ChatGPTを安全に活用する、セキュリティと利便性の両立とは？

ChatGPTの利用にはリスクが潜んでいる

ChatGPTの活用事例

最近よく話題になっているChatGPT。当社でも活用を始めています。
　活用例①：会議データを文字起こしし、テキストをテChatGPTに読み込ませることで要約、
　課題、決定事項等の抽出を行う。

　活用例②：プログラムソースコードの生成

ChatGPTのリスク

上手に活用すれば生産性向上など業務改善が期待できますが、一方でセキュリティ観点では機密情報が外部に漏洩してしまうリスクを包含しており、野放しにできない存在かと思います。

活用例①のリスク
会議の内容は機密事項に関わることも会話されているケースも多く、そのデータChatGPTに送信され、学習データとして蓄積。その後、第三者のChatGPTの回答として自社の機密事項が表示されてしまうリスク。

活用例②のリスク
ChatGPTへのインプット情報としてAPIアクセスキーやパスワードを直接入力してしまい、
そのデータがChatGPTに送信され、学習データとして蓄積。その後、第三者のChatGPTの
回答として自社の機密事項が表示されてしまうリスク。

利便性とセキュリティの両立をめざせ！

従来のセキュリティツールの問題点

これらのリスクに対する対策としては従来のセキュリティツールでは大きく以下２パターンでの対応になります。

　1. セキュリティツールでChatGPTの利用を禁止する
　2. 社員にメール等で注意喚起を促しつつChatGPTの利用を許可する

１の対応ではセキュリティリスクはなくなりますが、ChatGPTが全く利用できない為、生産性向上など業務改善は一切行われません。
２の対応では社員の性善説に頼った対応となり、実際にルールを守って利用しているか神のみぞ知るという状況です。
このように従来のセキュリティツールでは利便性は捨ててリスクをゼロとするか、リスクは許容して利便性をとるかと両極端な対応しかできない点が問題です。

DX推進の重要なポイント

ChatGPTに限らず革新的な技術を擁した新しいクラウドサービスが次々と登場し、これらを上手に活用することがDXにおいても必要不可欠であり、企業の競争力を高めるために重要なポイントです。そこでクラウドサービスのリスクも理解しつつ、従来のセキュリティツールのような極端な対応ではなく、利便性とセキュリティの両立を実現できるツールが必要です。

Netskopeで実現するChatGPTの安全な利用方法

前振りが長くなりましたが、Netskopeは利便性とセキュリティを両立できるセキュリティツールです。NetskopeでChatGPTを安全に利用するための機能や方法をご紹介します。

１．リスクの喚起

Netskopeにはサイトにアクセスした際に警告のポップアップを出す機能があります。ChatGPTにアクセスしたタイミングでユーザの下記のようなポップアップを出して利用者にリスクを理解した上で使用させることができます。「利用する」ボタンを押せばそのまま利用可能となります。
メールや社内ポータルでの注意喚起では一度見たら忘れ去られてしまいがちですが、この機能はサイトにアクセスした際に都度現れるので効果が期待できます。

                                     

２．機密情報の投稿をブロック

警告を表示しつつ利用させるという方法をご紹介しましたが、これでけでは当然まだリスクは残ります。Netskopeでは強力なDLP機能を有しており、機密情報や個人情報などを投稿した場合にブロックすることができます。実際にブロックした場合、ChatGPT上はエラーとなり投稿できません。下記画面ではクレジットカード番号を投稿してエラーになった例です。番号が表示されて見えますが、実際にはエラーとなっているのでChatGPT側にはデータは送信されていません。

ChatGPT側のエラーのほかにポップアップが表示され、会社のポリシーにより投稿がブロックされていることが利用者にも伝わります。
                                             

一方で各社で何をもって機密情報とするのかは懸案ポイントです。Netskopeに機密情報としてブロックするためのポリシーをあらかじめNetskopeで定義しておく必要があります。もちろん会社ごとに決めた機密情報に該当する禁止ワードも利用可能ですが、Netskopeではあらかじめ用意している3500以上のデータ識別子（データの塊、テンプレート）が利用可能ですので、ポリシー作成を強力に支援してくれることがとてもありがたい特徴です

＜データ識別子例＞
　マインナンバー、郵便番号、運転免許証番号など
　コンプライアンステンプレート（GDPR、米国FTC規則など）

３．有償アカウントだけを利用許可する

実はChatGPTでは有償アカウントであれば「ポストしたデータを学習データに使用しない」オプション申請ができます。”有償アカウントであれば”ですので、そのままでは会社PCで利用者が意図的に無償アカウントを使えば抜け道ができてしまいます。NetskopeではNetskopeが導入されている会社PC環境からは有償アカウントしか使わせないという制御が可能です。@以降のドメインが自社ドメインでればすべて許可ということもできますし、特定のメールアカウントだけを許可といったことも可能です。この機能を使えば１や２の機能は不要ではないかという考え方もあるかと思いますが、本当に「ポストしたデータを学習データに使用しない」かどうかはChatGPTを運営しているOpenAI社をどこまで信用するのか、ということが論点となります。自社のポリシーや考え方によりますが、１や２も組み合わせて利用することも検討の余地はあるかと思います。

DX推進に役立つノウハウを提供

昨今、Google Bard（対話型文章生成） 、Perplexity AI（AI検索エンジン） 、Beaytufyk.ai（プレゼン作成支援） といったChatGPT以外にも生成AI系のクラウドサービスが爆発的に増えてきています。Netskopeでは新たに「GenerativeAI」という新しいカテゴリが新設され、ChatGPT以外にも今回ご紹介した制御が可能になってきています。

Netskopeを活用したChatGPTの安全な利用方法についていかがでしたでしょうか。このように今後Netskopeでの最新のアップデート情報やユースケースを定期的に発信していきたいと考えております。自社運用を通じて得たニッチなノウハウを有している丸紅ITソリューションズはお客様の課題やニーズに対してとことん付き合って解決していく会社です。皆様が最新のクラウドサービスを積極活用し、DX推進のお役に立てればと思いますので、ご興味をもたれた方は是非お問合せください。