データの分類と保護: 機密情報を特定し、適切なアクセス制御を実施する必要があります。
• 従業員教育: GenAIのリスクと安全な使用方法について、従業員を教育することが重要です。
• GenAIツールの監視: 従業員がGenAIツールをどのように使用しているか監視し、不適切な使用を検知する必要があります。
• セキュリティソリューションの導入: GenAIに特化したセキュリティソリューションを導入することで、リスクを軽減できます。

GenAIのセキュリティリスクに対処するために開発されたソリューションは多岐にわたります。以下にいくつかの例を挙げます。

• GenAIモデルへの入力データや出力結果を監視し、機密情報が含まれていないかチェックします。
• 機密情報が検出された場合、アラートを発したり、アクセスをブロックしたりすることで、情報漏洩を防ぎます。

• 悪意のあるプロンプトを検知し、GenAIモデルが不正な出力を生成することを防ぎます。
• プロンプトのフィルタリングやサニタイズを行うことで、攻撃を防ぎます。

• GenAIモデル自体を保護し、盗難や改ざんを防ぎます。
• モデルの暗号化やアクセス制御を行うことで、セキュリティを強化します。

• 従業員のGenAIツールの使用状況を監視し、不審な行動を検知します。
• 機密情報のダウンロードや外部への送信など、リスクの高い行動を特定し、アラートを発します。

• GenAIの開発、運用、監視を一元管理するプラットフォームです。
• モデルのバイアスや公平性、説明可能性などを評価し、倫理的なAI利用を促進します。

• 準同型暗号: 暗号化したままデータを処理できる技術であり、機密情報を保護しながらGenAIを利用できます。
• 差分プライバシー: データにノイズを加えることで、個人のプライバシーを保護しながら分析を行う技術です。
• フェデレーテッドラーニング: データを中央サーバーに集約せずに、分散した状態でモデルを学習させる技術です。