生成 AI の利用が急速に進んでいるが、日々さまざまな新しいサービスが登場する現在では、組織が利用サービスを適切に選定し管理するのが困難になっている。そのため、組織が管理していないものをユーザーが勝手に導入する事例が発生してしまい、その対策が課題の 1 つとなっているが、その利便性ゆえにむやみに利用を禁止するのも得策ではない。こうしたジレンマに対して企業の有効な一手となるのが、AI への入口となるブラウザ組み込み式のセキュリティ機能を提供する「Chrome Enterprise」の活用である。
AI 時代に起こり得るセキュリティ リスク
AI 技術が日々進歩する中、生成 AI は現在最も注目を集めているデジタル技術と言っても過言ではないだろう。業種業界を問わず、生成 AI 活用を競争力強化の重要な要素と捉え、多くの企業が積極的に業務へ取り込もうとしている。
企業の生産性向上に必要不可欠なツールとして AI 活用の機運が高まるに伴って、企業においてはこの動きに即したセキュリティ管理・対策が求められることとなるのも事実だ。
まず問題となるのが、企業が許可していない AI アプリケーションを従業員が業務で勝手に利用してしまう行為である。会社が許可していない IT ツールを従業員が使う行為は、昔から「シャドー IT」と呼ばれてきたが、まさにこれの AI 版である。従業員の利用を管理者が把握できないことでインシデント発生時の原因究明や対策が困難となったり他者の著作権を知らずのうちに侵害してしまったりする恐れもある。
生成 AI は、提供サービスや提供プランによってはデータが学習に使用されるものとそうでないものがある。また、デフォルトでは前者であるが設定によって後者を選択できる、いわゆる「オプトアウト」を選択できるケースも多い。こうしたオプションも含め、AI への入口を管理せずに個々のユーザーに設定を一任していると会社のポリシーに沿わない形で利用されることが生じ得る。
「利用抑止」には限界がある
これまでのセキュリティ対策の視点としては、会社が許可しないものやすぐに許可を判断できないものに関しては、「利用抑止・禁止」は有効なアプローチの 1 つだった。だが、現在ではその方法にも限界が生じ始めている。
すでに多くの人々が実感しているように、大量の文献や記事を短時間で要約したい時や、翻訳や他社調査を行う時など、生成 AI の活用が業務にもたらすメリットはあまりにも多く、やみくもに「一律禁止する」という行為はデメリットがメリットを上回ってしまう恐れもある。企業としては、従業員に対して守るべきルールをしっかり守りながら、この有用なツールを活用してもらうあり方を考えなければならない。
「利用抑止・禁止」に限界が生じ始めている点としては、これらが手軽に利用できるサービスであるという点も関係している。例えば、各社の主要な生成 AI サービスは Web サービスとして利用でき、利用者は Web ブラウザを立ち上げ、データを入力したりコピー&ペーストしたりするだけで手軽に利用できる。
対策として、自分の端末に特別なソフトをインストールしたり、USB メモリやスマートフォンを接続したり、ファイル サーバーから重要なデータをコピーしたりなど、このような行為にはすでに対策している企業も多いだろう。しかし、重要情報が書かれたテキストやファイルまたはそうでないものも含めて、ブラウザ上でユーザーが何を入力したり送信したりしたのかは対策の穴になりやすく、まだカバーできていない企業が多い。これはクラウド サービスが広がり Web ブラウザに依存する業務が増える昨今では喫緊の課題である。
シャドー IT を防ぐための、ブラウザ上での制御機能を提供
企業が管理していない AI を従業員が業務で勝手に利用することへの対策として役立つのが、組織内の各ユーザーの Chrome ブラウザを一元管理してセキュリティを強化する「Chrome Enterprise」である。これが AI 時代のリスク対策としてどのように機能するのか。いくつかの主要な機能を見ていこう。
1 つめが「Chrome Enterprise Premium」に搭載されている URL フィルタリング機能である。生成 AI サービスはブラウザベースで利用することがほとんどであるため、サービス自体にそもそもアクセスさせたくない、またはアクセスした際にアラートを表示して注意喚起したいという場合は、この機能を活用することが有効だ。
特定の URL を指定してブロックすることもできるが、カテゴリによるフィルタリングもできるため、特定のカテゴリに属するサイトに対して一括してアクセス制御を行うことも可能だ。さらに、全ユーザーへ一律禁止するのではなく、特定のユーザーやグループにだけ制御することもできる。
ほかにも、アクセス先やユーザーといった条件からの制御だけでなく、BYOD 端末(業務利用される個人所有端末)や会社で管理されていないブラウザからアクセスがあった場合にサイトへのアクセスをブロックするといった設定が可能だ。設定は簡単であり、管理者が事前にアクセス先のサイトやアクセス対象のユーザー、条件を設定し、ブロックまたは警告を選択する。実際に対象のサイトにアクセスした場合はアラートが通知される。
2 つめに、こうした生成 AI のサービスを利用させながらも情報管理をしたいという場合に有効なのが、Chrome Enterprise Premium が提供する「DLP (データ損失防止)」機能である。Chrome Enterprise Premium では、Chrome ブラウザ上にて行われる特定のファイルや文字列などのアップロード&ダウンロード、コピー&ペースト、印刷などを制御または警告することができる。
具体的にどのようなファイルや情報を制御の対象とするかどうかは、事前に用意されたデータセットのほか、企業各社のポリシーに応じて自社独自の単語リストをもとに設定することが可能だ。 なお、ユーザーへのアラートのメッセージはカスタマイズできる。
保護のレベルとしては、ブロックするのかアラートを出すのかといった複数が選択できる。ブロックしない場合でも、アラートをユーザーに表示させることによって誤った使い方を指摘でき、セキュリティの啓蒙として大きな意味がある。また、アラートには会社で容認している AI の使用を促すメッセージを追記するのも 1 つの手だ。
さらに、DLP 機能はログ監査機能も備えているため、機密データを共有しようとしたユーザーのアクションが記録され、IT 管理者が調査して具体的に、いつ、どのユーザーがどのようなデバイスでどのようなことが行われたのか可視化することができる。利便性の高い生成 AI サービスを必ずしも一律禁止せずに、一定のガバナンスを確保しながら利用を促進するうえで DLP 機能は最適な対策となるだろう。
「ブラウザ組み込み式」ならではのメリット
このように、生成 AI 利用管理の方法を示してきたが、Chrome Enterprise を利用する大きなメリットは、従業員が普段業務使用しているブラウザ上でセキュリティ管理ができ、手軽に導入することができる点だ。仮に何か特別なソフトを別途インストールする手間が生じたり、特別なセキュリティ製品をいれたりすることでユーザーが余計な手間を強いられるようになってしまえば、操作性は大幅に低下してしまう。この場合、ユーザーの負担が増えることでセキュリティのルールやポリシーが守られなくなったり、セキュリティ対策をかいくぐる為の行動をしてしまったり、シャドー IT が進むという結果に陥りかねない。
今後、生成 AI サービスの利用は生産性向上や業務効率化に必要なツールとしてさらに普及していくことは間違いなく、企業はこれに伴うリスクに対して上手く対応していく必要がある。もちろん、セキュリティ対策を厳格化してしまえば、IT 管理者のセキュリティ運用負荷の増大や従業員のユーザビリティの低下が懸念される。
そうした中で、大きな手間を増やさず、ユーザーの日常の業務における操作を変えることなくセキュリティ対策を組み込むことができる Chrome Enterprise は、AI 時代のセキュリティ管理を高度化する有効な選択肢となるだろう。
