catch-img

セキュリティ担当者様向け| AIクラウドサービスのセキュリティ評価を実施する際の留意点


目次[非表示]

  1. 1.はじめに
  2. 2.ChatGPTの業務利用に関する動向
    1. 2.1.Azure OpenAI Serviceを利用した企業独自の環境を構築するケース
    2. 2.2.ChatGPTのAPIを利用するケース
  3. 3.業務に利用するAIクラウドサービスのセキュリティ評価を実施するうえでの情報セキュリティ上の留意点のまとめ
    1. 3.1.AI機能の性質や構成
    2. 3.2.データの利用、利用終了時の削除、所在地
    3. 3.3.外部からの不正アクセス対策
  4. 4.まとめ
    1. 4.1.公開されたAI利用ガイドライン

はじめに

前回のコラムでは、ChatGPT Web版の業務利用方針を検討するうえでの留意点について解説しました。多数の企業様に更新情報通知を登録いただくとともにご質問をいただくなど大きな反響がありました。

大手クラウドサービスが生成AIへの参入を発表するなど、生成AIは引き続き大きな話題となっています。

Assuredは、ChatGPTを含めた、SaaS/ASPなどのクラウドサービスのセキュリティリスク(安全性)の第三者評価情報を集約したプラットフォームとして、先端技術と正しく向き合い、ビジネスに取り入れていくためのルールメイクを支えていく役割を目指しています。

本コラムでは、ChatGPTの業務利用に関する動向および業務で利用するChatGPTのAPIを利用したAIクラウドサービスのセキュリティ評価を実施する上での留意点を、Assuredのセキュリティ評価専門チームが企業のセキュリティ担当者の皆様向けに解説をさせていただきます。最新AI技術を安心・安全に活用し、業務の効率化や新たなビジネスチャンスに繋げていただくため、本ページをぜひお役立てください。

ChatGPTの業務利用に関する動向

多くの企業様や自治体様がChatGPTの業務利用について発表しています。

前回のコラムで解説したChatGPTのWeb版において入力情報が学習データとして利用されることによる情報漏えいリスクを回避するために、Azure OpenAI Serviceを利用した企業独自の環境を構築するケースとChatGPTのAPIを利用するケースが大多数を占める印象です。また、クラウドサービス事業者様からChatGPTのAPI等を利用したクラウドサービスのリリースが相次いでいます。

Azure OpenAI Serviceを利用した企業独自の環境を構築するケース

・株式会社ベネッセホールディングス様

社内AIチャット「Benesse GPT」をグループ社員1.5万人に向けに提供開始

・パナソニックホールディングス株式会社様

AIアシスタントサービス「PX-GPT」をパナソニックグループ全社員へ拡大 国内約9万人が本格利用開始

・株式会社三井住友フィナンシャルグループ様

SMBCグループの専用環境におけるAIアシスタントツール「SMBC-GPT」の実証実験の開始につい

Azure OpenAI Serviceは、Microsoft社が提供するAzureサービスで、Azureインフラストラクチャ内でホストされたOpenAIモデルが利用できます。

利用者から提供されたデータは その利用者のモデルの Fine-tuning (微調整)にのみに使用され、学習モデルのトレーニングや改善には使われず、OpenAI社にデータは送信されません。

プロンプトと完了データは、Azure OpenAI Serviceによってリソースと同じリージョンに最大 30 日間一時的に保存される場合があり、障害が発生した場合のデバック目的およびサービスが適用される規約に違反していないかの調査のためにMicrosoft社の従業員によってアクセスされます。

プロンプトと完了データが保存されないようにするためには、Microsoft社に不正使用の監視を変更する申請を行う必要があります。

Azure OpenAI Service の概要

Azure OpenAI Serviceのデータ、プライバシー、セキュリティについての説明

ChatGPTのAPIを利用するケース

・株式会社サイバーエージェント様

「ChatGPTで広告運用の実行スピードを大幅短縮する「ChatGPTオペレーション変革室」を設立」

・横須賀市役所様

自治体初!横須賀市役所でChatGPTの全庁的な活用実証を開始(2023年4月18日) 

ChatGPTのAPIは、OpenAIのサイトでAPIキーを取得することで利用が可能になります。APIを利用して入力データを送信することでモデルが生成したメッセージを受け取ることができます。

APIを利用して入力したデータは、Web版と違いモデルのトレーニングやOpenAIのサービス提供の改善には利用されません。

Privacy policy

Terms of use

How your data is used to improve model performance

Azure OpenAI Serviceを利用した企業独自の環境の構築やChatGPTのAPIを利用するシステムを独自に構築するためには、多額の費用やノウハウが必要になります。

そのため、SaaSの導入が増加している理由と同様に、資産や開発・保守体制を社内に持つ必要がなく、早期にChatGPTの利用が開始できることからChatGPTのAPI等を利用したAIクラウドサービスの提供や利用が今後増加することが想定されます。

本コラムの執筆時点で以下の用途に関するAIクラウドサービスがリリースされています。

  • 文章の作成、要約、校正
  • 翻訳
  • FAQチャットボット
  • Webコンテンツやプログラムの生成

業務に利用するAIクラウドサービスのセキュリティ評価を実施するうえでの情報セキュリティ上の留意点のまとめ

AIクラウドサービスにおけるセキュリティ評価の留意点は、他のクラウドシステムと共通していますが、特に留意する点について以下にまとめます。

ChatGPTのAPIを利用したAIクラウドサービスは、以下のような構成になります。

留意点は、ChatGPTのAPIを利用することで入力データがChatGPTの学習モデルに利用されないが、入力データと出力結果が共にAIクラウドサービスに蓄積され、クラウド事業者様が蓄積されたデータにアクセスする可能性がある点です。

