• シャドー AI は単なる非承認ツールではなく、大規模な管理されていないデータ移動です。
• 生成 AI をブロックするとイノベーションが停滞しますが、無視すると機密データが漏洩する可能性があります。
• セキュリティ チームには、Gen AI リスクを管理するために可視性、分類、制御が必要です。

シャドーAI、つまり生成AI（Gen AI）ツールの不正使用は、分散型AIの導入が進む中で、企業にとって目立たないながらも重大なリスクを生み出しています。独自のコード、顧客リスト、財務データを公開されているGen AIプロンプトに無計画に入力する従業員は、目に見えない脅威アクターとなります。一見無害な生産性向上の近道に見えるものが、従来のセキュリティモデルでは対応が困難なデータ漏洩の新たな経路へと変化します。

Gen AIを完全にブロックすることは生産性とイノベーションを阻害する可能性があります（正直に言って、合理的ではありません）。一方、無制限の使用を許可すると、機密データが組織外に流出してしまうことがほぼ確実です。シャドーAIを効果的に管理するには、より直感的でバランスの取れたアプローチが必要です。Gen AIの実際の使用方法を考慮し、状況に応じてリスクを評価し、業務を中断することなく迅速に制御を適用できるアプローチです。

業界をリードするデータ損失防止（DLP）ソリューションは、この点を念頭に置いて設計されています。動的なDLPツールは、可視性と制御の両方の課題に対応する3段階のデータセキュリティ戦略を提供し、組織が一律の禁止にとどまらず、きめ細やかでニュアンスのあるアプローチを実行できるようにします。

各段階とその理想的な結果について詳しく見てみましょう。

データセキュリティのための3段階戦略

ステージ1：ガバナンス

実用的な可視性と洞察を発掘

課題： 目に見えないものは制御できない。セキュリティチームが直面する最大のハードルの一つは、 誰がGen AIを使用しているか、 どのサイトにアクセスしているか、そして 企業データがどの程度危険にさらされているかを把握することです。新しいGen AIツールの導入量とスピードは、この状況を終わりのないいたちごっことしています。

解決策: トップレベルの DLP ツールは、次の機能により、Shadow AI アクティビティに関する重要な可視性を提供します。 

• 監査による検出。監査は強力なシャドーIT検出機能として機能し、SaaSアプリケーションやウェブサイト全体のユーザーアクティビティに関する重要なリアルタイムの可視性を提供します。ユーザーの詳細、全体的な使用状況、アップロードやダウンロードなどの重要なアクションを追跡します。これにより、規制対象のGen AIツールにアクセスしているユーザーやチームを特定するために必要な詳細なデータが得られます。
• リアルタイムのサイト可視性。既知のアプリと継続的にリリースされる新しいGen AIサービスとの間のギャップを埋めるため、リアルタイムの可視性機能により、すべてのトラフィックに関する包括的なインサイトを提供します。セキュリティチームは、  「 Generative AI 」カテゴリでフィルタリングするだけで、使用中のすべてのGen AIサイトの完全なリストと、組織全体の使用状況指標を迅速に取得できます。
• 実用的なレポート機能。 スケジュール設定されたレポート機能により、使用状況とリスクに関する包括的な360度ビューを定期的に提供できます。これらのレポートは、導入傾向と潜在的なリスクに関する一貫した洞察を提供することで、生のアクティビティデータを継続的かつ管理可能なセキュリティプロセスに変換します。

ステージ2：分類 

リスクに基づく意思決定

課題：すべてのGen AIツールが同じレベルのリスクをもたらすわけではないため、セキュリティチームはデータ保持方法、コンプライアンス、潜在的な悪用といった要素を考慮する必要があります。適切なコンテキストがなければ、組織は過剰な制限を設けたり、高リスクツールを無制限に運用させたりするリスクがあります。

解決策: リスクベースの分類を提供する DLP オプション: 

• リスク分析と脅威評価。監査と可視性管理を通じてGen AIの使用状況が検出されると、管理者は収集された使用状況データとセキュリティ分析を使用してアプリケーションを分類できます。これは、組織のポリシーをデータに適用する重要なステップです。
• 認可済みと非認可の分類。この評価に基づき、Gen AIツールは認可済みと非認可済みに分類できます。認可済みツールは（通常は定義された制御の下で）使用が許可されますが、非認可ツールは使用が制限されます。
• ポリシーの調整。この段階では、使用状況データがセキュリティポリシーに変換され、アクセス制御とDLPポリシーの構成に直接影響を与え、適切な組織ガバナンスを確保します。

ステージ3：段階的な導入と管理

（ポリシーの）魔法が起こる場所

課題:セキュリティ チームには、最もリスクの高いアプリケーションへのアクセスをブロックしながら、承認されたアプリを安全に制御して使用できるように、微妙なニュアンスを伴うポリシーを適用する方法が必要です。

解決策: 適切な DLP ソリューション内できめ細かな制御を行うことで、組織は次のような方法でデータ セキュリティを損なうことなく Gen AI を安全に導入できます。

• 非承認アプリのブロック。「非承認」とマークされた、リスクが高く、コンプライアンスに準拠していない Gen AI アプリケーションは完全にブロックされ、許容できないリスクをもたらすサービスへのアクセスを防止できます。
• きめ細かな条件付きアクセス:すべてまたは何もないアプローチに頼るのではなく、ユーザー/グループ、デバイスの状態 (BYOD など)、またはファイルのアップロードや大規模なデータ転送などの特定の機能に基づいてアクセスを制限できます。
• リアルタイムのデータ損失防止（DLP）：  DLP制御は、ユーザーがGen AIツールを操作する際に、プロンプトとデータペイロードをリアルタイムで検査します。機密情報（独自のソースコード、個人情報（PII）、財務データなど）が検出された場合、転送をブロックすることで、組織の情報がGen AIベンダーのサーバーに届いたり、モデルのトレーニングに使用されたりすることを防ぎます。

Symantec DLP Cloud にお任せください

これらすべての要件を満たし、さらにそれ以上のものを実現するのは何でしょうか？Symantec Data Loss Prevention Cloudは、シャドーAIを特定し、最も機密性の高いデータを確実に保護するために必要な、ライフサイクル全体にわたる保護を提供します。この 堅牢で業界から高く評価されているDLPソリューションにより、チームは事後対応型のガードレールから、計画的かつ継続的なガバナンスへと移行できます。

• シャドウAIの使用状況を継続的に監視
• 高リスクで未承認の Gen AI アプリケーションをブロックする
• 承認されたツールに正確な制御を適用します。これには以下が含まれます。
  • DLP Cloud Protectポリシーを使用してファイルのアップロードをブロックする
  • プロンプトとペイロードを検査して機密データをリアルタイムで検出し、阻止する
  • ユーザー/グループによる承認済み Gen AI ツールへのアクセスの制限

実際のところ、次のような感じになります: 

Gen AI サイトの使用状況をトラフィック別に確認したいですか? 組織全体にわたるリストを作成できます。

包括的で分かりやすいデータはそれだけではありません。Shadow AIの現状を浮き彫りにする360°レポートで、経営陣を感心させ、チームの最新情報を常に把握しましょう。レポートは、ご希望のタイミングでメール受信箱に配信されます。

Gen AI を掌握する準備はできていますか? Symantec DLP Cloud がShadow AI を推測に頼ることなく、セキュリティ戦略の一部として管理可能にする方法をご確認ください