AI/生成AI時代に求められる情報漏洩対策 - Gartnerが提唱する6つの要素

Gartnerは2024年10月30日、「AI／生成AI時代の情報漏洩対策に不可欠な6つの要素」を発表しました。

ビジネスにおけるデータ活用が進む中、企業競争力を維持しつつセキュリティを強化するためには、従来のデータ・セキュリティ対策の刷新が不可欠となっています。

情報漏洩の現状と課題

AI技術の普及により、企業におけるデータ活用が急速に広がっていますが、同時に情報漏洩のリスクも増加しています。

2024年3月にGartnerが実施した国内調査によれば、2023年にサイバー攻撃による情報漏洩を経験した企業は34%、インサイダーによる漏洩を経験した企業は27.7%に上りました。また、情報漏洩対策が十分でないと感じるセキュリティ部門のリーダーは57.2%にも達しており、AIの進化に伴いデータの管理と保護に対する不安が高まっていることが浮き彫りになっています。

Gartnerのシニアディレクターアナリストである矢野薫氏は、日本のセキュリティ部門の多くが依然としてインフラ・セキュリティに重きを置き、データの保護に十分な対策を講じてこなかった現状を指摘しています。また、情報保護の重要性について従業員の理解が不十分である点も課題に挙げています。

Gartnerが提唱する情報漏洩対策の6つの要素

新しい時代のセキュアなデータ活用と競争力の強化に向けて、以下の6つの要素が重要であるとGartnerは述べています。

1. 情報漏洩対策の知見

従来の境界型セキュリティに頼ってきた国内の多くの企業では、データ・セキュリティに関する知見が不足。セキュリティ部門やシステム・インテグレーターがサイバーセキュリティの知識は豊富でも、データ保護に関する実務経験が限られているため、先進的な取り組みを行う企業から学ぶ姿勢が重要。Gartnerは、新たな情報収集方法として、他社事例を参考にせずに独自の取り組みを行う企業へのインタビューなどが効果的と指摘。

2. 情報漏洩対策のフィロソフィ（コンセプト）

従来の境界型セキュリティから脱却し、ユーザーやデータの種類、作業範囲に応じて細かな権限管理や暗号化を行うセキュリティ・コンセプトの再構築が必要。特に生成AIの利用が進む前に、アクセス権の管理とデータ保護に関する新たな方針を徹底することが必要。

3. 情報漏洩対策の責任の所在

情報漏洩の責任は、経営層やセキュリティ部門だけではなく、実際にデータを扱うユーザー部門にもあることを再認識することが必要。従来の境界型セキュリティでは、セキュリティ部門が情報の保護を一手に担ってきたが、デジタル時代においては、データの所有者や利用者も積極的に情報保護の責任を負うべき。

4. データ・マップの作成

データの生成場所、保存場所、所有者、重要度、使用者などを視覚化する「データ・マップ」を作成し、適切な管理を行うことが重要。ビジネス的な観点で重要なデータを見極め、情報のライフサイクルに合わせてデータ・マップを更新することで、最新の状態を維持しつつリスクを最小限に抑えることが可能に。

5. テクノロジの評価と活用

データ保護には、分類・検出、暗号化、権限管理などさまざまなテクノロジが存在するが、ただの導入ではなく、実際に企業環境に適した形での実装が必要。特にユーザーが使いやすい運用面の評価を重視し、最新のData Security Posture Management（データ・セキュリティのポスチャ管理）などのリスク管理技術も慎重に導入すべき。

6. ユーザーのリテラシー向上

情報漏洩対策には、データの取り扱いにおけるユーザーのリテラシーも不可欠。セキュリティ部門がデータの使用方法を理解し、ユーザーに対する教育やガイドラインの策定を進めることで、情報保護のルールが現実的かつ効果的に。

Gartnerが示す6つの要素は、セキュリティ対策を刷新し、新たなリスク環境に対応するための指針を示しています。企業はこれらの要素を取り入れることで、安全かつ効率的なデータ活用を実現し、未来に向けた競争力を維持できるでしょう。

出展：ガートナー 2024.10