イントロダクション
ウェブブラウザを介したデータセキュリティリスクは、外部の攻撃者からだけではなく、善意ある従業員や請負業者による過失からもたらされることが多いです。特に、ウェブベースの生成AIツール、SaaSアプリ、ウェブアプリ、クラウドストレージの爆発的な普及に伴い、偶発的なデータ漏洩が大幅に増加しています。大手企業が持つ包括的なデータ損失防止(DLP)機能を持たない中堅企業は、信頼とトレーニングに依存しているため、特に脆弱な状態にあります。
データ損失の現状と課題
過去12ヶ月間で、組織の52%がインサイダー(意図的か偶発的かを問わず)による機密データ損失を経験しており、43%が生成AIの使用に関連するデータ損失インシデントを1つ以上報告しています。生成AIを介したデータ損失は、従業員が機密データを不適切なアカウントやアプリにブラウザ経由で送信するという既存の大きな問題に対する新たな経路です。従業員が誤って機密情報を送信する可能性のあるチャネルは、生成AIツールだけでなく、未承認のSaaSやウェブアプリ、個人メールやクラウドストレージアカウントへの機密文書の共有など、多岐にわたります。これらのインシデントのほとんどは、知識労働者が時間の約85%を費やすウェブブラウザを通じて発生しています。
パロアルトネットワークスのシニアプロダクトマーケティングマネージャー、モニーク・ランス氏は、「現在、生成AIであろうと他のツールであろうと、多くのシャドーITが発生しています。典型的な中堅企業では、使用されている新しいアプリケーションの約85%から90%がITによって正式に承認されていないため、適切に保護できません。最終的な可視性や制御がないため、従業員が何を画面共有しているのか、何を他のアプリケーションにコピー&ペーストしているのかを知ることはできません」と述べています。
多くの組織では、従業員が自分のクラウドプラットフォームやウェブアプリを日常的に使用しています。これは必ずしもITの制御を回避したいという明確な理由からではなく、使い慣れており、これらのアプリがユーザーフレンドリーであると感じているからです。これはユーザーエクスペリエンスとデータセキュリティが競合する典型的な例であり、厳格なセキュリティ制御を展開すると、従業員が効率的に作業するために危険な回避策を探す可能性があります。
生成AIとデータ漏洩のリスク
生成AIは、その使用のほとんどがウェブブラウザを通じて行われるため、現在、主要な単一障害点の1つとなっています。生産性向上の可能性にもかかわらず、生成AIインタラクションの約72%が非企業アカウントで発生しています。例えば、従業員は日常的に情報を生成AIツールにコピー&ペーストしますが、その情報には機密の企業データが含まれている可能性があり、モデルトレーニングに使用されたり、プラットフォームが侵害された場合のデータ漏洩時に再浮上したりするリスクがあります。機密データがいったん生成AI、SaaS、またはウェブアプリベンダーの外部サーバーに流出すると、内部のセキュリティ制御とポリシーの範囲外となり、その機密データは管理不能な状態に置かれ、露出するリスクがあります。
断片的なDLPの問題点
多くの組織では、保護対策が統合されておらず、特にデータ損失防止(DLP)が分断されていることも問題です。ランス氏が述べたように、「メール用のDLP、エンドポイント用のDLP、保存データ用のDLP、転送データ用のDLPはありますが、ブラウザでは、完全な最終段階の保護に必要なすべてのDLPが提供されます」。
もう一つのリスクは、管理されていないデバイスです。従業員や外部の請負業者が、自分のブラウザを介して機密文書を個人のローカルデバイスやストレージデバイスにダウンロードする可能性があります。これらのデバイスは適切に保護されていない可能性があり、攻撃者によって侵害され、機密データにアクセスされる可能性があります。
効果的な対策:セキュアブラウザとAI搭載DLP
これらの内部リスクに効果的に対処するために、中堅企業は、ユーザーエクスペリエンスに摩擦を加えることなく、意図的または偶発的な漏洩を防ぐことを目的とした、ブラウジングセッション中に深い可視性と粒度の高いユーザー制御を提供するセキュアブラウザに注目しています。例えば、AI搭載のブラウザネイティブエンタープライズDLPは、アプリケーションに入力されるコンテンツを機密データについて検査し、ウェブサイトやウェブアプリの種類に関わらず、潜在的に問題のある活動をリアルタイムでブロックします。これにより、ブラウザ内で発生するすべてのことが記録、監視され、複数のポイントシステムからログデータを統合する必要なく、セキュリティチームに可視化されます。
結論
今日のデジタル環境では、インサイダーによるデータ損失、特にブラウザセッションを通じて発生する損失への対策は、企業にとって喫緊の課題です。生成AIツールの普及やシャドーITの増加に伴い、従業員の利便性を損なうことなく、機密データを保護するための包括的かつ統合されたアプローチが不可欠です。セキュアブラウザとAIを活用したDLPソリューションの導入は、この課題を克服し、データセキュリティを強化するための鍵となるでしょう。