公開日: |更新日:
生成AIアプリには、セキュリティ上のリスクが存在します。ここでは、生成AIアプリに多要素認証が必要と考えられる理由、活用されている多要素認証の事例などを紹介しています。
生成AIアプリを業務で活用する動きが広がっています。ただし、課題がないわけではありません。直面しやすい課題として、事実とは異なる情報を生成する「ハルネーション」があり、その対策としてプロンプトエンジニアリングやファインチューニングが挙げられます。
例えば、精度の高い回答を得るため、個人情報や機密情報を入力することが懸念されます。このようなケースで問題になるのが、不正アクセスによる情報漏洩です。生成AIアプリは会話を保存しているケースが多いため、盗み見されることで、第三者に重要な情報を悪用されるリスクがあります。
会社の許可を得ず生成AIアプリを利用している従業員が多い点にも注意が必要です。株式会社コーレが実施した調査では、53.4%が「会社が許可していない生成AIを業務で利用したことがある」と回答しています。入力した情報について、30.8%が「恐らく機密情報ではなかった」、13.8%が「機密情報かはわからない」、10.4%が「機密情報だった」と回答している点も見逃せません。会社が生成AIアプリの利用を禁止していても、機密情報が漏洩するリスクは残ります。
参照元:PRTIMES(https://prtimes.jp/main/html/rd/p/000000036.000037237.html)
ちなみに、セキュリティ関連のビジネスを展開するGroup-IBによると、生成AIアプリのアカウントはダークウェブ(通常の方法ではアクセスできないWebサイトの総称)のマーケットプレイスで取引されています。取引されているアカウントは、確認されているだけでも10万件を超過(2023年6月発表)。ダークウェブで流通する生成AIのアカウントは増加傾向にあります。
参照元:GROUP-IB(https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/)
以上のリスクを踏まえ、多要素認証が生成AIアプリに求められています。
生成AIの認証制度については、以下の記事で詳しく解説しています。こちらも参考にしてください。
OpenAIは、ChatGPTとAPIアカウントで多要素認証を採用したと2024年3月8日に公式X(旧 Twitter)で発表しました。多要素認証は、以下の流れで有効化できます。
多要素認証を有効化すると、ログイン時にワンタイムコードを求められます。そのため、悪意のある第三者にメールアドレスとパスワードを知られた場合でも、不正ログインのリスクを軽減できます。ChatGPTのセキュリティを強化することが期待されます。
生成AIアプリには、不正アクセスや情報漏洩のリスクがあります。保存された会話に機密情報が含まれる場合が多いためです。このことを認識せずに、無許可で業務に生成AIアプリを利用している従業員が多い現状があります。確認されているだけでも10万件を超えるアカウントがダークウェブで取引されていることに注意が必要です。これらを踏まえ、多要素認証の導入が求められています。業務などで生成AIを利用する場合は、多要素認証の導入を検討してみてはいかがでしょうか。
以下のページでは、多要素認証の概要や選び方について解説しています。詳しく知りたい方はぜひご覧ください。
アカウントと生産性を守る
Withコロナ時代の
情報セキュリティ必須概念
クラウドサービスの普及やワークスタイルの変化によって、これからの情報セキュリティはシステマチックな運用が求められます。
アカウントのセキュリティを高めながら、運用者と利用者双方の利便性を高めるためには「統合認証基盤(統合認証システム)」の概念を理解しておかなければなりません。
