Microsoft 365やGoogle Workspaceなどのデジタルワークスペースを活用する企業が増加しているが、そこに保存した機密情報を管理する方法までを考慮している企業は少ない。昨今、データ侵害やハッキングなどのセキュリティインシデントが問題になっているが、ガバナンス体制が強化されていないデジタルワークスペースは、攻撃者にとって格好の餌食となる危険性を孕んでいる。2024年8月27日に開催された「ガートナー デジタル・ワークプレース サミット」では、ガートナー リサーチディレクターのマックス・ゴス(Max Goss)氏が登壇。「情報ガバナンスの強化によって生成AIのリスクを軽減する」というテーマで講演を行い、デジタルワークスペースにおける生成AIツール活用での4つのリスクと、情報ガバナンス改善のための6つのステップを提示した。
Microsoft 365、Google Workspaceにデータを入れることは安全か?
デジタルワークスペースにおいて、企業の機密情報をどのように管理するかは重要な問題であると、ガートナーのマックス・ゴス氏は語る。近年、デジタルワークスペースで生成AIを活用することで、ユーザーがコンテンツを検索、作成する方法を刷新できると期待されているが、そこにはリスクも潜んでいる。Varonisのレポート『The Great SaaS Data Exposure』によると、Microsoft 365を使用している組織では、平均して10個に1個の機密ファイルが全ユーザーに公開されているという。
Gartner for Technical Professionals
コンテンツ/コラボレーション/エンドユーザー担当リサーチ・チーム
リサーチディレクター マックス・ゴス(Max Goss)氏
このような懸念に対し、MicrosoftとGoogleは以下のような主張をしている。
- Copilot for Microsoft 365/Gemini for Google Workspaceとユーザー間のやりとりは、組織内にとどまる
- プロンプトデータは、ファウンデーションモデルであるLLMのトレーニングには使用されない
- データの保管場所やプライバシーに関する規則が尊重される
- 生成AIツールは、Copilot for Microsoft 365/Google Workspaceに既存のガバナンスとセキュリティコントロールを継承する
一方で、「両社はクラウド環境を保護するための情報をかねてより多く出していることから、そこに課題があると気づいているはずだ」とゴス氏。ガートナーが2023年に実施したウェビナーで、参加者にCopilot for Microsoft 365の導入にともなう最大のリスク/問題は何か聞いたところ、「従業員に対する機密情報の過剰共有や公開」が72%と最多だった。次いで、「データがLLMによって組織外で処理される」「不明確なユースケースが限定的な導入や低調なROIにつながる」などの懸念が挙げられた。
Copilot for Microsoft 365の導入にともなう最大のリスク/問題【出典:Gartner(2024年8月)】
[画像クリックで拡大]
生成AIの、“情報”に関する4つのリスク
同社がリサーチしていく中で、「生成AIツール活用には大きく4つのリスクがあることがわかった」とゴス氏は述べる。その4つのリスクとは、以下のものだ。
- 過剰共有/公開:アクセス権がないはずの情報に基づく結果をユーザーが受け取る可能性がある
- 不正確さ:陳腐化したコンテンツや無関係なコンテンツに基づくアウトプットが行われ、不正確な情報や誤情報が拡散される可能性がある
- 間違い:ハルシネーションを起こし、誤答する可能性がある
- 無秩序な増加:コンテンツ、コンテナ、その他デジタルワークスペースオブジェクトが、急速に作成される可能性がある
この中から、ゴス氏は機密情報の過剰共有/公開について一例を紹介した。Copilot for Microsoft 365に「セバスチャン・ケンプさんが今仕事で使用しているドキュメントは何か」と尋ねると、AIは「『Tennis Club Society.docx』と『Confidential Salary Structure.docx』を使用している」と答えた。前者は機密情報ではないが、後者は給与体系を記載した機密情報だろうと推測される。続けて、「給与はいくらだったか」と質問すると、そのドキュメント内に記載されている「年俸30,000ポンド」という回答が返ってきた。
この例から、生成AI活用において重要なのは情報の権限の設定であるということがわかる。昨今、データ侵害やハッキングなどのセキュリティインシデントが問題になっているが、攻撃者がCopilot for Microsoft 365のライセンスを持った場合、上記の例のように組織データを容易に閲覧できる状況が出来上がってしまう。情報の権限をきちんと設定することで、こういった事態を防ぐことができる。
ワークスペースの情報ガバナンスを改善させる6ステップ
では、これらのリスクを改善するにはどうしたらよいか。ゴス氏は、「長期的に有効な解決策は、デジタルワークスペースにおける情報ガバナンスを再考することだ」と語り、それを実現するためのステップとして、以下の6つを挙げた。
- デジタルワークスペースの共有設定を確認し、すぐに達成できる成果を特定する
- リスクの高いワークスペースや過剰共有されたコンテンツを特定し、修復する
- 情報アーキテクチャと権限モデルを開発する
- 情報保護/保持ポリシーを実装する
- KPI、継続的モニタリング、フィードバック機能を確立する
- 共有とコラボレーションに関する必須トレーニングを設計する
まず、1つ目のステップである共有設定の確認は、情報の過剰共有リスクを軽減するための策として有用だ。JEA(Just Enough Acess)のポリシーを採用し、情報を共有すべき相手を意識的に選択しながら設定することで、過剰共有を防げる。
2つ目のステップは、Copilot for Microsoft 365やGeminiなどを導入する前に行うべきものだ。特に、ワークスペースを導入する際に行うべきアクションとして、すべてのワークスペースの監査が必要だとゴス氏。まず、注視すべき高リスクが予想されるワークスペースの特徴に関して、以下を挙げた。
