TokyoBlackHatNews

cybersecuritydive.com 5分で読了

ブラウザセッションにおける内部関係者主導のデータ損失を防ぐ方法

Webブラウザに関わるデータセキュリティリスクのすべてが外部の攻撃者に起因するわけではありません。その多くは、善意の従業員や請負業者のミスから生じます。偶発的なデータ露出は、Webベースの生成AIツール、SaaSアプリ、Webアプリ、クラウドストレージの急増と時期を同じくして、大幅に増加しています。

ミッドマーケット(中堅)組織は、一般に大企業が備える包括的なデータ損失防止(DLP)機能を欠き、主として信頼とトレーニングに依存して運用しているため、特に脆弱です。過去12か月で、組織の52%が機密データの損失を経験しており、その原因は内部関係者(意図的または偶発的)によるものです。また、43%は生成AIの利用に関連するデータ損失インシデントを1件以上経験しています。

生成AIツール経由のデータ損失は、既存の重大な問題に対する新たな侵入経路です。すなわち、従業員が本来送るべきでない機密データを、ブラウザ経由で不適切なアカウントやアプリに送信してしまうことです。もちろん、生成AIは従業員が意図せず機密情報を送信してしまう可能性のある数多くのチャネルの一つにすぎません。未承認のSaaSやWebアプリもあります。別のケースでは、機密文書を個人のメールやクラウドストレージアカウントに共有してしまうこともあります。

例は尽きませんが、これらのインシデントには共通点があります。ほとんどがWebブラウザを通じて発生しているという点です。現在、平均的なナレッジワーカーは時間の約85%をブラウザで過ごしています。「生成AIであれ他のツールであれ、今はシャドーITが多く起きています」と、Palo Alto Networksのシニア・プロダクト・マーケティング・マネージャーであるMonique Lance氏は述べています。「典型的なミッドマーケット組織では、利用され始める新しいアプリケーションの約85%〜90%がITによって正式に承認されていないため、適切に保護できません。ラストマイルの可視性や制御がないので、何を画面共有しているのか、何を他のアプリケーションにコピー&ペーストしているのか、といったことが分からないのです。」

多くの組織では、従業員が自分のクラウドプラットフォームやWebアプリを日常的に利用しています。必ずしもITの制御を明確に回避したいからではなく、使い慣れていて、しばしばそれらのアプリの方が使いやすいと感じているためです。実際、その通りであることも多いでしょう。これは、ユーザー体験とデータセキュリティが競合し始める典型例です。承認済みのアプリやWebサイトをほんの一部だけホワイトリスト化するなど、極めて厳格なセキュリティ制御を導入すると、従業員は効率的に仕事を進めるためにリスクの高い回避策を探したくなるかもしれません。

生成AIは、genAIアプリの利用のほぼすべてがWebブラウザ経由で行われるため、いまや主要な単一障害点の一つとなっています。生産性向上の可能性がある一方で、生成AIとのやり取りの約72%は非企業アカウントで行われています。1例えば、従業員は日常的に情報をgenAIツールとの会話にコピー&ペーストしますが、その情報には機密の企業データが含まれている可能性があります。プラットフォームが侵害された場合のデータ漏えい時や、モデル学習に利用された場合に、そのデータが再浮上する恐れがあります。

問題は、機密データが外部サーバーに流出してしまうと、それがgenAI、SaaS、またはWebアプリのベンダーのものであれ、社内のセキュリティ制御やポリシーの外に出てしまい、その機密データが自社の管理下から外れて露出してしまうことです。 

さらに、多くの組織では保護が分断され、統合されていないことも問題を悪化させます。特にデータ損失防止において顕著です。Lance氏は次のように述べています。「メール向けのDLP、エンドポイント向けのDLP、保存データ向けのDLP、転送中データ向けのDLPがあります。しかし、ここ、ブラウザでは、完全なラストマイル保護に必要なDLPをすべて得られます。」

別のリスクベクトルは管理されていないデバイスです。従業員や外部請負業者が、自分のブラウザを使って機密文書をローカルの個人デバイスやストレージデバイスにダウンロードする可能性があります。このデバイスは適切に保護されておらず、攻撃者に侵害される恐れがあり、その結果、デバイス上に潜む脅威が機密データにアクセスできてしまいます。 

こうした内部リスクに効果的に対処するため、ミッドマーケットのチームは、ユーザーのブラウジングセッション中に深い可視性を提供し、きめ細かなユーザー制御を強制できるセキュアブラウザに注目しています。目的は、ユーザー体験に摩擦を加えることなく、意図的・非意図的な漏えいを防ぐことです。例えば、AI搭載のブラウザネイティブなエンタープライズDLPは、アプリケーションに入力される内容を機密データの観点で検査し、潜在的に問題のある活動をWebサイトやWebアプリを問わずリアルタイムでブロックします。これにより、ブラウザ内で起きるすべてのことが記録・監視され、セキュリティチームに可視化されます。多数のポイント製品からログデータを統合する必要がなくなるのです。

1LAYERX エンタープライズAIおよびSaaSデータセキュリティレポート 2025。Enterprise AI and SaaS Data Security Report 2025. https://go.layerxsecurity.com/the-layerx-enterprise-ai-saas-data-security-report-2025

翻訳元: https://www.cybersecuritydive.com/spons/how-to-stop-insider-driven-data-loss-in-browser-sessions/808445/

ソース: cybersecuritydive.com
#SaaSセキュリティ #インサイダー脅威 #クラウドストレージリスク #シャドーIT #データ損失防止(DLP) #ブラウザセキュリティ #中堅企業(ミッドマーケット) #情報漏えい対策 #生成AI(GenAI) #非管理端末(BYOD)

関連記事

トランプ大統領、強力なAIモデルへの政府早期アクセスを求める大統領令に署名

Red Hat の npm パッケージ30件超がサプライチェーン攻撃の標的に

Anthropic、重要インフラ事業者を含む150以上の組織にMythosを拡大提供