はじめに
生成AI(人工知能)技術が進化するにつれて、企業のITマネージャーは新たなセキュリティーリスクにどう対処するか考慮する必要があります。特に、ChatGPTなどの大規模言語モデル(LLM)が広く採用される中で、安全な利用方法についてのリテラシー向上が重要です。
この記事では、ChatGPTの安全な使い方に焦点を当て、大企業のIT管理部門が採るべき対策について解説します。
新たな技術はサイバー攻撃の的になる
新しい技術が登場した際は、それを悪用するサイバー犯罪者が必ず多く現れます。PCの普及、スマホの普及、その度にサイバー犯罪者達は新たに普及されたものを利用して悪事を行ってきました。彼らが現在ターゲットにしているもののひとつが、ChatGPTです。
既にChatGPT用のハッキングツールが存在していますし、盗まれたと思われるログイン情報は、「プレミアムアカウント」としてハッカーフォーラムで幾つも販売されているのが現状です。
企業でChatGPTを使用するのであれば、IT管理部門は企業の情報をサイバー犯罪者達から守らなければなりません。そのためにはIT管理部門が、ChatGPTの使用にどのようなリスクがあるのかを知っておく必要があるのです。
ChatGPTとの会話は「入力」ではなく「共有」
OpenAIの公式サイトでは、ChatGPTと会話をする際に利用者が打ち込む言葉を「入力」ではなく「共有」と呼んでいます。また、同サイト上には「会話がシステム改善のためにAIトレーナーによって確認される場合がある」とも記載があることから、ChatGPTとの会話で入力している内容は、常に他の誰かに閲覧される可能性があることを考慮すべきでしょう。
大前提として外に漏れては困る情報をChatGPTに入力するべきではないのです。また、ChatGPTに入力する情報が機密情報ではなくても、企業で安全に使用するためには二つの大きなポイントがあります。それは「ログイン情報の安全性」と「認証情報の管理」です。
①:ログイン情報の安全性
盗難リスクに注意
ChatGPTのログイン情報(ユーザーIDとパスワード)が漏れると、会話履歴やその他の個人情報が流出する可能性があります。強固なパスワードの設定、二要素認証の導入など、ログインセキュリティを強化する手段は多く存在します。
使い回しは厳禁
前述したとおり、ChatGPT用のハッキングツールが既に存在しているため、パスワードの使い回しは極めて危険です。リスト型攻撃によって、使い回ししたログイン情報が盗まれる可能性があります。
②:認証情報の管理
プラグインに注意
ChatGPTでは、プラグインを用いて機能を拡張することが可能です。ただし、このプラグインが潜在的なセキュリティーリスクとなり得ることを、OpenAI自体が明確に指摘しています。プラグインを使用する場合は、その出所と信頼性を確認する必要があります。
スマホアプリの危険性
ChatGPTの類似アプリが多く存在するため、偽物や悪意のあるアプリが存在する可能性もあります。信頼性の確認は不可欠です。
LLMの二面性
セキュリティ強化の新たな道
ここまでの話を総合すると「LLMは、便利ではあるがセキュリティリスクが高い」と判断されてしまうかもしれません。その認識に間違いはないのですが、一方でLLMにはセキュリティ強化に寄与している側面もあるのです。
GoogleやMicrosoftは、Sec-PaLMなどのセキュリティー用LLMをマルウエア検出ツールやSIEMツールに搭載しています。
企業内の活用
特に企業内でのログ解析などにLLMを利用する際、Sec-PaLMのようなセキュリティー対策に特化したLLMを使用することで、より高度なセキュリティー対策が可能となります。
結論
ChatGPTやその他のLLMは、便利な一方で新たなセキュリティーリスクをもたらす可能性があります。しかし、適切な対策とリテラシー向上によって、これらのリスクは最小限に抑えられます。特にIT管理部門が積極的に新技術を採用し、教育とトレーニングに力を入れることで、企業全体のセキュリティレベルを高めることが可能です。
また、2023年8月に企業向けのChatGPT、ChatGPTエンタープライズが発表されました。より安全に企業内でChatGPTを使いたいのであれば、ChatGPTエンタープライズの導入を推奨します。詳しくは下の記事をご覧ください。
