ガートナージャパンは7月24日〜26日、年次カンファレンス「ガートナー セキュリティ&リスク・マネジメント サミット」を開催した。本稿ではその中から、Gartner ディレクター,アナリストのアンソン・チェン氏が登壇し、「2024年のデータ・セキュリティの展望」と題して、生成AIを中心に企業から懸念の声が相次いでいるデータ・セキュリティの在り方を展望したセッションの内容を紹介する。
データ・セキュリティの重要性がかつてないほど高まっている
膨張し続ける宇宙のように、データのユニバースも広がり続けている。それに伴いデータ・セキュリティへの対応はますます困難になっている。アンソン氏は企業が考えなければならない点として「データ・セキュリティの現状」「AIはデータ・セキュリティをどう変えつつあるか」「2024年は自身のレーダーで何を捉えておくべきか」の3つを挙げた。
1つ目のデータ・セキュリティの現状について、アンソン氏はこう述べる。
「これまでのデータ・セキュリティはファイアウォールの内側で実施され、境界の外側をWebアプリケーションファイアウォールなどで守るというアプローチでした。データ・セキュリティはネットワークセキュリティそのものであり、アタックサーフェスも小さかったと言うことができます。しかし現在は、SaaSを中心に公共の場でも利用される分散アーキテクチャとなり、アタックサーフェスもどんどん変わっています。新しい在り方でデータ・セキュリティを担保していかなければなりません」(アンソン氏)
データ・セキュリティに関しては、データの漏えいや窃取だけでなく、インサイダー脅威やコンプライアンス、プライバシー、越境データ、データ主権、ビジネス停止などにも直接的に関わってきている。
「現在の脅威は、われわれがデータを保護する能力をはるかに上回っています。アプリケーションだけを保護すれば良いのではなく、アイデンティティを守り、アクセスコントロールの状態を把握していくことが重要です。セキュリティチームはデータチームと協業して多要素認証(MFA)の仕組みなど、的確な対策を施す必要があります」(アンソン氏)
ガートナーの調査によると、MFAを使用していない組織の割合は57%を超えている。また、データ侵害の割合の49%は認証情報の窃取が原因であり、フィッシングや脆弱性の悪用といった旧来からの攻撃手法も引き続き増えている状況だ。
「利便性のために基本的なセキュリティを無視することは、高度なセキュリティ脅威を招きます。強いパスワードのポリシーを実行する、ベストプラクティスを実践するといった基本を押さえながら、セキュリティを組み込むセキュリティバイデザインを徹底すべきです」(アンソン氏)
生成AIがデータ・セキュリティにもたらすリスクとメリット
2つ目の論点である「AIはデータ・セキュリティをどのように変えつつあるのか」は、AIの中でも生成AIが中心的なテーマだ。
「生成AIはチャットボットや生産性向上のためのツールとして、すでに多くの現場で活用されています。ガートナーの調査によると組織の70%は生成AIを業務で利用しているか、導入を検討しています。しかし問題はその中で53%しかAI利用に関するガイダンスを作成していないことです。ポリシーがないとユーザーはどうAIを使ってよいか分かりません。ポリシーやガイダンスを作成している企業であってもガイダンスの内容を覚えていないという従業員は7%もいます。従業員向けのランディングページなどを作成して、従業員とAIの利用に関してコミュニケーションを図ることが求められます」(アンソン氏)
ガートナーの調査によると、生成AIの導入に関してユーザーが抱えている課題のトップは「データの正確性や信頼性、透明性」(49%)といったデータの品質に関するものだ。しかし、「データ保護とプライバシー(ガバナンス)」(39%)や「AIに関連する潜在的なリスクを軽減する能力」(34%)といったデータおよびセキュリティ規制に関する課題も多くを占めている。
また、生成AIに関連するリスクに対応するためにツールを導入する動きも進んでいる。ガートナーの調査によると、顧客のプライバシーを保護しながらデータ分析やAI活用を進めるための「プライバシー強化テクノロジー(PET)」をすでに導入している企業は7%で、導入作業中は19%、検討中は51%に及んでいる。
アンソン氏によると、AIが生み出すデータ・セキュリティ面のリスクとしては「ユーザーによるAIツールへの機密情報のアップロード」「AIで強化されたデータ侵害」「AIトレーニングデータに機密情報が含まれること」「AIアシスタントが適切でない情報を明らかにすること」などがある。一方、AIが生み出すデータ・セキュリティ面のメリットとしては「インシデント対応の自動化による時間の節約」「データ・セキュリティアナリストの生産性向上」「データリスクの検知精度の向上」「解決までの時間の短縮」などが挙げられる。
「AIは、攻撃側でも防御側でも同じように、より一般的なものになっていきます。賢く利用することが求められます」(アンソン氏)
セキュリティリーダーは2024年、何に取り組むべきか
3つ目の論点である「2024年は自身のレーダーで何を捉えておくべきか」については、4つの達成目標を挙げながら、それぞれについて、企業がどう取り組んでいけばよいかをアドバイスした。
1つ目の重要事項は「データ・セキュリティの成熟度を測定する」だ。
「成熟度を測定することでデータ・セキュリティの能力を上げることができます。アタックサーフェスを削減し、生成AIなどの新しい技術をセキュアに利用できるようになります。インシデントが発生した場合もインパクトを押さえ込むことが可能です。ぜひ覚えておいてほしいのは、ツールやテクノロジーは身に付けるべきケイパビリティの全てではなく、ほんの一部だということ。基本的な対策を怠ったままテクノロジーを導入しても効果は発揮できません」(アンソン氏)
2つ目の重要事項は「データ中心のセキュリティを構築または強化する」だ。
「データ中心のセキュリティは、基本から始めます。データディスカバリやデータ分類、データアクセスガバナンスなどです。これらによりデータが可視化でき、ダークデータの削減につながります。その上で多層防御につながる取り組みを進めていきます。例えば、データ損失防止(DLP)、データの暗号と権限管理(EDRM)、データセキュリティポスチャ管理(DSPM)、データの検知/対応などです。その際には、データを保管中、移動中、使用中といったステータスに注目し、適切に管理していきましょう」(アンソン氏)
3つ目の重要事項は「データ・セキュリティに関するAIの能力をテストする」だ。
「例えば、セキュリティチームのアプローチとしては、自然言語を用いてデータインシデント管理や脅威ハンティングを行います。また、AIによる検知/対応ツールを活用してデータ侵害のパターンを検知し、分析を行うこともできます。さらに、機械学習を使用したデータの自動分類や、異常な振る舞いとデータリスク指標の変化の検知、インシデント対応の自動化と負荷軽減なども可能です」(アンソン氏)
4つ目の重要事項は「ポスト量子暗号(PQC)」への備えだ。2022年にNIST(米国立標準技術研究所)は量子コンピュータによる攻撃に耐性のある4つのアルゴリズム(CRYSTALS-Kyber、CRYSTALS-Dilithium、SPHINCS+、Falcon)を選定し、2023年には3つの標準が起草された(FIPS 203、204、205)。アンソン氏は「データ保持状況の記録」「使用中の暗号の棚卸し」「ベンダーの対応ロードマップの検証」などを、今から準備しておくべきだとした。
最後に同氏は次のようにガートナーの提言をまとめ、講演を締めくくった。
「組織のデータ・セキュリティの成熟度を測定すること、アタックサーフェスと侵害の影響範囲を縮小すること、独自のAIデータポリシーを定義すること、AIによる偶発的/意図的なデータ開示リスクを軽減することが求められます」(アンソン氏)