Netskopeの調査によると、生成AIアプリケーションは現在、組織の96%で利用されており、これらの公開ツールに機密データが共有されるリスクが高まっている。
同レポートは、生成AIアプリへの独自のソースコード共有が、データポリシー違反全体の46%を占めることを明らかにした。
さらに、組織が法的に保護する義務を負う規制対象データは、生成AIアプリケーションと共有されている機密データの3分の1超(35%)を占めており、企業を高額なデータ侵害のリスクにさらしている。
知的財産に関する情報は、生成AIアプリと共有されるデータの15%を占める。
クラウドストレージおよびコラボレーションアプリは、84%のケースで、これらのアプリと共有された機密データの送信元となっていた。
生成AIアプリに最も頻繁に送信された機密データの送信元は次のとおり:
- OneDrive(34%)
- Google Drive(29%)
- SharePoint(21%)
- Outlook.com(8%)
- Google Gmail(6%)
生成AIアプリの利用は、2023年から2024年にかけて、組織の74%から96%へと増加した。
企業は現在、平均で約10個の生成AIアプリを利用しており、2023年の3個から増加している。導入上位1%の組織は平均80個のアプリを利用しており、昨年の14個から大幅に増えた。
組織で最も一般的に導入されている生成AIアプリは次のとおり:
- ChatGPT(80%)
- Grammarly(60%)
- Microsoft Copilot(57%)
- Google Gemini(51%)
- Perplexity AI(42%)
しかし、生成AIアプリを利用している従業員の全体割合は依然として低く、5%にとどまっている。
生成AIのセキュリティ制御
Netskopeは、生成AIのデータリスクを管理するためにデータ損失防止(DLP)制御を利用する組織が75%増加し、2023年の24%から2024年には42%へと上昇したことを確認した。
DLPポリシーは特定のデータフローを制御することを目的としており、特に機密情報や秘匿情報を含む生成AIプロンプトをブロックするために用いられる。
企業のおよそ4分の3は、機密データの流出リスクを抑えるため、少なくとも1つの生成AIアプリを完全にブロックしている。約5分の1(19%)はGitHub CoPilotを全面的に禁止している。
また同レポートは、生成AIの利用を制御するポリシーを持つ組織において、コーチングダイアログの利用が2023年の20%から2024年には31%へと増加したことも明らかにした。
これらのダイアログは、ユーザーが生成AIアプリとやり取りしている最中に警告を表示し、操作を取り消すか続行するかを選択できるようにする。このアプローチは、作業をブロックすることなく、ユーザーに情報を提供して行動変容を促すことで、より的を絞ったセキュリティを実現することを目的としている。
コーチングダイアログのアラートが送信されたケースの57%で、ユーザーは生成AIツールで実行していた操作を中止することを選択した。
翻訳元: https://www.infosecurity-magazine.com/news/sensitive-data-sharing-genai/