- 「外部ユーザー以外のすべてのユーザー」グループと共有されているパブリックグループ、チーム
- 「すべてのスタッフ」グループが誤用されているサイト
- 所有者が存在しないグループ、チーム、サイト
- 最近のアクティビティが存在しないグループ、チーム、サイト
ワークスペースの監査を終えた後には、高リスクな要素に対するアクションが必要となる。そのアクションとは、エンドツーエンドのアプローチでワークスペースガバナンスを改善することだ。具体的には、まず「どういった状況の時に、どのワークスペースを使うのか」など、様々なワークスペースのユースケースについて合意を形成し、伝達することから始まる。次に、既存のワークスペースを修復するために管理ポリシーを導入。その後、管理されたセルフサービスアプローチにより、新しいワークスペースの作成をコントロールする。そして、継続的な検出を支援するためにインベントリを作成し、リスクの優先順位付けを行える環境を作る。それらが完了したら、余剰ワークスペースの再認定/有効期限に関するポリシーを確立する。
「すべての情報を永久に保存していくことは、リスクにつながります。AIの時代において、重要なものは保持し、価値のないものは外していくことが必要です」(ゴス氏)
3つ目のステップである情報アーキテクチャと権限モデルの開発は、長期的な観点から見ると最も重要なアクションだという。従来、多くの組織では情報アーキテクチャ内のガバナンスは考慮されてこなかった。デジタルワークスペースをうまく機能させるために重要なのは、明確な保存先を決めることだ。ビジネスにおいて、重要な情報がどこにあるのか正しく把握することで、情報を適切にコントロールし、保護できる。それは、生成AIによる過剰共有を防ぐことにもつながる。
[画像クリックで拡大]
情報ガバナンスを向上させるツール選びの手法とは
4つ目のステップに挙げられた情報保護/保持ポリシーの実装は、長期的な取り組みとして重要なものだとゴス氏は述べる。このステップには3つのフェーズがあり、①情報の分類、②情報の保護、③情報の統制である。これらを行う際、すべての情報をラベリングするのは現実的ではない。ここでまず必要となるのは、組織の中で誰の持つ情報が最も高リスクなのかという視点だ。つまり、組織の誰が最もクリティカルなデータにアクセスできるのかを考え、その人たちがどこにファイルを保存しているのか把握することが重要となる。これにより、リスクの軽減や対応すべき情報の優先順位付けも行える。
このように、情報ガバナンスを向上させる際のツールの選び方として、「ファーストパーティだけでなくサードパーティを活用することが有効だ」とゴス氏。たとえば、ファーストパーティにSAM(SharePoint Advanced Management)を使用しているのであれば、サードパーティとしてAvePointやeShare、Varonisなどのツールを用いることで、粒度の細かい管理が可能となる。実際、Microsoft 365の調査では、73%の組織がMicrosoft 365の管理のためにサードパーティのツールを使っていると回答したとのことだ。
5つ目のステップは、KPI、継続的モニタリング、フィードバック機能を確立することだ。ガートナーが2023年に行ったMicrosoft 365に関する調査によると、Microsoft 365の使用状況と導入状況を測定するためにKPIを定義したと回答したのは、8%だったという。加えて、42%の組織はそもそも測定をしていなかった。このような現状を踏まえ、ユーザーが適切な形でワークスペースを使用できているか確認するための方法として、ゴス氏は以下の3つの方法を提示した。
- 使用状況とユーザーの行動を理解する:優れた状態を理解するためにKPIを策定。レポーティング機能とユーザーフィードバック構造を組み合わせて活用する
- 教育とトレーニングの対象者を絞り込む:トレーニングの対象者を「使用率が低い、または望ましくない行動が見られる部門/グループ」に絞り込む
- コントロールとガードレールを反復する:ユーザーの権限強化とコントロールの適切なバランスを実現する、均整の取れたガードレールを開発する
最後のステップである共有とコラボレーションに関する必須トレーニングの設計は、技術的なアクションではない。多くの組織では、サイバーに関する必須トレーニングは実施しているのに対し、情報共有に関する必須トレーニングは考慮していない。コンテンツを如何にして共有し保存するかは、サイバーセキュリティにおいても重要な観点だ。「ワークスペース内で会社全体・すべてのユーザーなどのリンクの使用を最小限に抑える」「電子メールでファイルを送信しないようにする」などのトレーニングを実践することで、意識という面からリスクを軽減させることが可能になる。
生成AIの活用においては、プロンプトに関するトレーニングも重要だ。Copilot for Microsoft 365に指示する際、「最新の権限に基づいた情報を提示してもらえるよう、プロンプトの書き方を学ぶことも必要だ」とゴス氏。トレーニングの重要性を提示する資料として、Copilot for Microsoft 365を導入した企業に関するチャートが示された。
[画像クリックで拡大]
水色の線は、イネーブルメントされたライセンスを受けたユーザーの数だ。濃紺の線は、実際にそのライセンスを導入している社員の数である。このグラフを見ると、トレーニングセッションを行った際、ライセンスを導入した社員の数が増加している。それは、全員がCopilot for Microsoft 365を使えることに期待したからだとゴス氏は述べる。
しかし図を見ると、ライセンスを受けている人数と、アクティブにCopilot for Microsoft 365を使用している人数に大きなギャップがあることがわかる。ゴス氏は、生成AIをビジネスにおいて価値あるものにするためには、「セキュリティガバナンスのリスクと同様に、生成AIにおける変更管理も重要で、導入を拡大するうえでのカギとなります」と締めくくった。
Enjoyed this article? Sign up for our newsletter to receive regular insights and stay connected.