AI機能の性質や構成

ChatGPTの出力結果はすべて正しいとは限りません。そのため、利用責任は利用者にありますが、AIクラウドサービスの出力結果も同様です。

AIクラウドサービスにおける出力結果の精度や利用上の留意点が利用規約やSLA、サービス仕様書等に明記され説明されていることを確認しましょう。

また、ChatGPTの仕様が将来的に変更になる可能性があるため、クラウドサービス事業者様がChatGPTの仕様変更に対応できるか確認しましょう。(以下一例)

  • ChatGPTの仕様変更を検知し、対応することが文書化されているか
  • 利用者に通知する内容、方法、タイミングが定められているか
  • クラウド事業者様とOpenAI社等のサービス連携先との役割や責任範囲が明確か

データの利用、利用終了時の削除、所在地

ChatGPTのAPIを利用することで入力データはモデルの学習に使用されませんが、AIクラウドサービスに入力データや出力結果が蓄積されます。

そのため、データの所在地やクラウド事業者様がデータにアクセスするのか、アクセスする場合に適正に取り扱っているか以下について確認しましょう。

  • 個人情報保護法等の法規制対応が必要となる場合があるため、データの保管およびアクセスされる国
  • クラウド事業者様によるデータの取得内容、利用目的や利用方法、第三者提供および外部委託での取り扱いの有無
  • クラウド事業者様およびサービス連携先の従業員がデータにアクセスする際のルール策定有無およびログをモニタリングしているか
  • クラウド事業者様およびサービス連携先の従業員がデータに不正アクセスできないようにアクセス制限されているか
  • AIクラウドサービスの利用終了時のデータの取り扱いが契約や利用規約によって明記されているか、またデータの削除が可能か

外部からの不正アクセス対策

AIクラウドサービスに秘密情報を保存する可能性があるため、外部からの不正アクセスによる情報漏えいリスクを低減するためのセキュリティ対策が取られているか以下について確認しましょう。

  • サービスへの接続について接続元IPアドレスやデバイス認証等による制限が可能か
  • 多要素認証やリスクベース認証、シングルサインオン等の適切な認証方式を用いることができるか
  • ファイアウォール、WAF、 IDS/IPSを導入しているか
  • プラットフォーム診断およびアプリケーション診断を定期的に実施しているか
  • OSやアプリケーション、ミドルウェア、ファームウェア等すべてのソフトウェアの脆弱性およびEOSLに関する情報を定期的に収集し、適宜パッチによる更新やソフトウェアのアップデートを行っているか

まとめ

本コラムではChatGPTの業務利用に関する動向およびAIクラウドサービスのセキュリティ評価で特に留意していただきたい点について解説しました。AIクラウドサービスに限らず個人情報や秘密情報をクラウドサービスで取り扱う場合に、必ず確認いただきたい観点になります。

AIクラウドサービスの業務利用においては、AIクラウドサービスのセキュリティ評価だけでなく、AIクラウドサービスを利用する業務や入力内容をコントロールするも重要です。

AIの利用ガイドラインのひな形や社内用のAI利用ガイドライン等の公開されている情報を参考に自社におけるAI利用ガイドラインを作成し従業員に周知した上で、AIクラウドサービスを利用されることを推奨します。

公開されたAI利用ガイドライン

・一般社団法人日本ディープラーニング協会様

JDLAが、『生成AIの利用ガイドライン』を公開

・STORES株式会社様

STORES社内用のAIサービス利用ガイドラインの初版をリリースしました

また、Assuredをご活用いただくことで、本コラムで解説したセキュリティ評価項目を含めた網羅的な安全性評価を行うことも可能ですので、お困りの企業様はぜひご相談ください。

業務の効率化や改革にAIの利活用は必要不可欠です。安全・安心な活用促進に向けて、Assuredは今後もChatGPT等のAIに関する動向について収集し公開していきますので、よろしければ以下のフォームよりご登録をいただければと思います。

(編集:Assured編集部)

Assured編集部
Assured編集部
セキュリティ評価プラットフォーム「Assured」を提供しています。クラウドサービスやサプライチェーンのセキュリティマネジメント、セキュリティ対策に役立つ記事を発信していきます。

セキュリティ評価プラットフォーム「Assured」は、クラウドサービスの安全性を可視化するサービスです。

国内外のガイドラインやフレームワークに基づき、クラウドサービス事業者からセキュリティ情報を収集。専門家がリスクを評価し、データベース化しています。評価情報は開示申請だけで最短、即日で確認可能。海外のクラウドサービスも評価でき、未掲載のサービスは代行調査も承ります。

セキュリティ評価情報は、最新の評価に更新次第、通知されるため、定期監査にもうってつけ。セキュリティ評価にお悩みの方はぜひ、資料をダウンロードし詳細をご確認ください。

Assured

クラウドサービスの安全性を可視化する
セキュリティ評価プラットフォーム

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

関連記事

Seminar

開催予定のセキュリティセミナー

Ranking

人気記事ランキング

Tag

タグ

Assuredとは?

Assured(アシュアード)は、クラウドサービスの安全性を可視化する、セキュリティ評価プラットフォームです。最短即日でご覧いただけるセキュリティ評価情報や、クラウドサービスが取得している認証などを一元化したデータベースにより、貴社のDXを加速します。

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

Assured

クラウドサービスの安全性を可視化するセキュリティ評価プラットフォーム