ChatGPT利用のリスク管理②:情報流出の制御
ChatGPTを利用時、個人情報の漏えいや企業データの流出などのリスクを管理する方法について、Netskopeを用いて「ユーザーに対して、利用時の注意を促す方法」「サービスの利用に制限をかける方法」を紹介します。
このブログでは「サービスの利用に制限をかける方法」を紹介します。
全5部構成でChatGPTをNetskopeを用いて安全に利用する方法を解説します。
前回のブログではNetskopeを用いた「ChatGPT利用のリスク管理①:ユーザーへの注意喚起」として、ユーザーに注意を促す方法について紹介しました。
これによりユーザーは「監視されていること」、「流出した際のリスク」を認識し、安全性を高めることができます。
しかし、注意喚起によって細心の注意を払いながら利用していても人間ですのでうっかりミスをしてしまいます。そこで、ChatGPTに対して技術的な制限を行うことにより安全な利用を目指す方法を紹介します。
今回は「情報流出の制限方法」について紹介します。
情報流出対策 デモ動画
情報流出対策の手順
Netskope利用ユーザーがChatGPT利用時に情報を誤って流出させないように対策をする方法について紹介します。
今回は個人情報の流出を防ぐことを想定したポリシー作成の例を紹介します。
手順としては以下の通りです。
① 情報流出対策用のルールを作成する
② ①で作成したルール違反があった際にBlockするポリシーを作成する
情報漏洩の対策はNetskopeのData Loss Prevention(DLP)のルールを作成することで対策が可能です。
① 情報流出対策用のルールを作成する
このブログでは、PREDEFINEDを使ったマイナンバーのデータセット、ユーザー定義の単語セットをルールに指定し、これらの情報の流出を防ぐ方法をご紹介します。
今回はマイナンバーの数値か「個人情報」という単語が一つでも含まれていた場合、データの送信をブロックするポリシーを作成していきます。
Netskopeテナントを開き、画面左部にあるメニューからPolicies>DLP>EDIT RULES>Data Loss Preventionを開きます。
画面上部にある「NEW RULE」から新しい情報漏洩に関するルールを作成していきます。
設定画面の各項目の詳細については、下記記事にて紹介していますので、そちらを確認してください。
今回は、PREDEFINEDにて「mynumber」と検索し、表示されたものをすべて登録します。
表示されたものはマイナンバーのスペース区切りやカンマ区切りの表記など状況に応じたルールが定義おり、今回はどのような表記でも検出したいのですべてを登録します。
続いて、CUSTOMの画面で「個人情報」という単語を登録します。
続いて、指定したPREDEFINEDのデータセット、単語のデータセットに対して、どのようにルールを適用するか決定します。
今回は全て「OR」で指定します。
一度の違反でポリシーが発報されるように、SEVERITY THRESHOLDの「Low Severity」を「1」に設定します。
残りの設定はデフォルトの設定を利用します。
作成したルールを「Policies>DLP」からDLP Profileに設定します。
② ①で作成したルール違反があった際にBlockするポリシーを作成する
作成したDLP Profileを用いてポリシーを作成します。
Source:ポリシーを適用したいUser
Destination:
Application:ChatGPT
Activity:Login Attempt
Profile & Action:
DLP Profile:①で作成したDLP Profile
Action:Block
Template:Block用のUser Notification
Template(User Notification)については、前回の記事「ChatGPT利用のリスク管理①:ユーザーへの注意喚起」にて紹介しています。そちらを参考にBlock用のテンプレートを作成しました。
Policyの設定は以上です。
Incidentsの確認
DLPに違反すると「ChatGPT利用のリスク管理:Netskopeで安全性を強化する方法①」で紹介したAlertsやApplication Eventsのログとは別に、Incidentsという形でログが生成されます。
中身を確認するとAlertにも記載されていたActivityやアプリの検出のほかに、「Violations」という形で、なにがルールを違反してしまったのかを確認することができます。
この例は動画で、
「[○○さんの個人情報データ] 生年月日:19XX/10/10 住所:○○県○○市○○町」
と入力した際出力されたログです。
入力されたデータのうち、どこがルールに違反していたのか詳細に通知されます。
一つの入力の中に複数の違反があれば全て表示することが可能です。
おわりに
如何でしょうか。今回は、「サービスの利用に制限をかける方法」として「ChatGPT利用時に誤って個人情報を流出してしまわないための対策方法」について紹介しました。機密情報や個人情報などの流出が懸念され、利用をためらっている人も多いと思いますが、本記事のようにポリシーを設定することで、流出を防ぐことが可能となります。
次回は、「プログラミングにおけるChatGPTの情報流出防止方法」について紹介します。