AI_人工知能セキュリティネットワーク

ChatGPT利用のリスク管理⑤:Netskopeによる制御まとめ

ChatGPTを利用時、個人情報の漏えいや企業データの流出などのリスクを管理する方法について、Netskopeを用いて「ユーザーに対して、利用時の注意を促す方法」「サービスの利用に制限をかける方法」を紹介します。今回は、これまで紹介した内容のまとめとポリシーの組み合わせによる適用方法の紹介を行います。

これまでのブログでは、ChatGPTの利用におけるリスク管理についてお話ししてきました。具体的には、情報漏えいのリスクを認識し、ChatGPTを安全に使用する方法について紹介してきました。紹介した内容は以下の4つになります。

  1. ユーザーへの注意喚起
  2. 情報の流出防止
  3. 知的財産の流出防止
  4. ChatGPT以外の生成AIの利用禁止

これら複数のポリシーを組み合わせて利用する場合は、ポリシーの適用順序が重要となります。今回の場合ですと、4「ChatGPT以外の生成AIの利用禁止」のポリシーを最上位に適用すると、1~3のポリシーを適用する前に通信がブロックされる、といった動作になります。そのため、これまでに作成したポリシーをどのように組み合わせるべきかをご紹介いたします。

ポリシーの組み合わせ方


上記4つのポリシーを全て適用する際、ポリシーの順番が重要となります。

4つ目のブログで「生成AIを禁止するポリシー」の上位に「ChatGPTを許可するポリシー」を配置する必要があると説明していましたが、その他のポリシーについても配置する順番によって想定通りの動作を行わない場合があります。

そこで、これまで作成したポリシーの適用順序と順序の理由について解説します。

ポリシーの順序は以下の通りに並べます。

  1. ログイン制御ポリシー
  2. 情報漏えい防止ポリシー
  3. ChatGPTの利用許可ポリシー
  4. 生成AIの利用禁止ポリシー

(画像左部に表示されている数字はテナント上で適用されているポリシーとポリシーグループの数により変化します)

Netskopeでは、ポリシーは上位に配置したものから適用されます。

以下にそれぞれのポリシーの設定内容を示します。

最上位のポリシーはログイン制御のポリシーになります。

ログインの操作を行った際に、以降で紹介する許可するポリシーやブロックするポリシーが上位に配置されていると、User Alertのポリシーが適用されなくなるためです。

 

二番目は情報漏洩防止ポリシーです。こちらもログイン制御ポリシーと同様に許可・ブロックポリシーより下位にあると適用されないため、上位に配置します。このポリシーにこれまでのブログで作成した「マイナンバー検知」、「プログラム検知」のDLP profileを設定します。

 

三番目はChatGPTとOpenAIの利用許可ポリシーです。

Generative AIをブロックするポリシーよりも上位に配置することで、ホワイトリストの動作を行うポリシーを作成でき、ChatGPTのみ利用を許可することができます。

 

四番目にGenerative AIの利用を全てブロックするポリシーを作成します。上位のポリシーで設定しなかった操作をすべてブロックすることができます。

ポリシーの配置順としては上記の通りです。

「全ての操作を許可する」ポリシー、「全ての操作をブロックする」ポリシーなど、適用範囲が広いものは下位に配置することで、意図しない利用の制限を行うことが可能です。

 

これら4つのポリシーを適用することで、生成AIとしてChatGPTのみを利用しつつ、ログイン時の注意喚起と機密情報が誤ってアップロードされるのを防ぐ操作を実現できます。

まとめ


いかがでしたか?

ChatGPTを使用する際のリスク管理方法についてご紹介しました。Netskopeを活用することで、情報漏えいを防ぐ、非公式なAIツールの使用を制限する、そしてこれらを組み合わせた高度なポリシーを作成することにより、ChatGPT利用時のリスクを管理する方法を紹介しました。

ChatGPTを使って業務の効率を高める際に、Netskopeを用いることでこれまで懸念されていたリスクを解消できたならば、それは大変嬉しく思います。

また、Netskopeは紹介した機能以外にも、SD-WANやゼロトラストネットワークアクセス(ZTNA)などの機能を提供しています。これからも定期的にブログを通じて情報を提供していく予定ですので、参考にしていただければ幸いです。

この記事に関連する製品・サービス

この記事に関連する記事