生成AIにまつわるリスクを回避して安全に使うには？ ‐ BroadcomとSB C&Sが語る

BroadcomとSB C&Sは7月28日、昨年に引き続き、2度目の開催となるシマンテックメディアカンファレンスを開催した。

カンファレンスには、SB C&S ICT事業本部 ネットワーク＆セキュリティ推進本部 本部長の山名広朗氏、Broadcom Inc.シマンテックエンタープライズ事業部 エンドポイント製品開発責任者のAlpesh Mote氏、同事業部 プリンシパルソリューションスペシャリストの髙嶋俊雄氏が登壇し、生成系AIによってサイバー攻撃の手法が高度化する中、企業が求められるセキュリティ対策について解説した。

本稿では、その一部始終を紹介する。

• 

  左から、SB C&S ICT 事業本部 ネットワーク＆セキュリティ推進本部 本部長の山名広朗氏、米Broadcom シマンテックエンタープライズ事業部 エンドポイント製品開発責任者のAlpesh Mote氏、同事業部 プリンシパルソリューションスペシャリストの髙嶋俊雄氏

ゼロトラストに注目が集まる理由は「テレワーク」と「クラウド」

最初に登壇した山名氏は「日本で求められているサイバーセキュリティ対策」として「ゼロトラスト」について説明した。

「ゼロトラスト」とは、「何も信頼しない」を前提に対策を講じるセキュリティの考え方のことで、現在注目されているという。

「ゼロトラストが必要性を増している理由の1つは『テレワーカーの増加』にあります。コロナ禍になり、在宅勤務やテレワークが一気に増加したことにより、それまでは出社して会社で業務を行っていた人々の働く場所が多様化しました。自宅やカフェで働く人が増えたのです」（山名氏）

• 

  ゼロトラストの必要性について語る山名氏

また、山名氏はゼロトラストにニーズが集まる理由として、「クラウド利用の増加」を挙げた。

パブリッククラウドやSaaSの利用の増加に伴い、アプリケーションがクラウドに移行していったため、ビジネスユーザーがアクセスする場所が増えたのだという。そのため、全方位でセキュリティ対策を講じる必要が出てきた。

こうした背景から、ゼロトラストの国内市場は右肩上がりで伸び、2027年には1864億円以上の市場に拡大することが予測されているそうだ。

これだけ需要が高まっているゼロトラスト事業だが、一方で、大きな課題もあると山名氏は語る。

「ゼロトラストを活用した事業に注目が集まり、盛り上がっていることは喜ばしいことですが、概念や機能、メーカーが乱立してしまっているという課題も存在します。たくさんのメーカーや商品が誕生しているため、ユーザーからすると『どれを選ぶべきか』と悩んでしまうのです」（山名氏）

SB C&Sはここに介在の余地があると考え、ゼロトラストに特化した30人のプロジェクトチームを発足した。このプロジェクトチームには、技術職から営業職までの精鋭が集結し、組織・部門・役割を超えて、さまざまなメーカーや商品の差異や特徴を顧客に伝える業務を行っているという。

生成AIを保護して適切に使用する

次に登壇したMote氏は、「シマンテックが考えるこれからのエンドポイント製品」として、同社の考えを説明した。

「われわれは働く場所やデバイスの変化によって、Windows端末だけを管理していればいい時代は終わりを迎えたと考えています。そのため、弊社のSymantec Endpoint Security Complete（SESC）は、あらゆるデバイスとOSを保護します」（Mote氏）

• 

  シマンテックのこれからを語るMote氏

同社は、エンドポイントセキュリティ・ソリューションとして、「Symantec Endpoint Security Enterprise」や「Symantec Endpoint Security Complete」を提供している。前者は、エンドポイントを保護するため、「マルウェア対策」「集中保護」「メモリエクスプロイト緩和」「ふるまいに基づく防御」などの機能を提供する。後者は「Symantec Endpoint Security Enterprise」の機能に加えて、EDR機能、脅威ハンティング機能、Active Directoryの脅威対策機能、アプリケーションの制御と隔離機能が追加されている。

Mote氏の言葉の通り、同社では以下のような内容の保護を推進しているという。

• エンドポイント保護 (「Symantec Endpoint Protection」の上位バージョン)
• EDR（Endpoint Detection & Response）
• 脅威ハンター & 脅威インテリジェンス
• 適用型保護（Adaptive Protection）
• アプリケーションコントロール
• Active Directory脅威保護（TDAD）
• シングルエージェント

続いて登壇した高嶋氏は、「次世代の労働生産性をセキュアに」というテーマで、生成AIとセキュリティの関係性について語った。

「生成AIの登場によって、労働生産性は大きく向上しました。その一方でリスクがあることは、皆さんご存じでしょう。保護されていないで生成AIを活用する場合、重大なリスクが伴います」（高嶋氏）

• 

  生成AI活用におけるセキュリティ対策の必要性を語る高嶋氏

生成AIにまつわるリスクとして、高嶋氏は「プライバシーの懸念」を挙げ、以下のような具体例を説明した。

・入力されたデータがとりこまれてしまう（直近の例: ソースコードの流出）
・透明性
–データ収集の経路
–データ処理
–同意の取得
・個人情報の開示要求/削除要求への対応
・各地域で異なる規制への準拠
・3rd partyによる利用
–データの2次利用
–生成AIサービスのWebサイトを保護しても効果が薄い

「適切に保護されていない組織の選択肢は『生成AIを使用しない』か『生成AIをそのまま使用する』の2択ですが、どちらも良い選択肢とは言えません。使用しない場合は、低生産性につながりますし、そのまま使用する場合は高いリスクを負うことになるからです。そんな生成AIのセキュリティの問題をシマンテックは解決しています」（高嶋氏）