Gartner、AI／生成AI時代の情報漏洩対策に不可欠な6つの要素を発表

2024年10月30日

Gartner、AI／生成AI時代の情報漏洩対策に不可欠な6つの要素を発表

データのさらなる活用によって生まれる情報漏洩のリスクに対し、セキュリティと企業競争力強化を目指すためにデータ・セキュリティの刷新が重要に

ガートナージャパン株式会社 (本社：東京都港区、以下Gartner) は、開催中のGartner IT Symposium/Xpoにおいて、新しい時代の情報漏洩対策に不可欠な6つの要素を発表しました。

AIや生成AIの利用がビジネス環境で身近になるにつれ、企業における情報漏洩のリスクへの懸念も高まっています。Gartnerは2024年3月に、日本国内のセキュリティ・リーダーを対象に実施した調査において、2023年の企業の情報漏洩の発生状況について尋ねました。その結果、サイバー攻撃による情報の漏洩が発生したと回答した割合は34%、インサイダーによる情報の漏洩については27.7%が発生したと回答しました (図1参照)。一方、セキュリティ部門は、情報漏洩対策が十分でないため、AI等によるデータ活用の拡大について不安に感じていることも明らかになっています (57.2%)。

図1. 情報漏洩の発生状況 (2023年)

出典：Gartner (2024年10月)

シニア ディレクター アナリストの矢野 薫は次のように述べています。「日本のセキュリティ部門は、今までネットワーク・セキュリティやマルウェア対策などのインフラ・セキュリティに重きを置く傾向にありました。情報漏洩対策については、これまで積極的に実行してこなかったと認識しているセキュリティ・リーダーも多く、実際に、Gartnerの調査でも過半数が積極的に対策を取ってこなかった点について反省していると回答しています。その一方で、情報保護の重要性について、従業員の理解をなかなか得られていないことも認識しています」

企業がデータ活用をセキュアなものにし、競争力のある未来を目指すには、次の6つの要素を押さえた情報漏洩対策の推進が重要です。

1：情報漏洩対策の知見

国内では今まで多くの企業が境界型セキュリティの施策を取っていたため、セキュリティ部門やシステム・インテグレーター (SI) 企業にはデータ・セキュリティについての実務経験者がいないなど、セキュリティの知見がサイバーセキュリティに偏っているような現状が見られます。セキュリティの範囲は広いため、サイバーセキュリティに詳しい担当者が必ずしもデータ・セキュリティに明るいわけではないという点を認識する必要があります。

実務経験者が少ない企業では、リアリティのある運用をイメージするのが難しい場合があります。新しい時代の情報漏洩対策の知見を得るために、公開事例に頼らず先進的な取り組みを行っている企業に自らインタビューを実施するなど、新しい情報収集方法の実践が重要となります。

2：情報漏洩対策のフィロソフィ (コンセプト)

企業はセキュリティの境界を定め、ユーザーは境界中では自由にデータにアクセスし分析できました。しかしこれでは情報を外へは持ち出せず、クラウドの利用や外部との共有が思うようにできず、企業が目指すデジタル時代の姿と大きく乖離してしまうことになります。境界型セキュリティ、つまりデータの保護をネットワークやシステムといった大きな単位で行うのではなく、ユーザー、データの種類、ユーザーの作業範囲などの小さな単位で暗号化や権限付与を行うことが求められています。

「境界を作って自由にアクセス」できる環境から、アクセスできる人ならびに操作できる内容を限定する「情報漏洩対策に向け過剰なアクセス権の付与をなくす」ことへ、セキュリティのフィロソフィを大転換することが重要であり、さらにこれを、従業員が生成AIなどを本格利用する前に大々的に周知することが重要です。

3：情報漏洩対策の責任の所在

情報が漏洩して困るのは、企業の経営陣だけではありません。ユーザー部門も取引先や顧客の情報には責任を持っており、何かあった場合にはそれを伝える説明責任があります。境界型セキュリティの時代に企業のセキュリティがインフラ・セキュリティに大きく依存していたことなどから、情報漏洩の責任は経営あるいはIT／セキュリティ部門であると誤解しているユーザーが多く存在します。セキュリティ部門は、ルール制定やテクノロジの評価に責任を持つものの、ビジネス上必要なデータを使う上でデータ保護／アクセス管理を行い、情報が漏洩しないようにする責任はユーザー部門にもあることを、今一度周知しておく必要があります。

4：データ・マップの作成

データの生成場所／保存場所ならびに所有者、そしてそのデータの重要度と使用者を示すデータ・マップを作成することが重要です。データ・マップを作成する際は、どのデータがそのビジネスにとって重要なのか、そのユーザーはそのデータを本当に扱う必要があるのかなど、さまざまな観点を踏まえて作成する必要があります。

矢野は次のように述べています。「法規制による定義等で客観的判断が可能なものについては、機械による検出も可能ですが、ビジネス的に重要かどうかの判断はビジネス的な主観が求められるため、ユーザーによる精査が必要です。また、このようにして作られるデータ・マップは情報の生成や変更、そして廃棄に至る一連の『ライフサイクル』に合わせてタイムリーに更新することが重要です」

5：テクノロジの評価と活用

データ保護に際しては、データの分類／検出、データ暗号、ファイル保護、権限管理などさまざまな種類のテクノロジが用いられることになります。しかしこれらは決して新しいものではありません。これまでにもあるものです。「どんな保護テクノロジがあるのか」という議論は収束しつつあり、現在は「どのように実装するか」といった点に検討の重心が移動しつつあります。

テクノロジを評価する際は、機能面の評価だけでなく、「ユーザーにとって使いやすいものなのか」という運用面の評価にも十分な時間を費やすことが重要です。また、新しいものとしてはデータ・セキュリティ・ポスチャ・マネジメント (Data Security Posture Management) など、リスクの変動を分析できるようなものが検討できるようになっていますが、過度に依存しすぎず冷静に評価する必要があります。

6：ユーザーのリテラシー向上

情報漏洩対策に関するルールは、データ分析に用いるツールや取り扱うデータの種類によってさまざまです。ユーザーのほうもそうした状況に応じて適切なルールを適用しなければなりませんが、セキュリティのリテラシーは一定ではなく、高い人もいれば低い人もいます。戦略的な業務や重要データを扱うケースについては、ユーザーのルール遵守の促進のために、セキュリティ部門のほうでユーザーのデータの使い方を積極的に理解し、セキュリティのマニュアルにこれまで以上にリアリティを持たせることが肝要です。

日本のITエグゼクティブ向けのニュースや最新情報は、GartnerのXやFacebookでも案内しています。最新のプレスリリースや記事、ウェビナー情報については、ニュースルームよりご参照ください。

日本で提供しているサービスについては、こちらよりご参照ください。https://www.gartner.co.jp/ja/products

Gartner IT Symposium/Xpoについて

10月28～30日に開催中のGartner IT Symposium/Xpoでは、「今日をリードし、明日を形作る」をテーマに、テクノロジ・イノベーション、経営幹部のリーダーシップ、ビジネス戦略の3つのトラックからなるプログラムをご用意しています。主要な17のトピック領域における最新のテクノロジ、戦略、そしてリーダーシップに関する知見を提供し、CIOとリーダーシップ・チームにとっての最重要課題を取り上げます。コンファレンスのニュースと最新情報は、Xでご覧いただけます (#GartnerSYM)。