Impervaはこのほど、「Navigating the Waters of Generative AI|Imperva」において、2023年12月6日(米国時間)に開催されたウェビナー「Trends in Data Security 2023: A Strategic Playbook for CISOs」のポイントを伝えた。このウェビナーではImpervaデータセキュリティ製品管理担当兼副社長のSumanth Kakaraparthi氏とForrester主席アナリストのHeidi Shey氏が、2023年の主要トレンドと2024年のデータセキュリティに関して議論している。

  • Navigating the Waters of Generative AI|Imperva

    Navigating the Waters of Generative AI|Imperva

生成AIのリスク

2023年は生成AIに関連した議論が活発な年になった。生成AIは人々の生活をより豊かにする可能性を秘めた強力なツールだが、同時にセキュリティ上のリスクを内包している。このセキュリティ上のリスクには、従業員による機密情報の扱い、データセットの汚染、意図せずに組織を攻撃にさらす可能性などが含まれる。Impervaはこの点について次のようにまとめている。

1.プライバシーと機密保持

生成AIに入力するプロンプトおよび関連データは生成AIの学習に利用されることがある。しかしながら、利用者がそれを制御することは難しい。そのため、悪意なく入力されたとしても、将来的にそのデータが公開されてしまう可能性がある。そこで、企業には従業員による機密情報、顧客データ、従業員データ、知的財産の入力を防止する対策が求められるが、確実に阻止することは困難とみられている。

2.データトラスト

意思決定は元のデータが正確であるという前提に成り立っている。そのため、意思決定のデータ収集に生成AIを使用するにはリスクが伴う。ChatGPTのようなOpenAI言語モデルを使用してインターネット上のデータ収集する場合、そのデータを活用した意思決定の前にデータソースを理解することが重要になる。

3.モデルの忠実性と精度

生成AIの機械学習モデルには懸念が存在する。生成AIの開発者は機械学習モデルを調整するが、この調整を理解していないまたは失敗した場合、不正確な結果を生成する可能性が高くなる。この不正確な結果は利用者に負担を強いることになる。また、上記のデータトラストを考えたとき、意思決定が望まない形で歪められる可能性がある。

4.AIによるガバナンスの欠如

AIを使用すると無意識に組織内に脆弱性をインストールする可能性がある。2022年、スタンフォード大学の調査にて、AI支援のコードジェネレーター(プログラムの開発支援ツール)を使用すると脆弱性を作り込む可能性が高いことが判明した。また、一般論としてAIの管理には民間と公的機関の協力が必要とされるが、それぞれ倫理的懸念、制限事項、プライバシー保護、著作権保護などに関するリスクの許容レベルが異なるという問題がある。

生成AIの有効性

ForresterはAIの有効な活用方法について解説している。主な活用方法として、コンテンツ制作、行動予測、知識の明確化を挙げている。コンテンツ制作では「レポートの要約」、「コーディング支援」など、行動予測では「プライバシーリスクの予測」、「攻撃者の行動予測」など、知識の明確化では「チャットボットの利用」などを挙げている。

  • Forresterが取り上げた人工知能の有効な活用方法の例 - 提供:Forrester

    Forresterが取り上げた人工知能の有効な活用方法の例  引用:Forrester

結論

ウェビナーでは主に生成AIに焦点を当てた議論が行われている。その内容として、生成AIのリスクと有効性を紹介したが、他にも「生成AIによってもたらされる新たなデータリスク」、「生成AIに関連する規制とコンプライアンス」についても議論が行われた。また、Impervaはこのウェビナーを2024年のデータセキュリティのための戦略的プレイブックと説明しており、組織の資産を守るための重要な洞察を得られるとして閲覧を推奨している。