お問い合わせ

資料ダウンロード

AI_人工知能セキュリティネットワーク

ChatGPT利用のリスク管理③:知的財産流出の制限

ChatGPTを利用時、個人情報の漏えいや企業データの流出などのリスクを管理する方法について、Netskopeを用いて「ユーザーに対して、利用時の注意を促す方法」「サービスの利用に制限をかける方法」を紹介します。今回はソースコードの流出を防ぐ「知的財産流出の制限方法」に焦点を当てて紹介します。

前回のブログではNetskopeを用いた「ChatGPT利用のリスク管理方法②」として、ChatGPT利用時に誤って個人情報を流出してしまうことを防ぐ方法の紹介をしました。
これによりユーザーは操作ミスによる情報を流出する可能性がなくなり、安全に利用することができるようになりました。

ChatGPTで知的財産流出を防ぐ方法 – ユースケース

さて、今回は知的財産流出を防ぐ方法のユースケースについて追加で紹介いたします。
ChatGPTの業務上での利用方法について考えてみます。利用方法として、考えをまとめる相談相手、アイデアを創出するためのブレインストーミングツール、パワーポイントなど資料を作成するサポート、プログラムの修正・生成が考えられます。

その中でも今回はプログラムの修正・生成についての利用方法について考えます。
プログラムの修正を行うためには、ソースコードのアップロードが必要になります。そして、ChatGPTはアップロード(投稿)された内容と出力結果を学習に利用しています。
出力の精度は学習データの増加により高まることになりますが、例えば銀行システムのコードの修正をChatGPTで行っていた場合、以降のChatGPTの出力で銀行のシステムのコード内容が出力される可能性があり、それにより脆弱性を発見されるなどのリスクが生まれてしまいます。生成されなくとも企業の知的財産であるソースコードを外部に流出してしまうことに他なりません。
対して、全くゼロからのプログラムの生成については利用方法によってはリスクが低く、サポートとして効率的かつ生産性の高いChatGPTの使い方ができます。
そのため、これから先、ソースコードのアップロードは防ぎつつ、ChatGPTにベースとなるプログラムの生成を任せたいという使い方が求められてくるでしょう。
今回はChatGPT利用時のソースコードの取り扱い方に焦点を当てた、「プログラム流出の制限方法」をご紹介します。

 

デモ動画

 

情報漏えい防止ルール設定

DLPルール設定については前回のブログ(ChatGPT利用のリスク管理②:情報流出の制御)で作成したルールと概ねは同じです。

① 情報流出対策用のルールを作成する

② ①で作成したルール違反があった際にBlockするポリシーを作成する

 

① 情報流出対策用のルールを作成する

今回は前回との差異についての設定方法のみ行います。

 

PREDEFINEDのSource Code(any)、Source Code(Python)を選択します。

Source Code(any)はプログラミング言語で共通する汎用的な文法に対するルールです。

Source Code(Python)はPythonで使われている文法に対するルールです。

 

CUSTOMには今回は何も設定しません。

これらのルールを設定したら、残りは前回の設定と同じです。

② ①で作成したルール違反があった際にBlockするポリシーを作成する

 

Policiesの設定は次のように設定します。

Source:ポリシーを適用したいUser

Destination:

Application:ChatGPT

Activity:Post

Profile & Action;

              DLP Profile:作成したDLP Profile

              Action:Block

              Template:Block用のUser Notification

 

Template(User Notification)については、前回の記事「ChatGPT利用のリスク管理①:ユーザーへの注意喚起」にて紹介しています。そちらを参考にBlock用のテンプレートを作成してください。

 

ChatGPTでのプログラム生成

今回作成したポリシーで制限している動作はChatGPTへのプログラムのアップロード(投稿)のみで、出力されたプログラムをコピーする動作については制限されず利用することができます。
上記のシンプルなポリシーのみでソースコードの流出を防ぎつつ、ChatGPTにプログラムを生成させることが可能になります。

 

おわりに

如何でしょうか。今回のブログではChatGPT利用時のソースコードの取り扱い方に焦点を当てた、「プログラム流出の制限方法」について紹介しました。

今回のように作成したポリシーはとてもシンプルですが、Pythonのプログラムのアップロードを防ぎ、プログラムの生成自体は妨げないポリシーも作成することができます。

ChatGPT上の操作で検知できるActivityとしては現状以下のものを検知することができます。
・Copy
・Delete
・Download
・Edit
・Login関連のActivity
・Post
・Preview
・Share
・Upload

これらのActivityに対して、ポリシーを組み合わせることでより高度な制御を行うこともできるでしょう。高度な制御については5つ目のブログにてご紹介します。

しかし、前々回、前回、そして今回作成したポリシーはすべてChatGPTに特化したポリシーになっています。
これではChatGPT以外の生成AIを利用することでポリシーに引っかからずに生成AIの利用ができるようになり、情報の流出を防ぐことができません。
次回のブログではChatGPT以外の生成AIの利用を防ぎつつ、CharGPTの利用を誘導するようなポリシーの作成方法について紹介します。

Kojima

この記事の投稿者Kojima

東京エレクトロンデバイスにてNetskopeのプリセールスを担当。
2023年入社で現在ネットワーク関連の技術を勉強中!
大学院では自然言語処理について研究していました。

この記事をシェア

  • twitter
  • facebook

この記事に関連する製品・サービス

Netskope | CASB-API

Netskope | Next-Gen SWG

この記事に関連する記事

ChatGPT利用のリスク管理①:ユーザーへの注意喚起

ChatGPT利用のリスク管理②:情報流出の制御

お問い合わせ

資料ダウンロード