AI 用の安全なゼロ トラスト基盤を構築する

AI は、ハイブリッドとリモート ワークの時代におけるビジネスの運営とイノベーションの方法を変革しています。また、特にデータのセキュリティとプライバシーに関して、新しい課題とリスクももたらします。企業は、どこからでも 従業員を革新し、サポート しようと努めていますが、貴重な情報を保護できることも必要です。ゼロ トラストは、従業員とそのデバイスをより適切に保護するためにモダン ワークスペースに適応するセキュリティ フレームワークです。ゼロ トラストは、セキュリティを強化するために実装できる AI テクノロジの保護も実現します。

マネージド データは、大量の情報を利用して分析情報を学習、分析、生成する AI モデルを促進します。このような安全なデータの必要性のため、マネージド データは、不正アクセス、誤用、盗難から保護する必要がある脆弱な資産になります。侵害 (エンドポイント、ID、アプリ、インフラストラクチャ、ネットワーク) は、風評被害、法的責任、信頼の喪失など、企業に深刻な影響を与える可能性があります。

ゼロ トラスト セキュリティ フレームワークを採用することで、企業は、従業員が仕事を片付けるために必要なものを提供しながら、アクセスを保護できます。ゼロ トラストは、次の 3 つの基本原則に従います。

1.      明示的に検証する。ゼロ トラストでは、データとリソースへのアクセスを許可する前に、ID とアクセス許可を継続的に検証する必要があります。
2.      最小特権アクセスを使用する。Just-In-Time および Just-Enough-Access (JIT/JEA) リスクベースの適応型ポリシーを使用して、ユーザー アクセスを制限します。
3.      侵害があるものと考える。問題が発生したと思われる場合は、アクセスをセグメント化して潜在的な脅威を直ちに最小限に抑えてから、分析を使用して問題を特定し、防御を強化します。

ゼロ トラスト セキュリティにより、機密情報はどこで保存、処理、アクセスされるかに関係なく、常に保護されます。これが ゼロ トラスト セキュリティが AI 導入のために重要である理由です。組織は、AI を採用したら、最も価値のある資産を継続的に保護するためのセキュリティ モデルを用意することで、イノベーションを促進し、生産性を高めることができます。

AI 実装には、より強力なセキュリティ対策と共にゼロ トラスト原則を適用できます。

正確で完全な一貫性のある情報によって AI 出力の品質が決まるため、このような情報を入手することが極めて重要です。誰かがアプリのアクセス許可やマネージド データを操作または改ざんすると、これらは破損します。これが原因で、AI ツールによって不正確で信頼性の低い結果、または偏った結果が生成されます。ゼロ トラストは、ID ライフサイクル全体を通じて不正アクセスをブロックすることで、データ整合性を保護します。

アクセス制御は、AI とそれを通知するデータの不正および不適切な使用を防ぐうえで決定的に重要です。ゼロ トラスト戦略では、最小限の特権の原則を適用することで、これらの制御を強化します。これにより、従業員が悪意のある目的で AI を使用して機密データ、アプリ、エンドポイント、ID にアクセスすることを防ぎます。

最新のテクノロジと同様、AI は、特にリモート デバイスを使用した侵害やサイバー攻撃に対して脆弱です。セキュリティ上の脅威により、マネージド データ、エンドポイント、ネットワークの機密性と可用性が損なわれる可能性があります。これにより、従業員と顧客のプライバシーと安全性に大きな影響が及ぶ可能性があります。ゼロ トラストは、従業員が使用するすべてのデバイスで多要素認証と同期 ID を使用してセキュリティを強化します。

ゼロ トラスト セキュリティとは、特定の製品やソリューションのことではありません。これは、組織がクラウドベース、オンプレミス、ハイブリッドのいずれであるかにかかわらず、すべてのアプリ、データ ソース、エンドポイント、インフラストラクチャ、あらゆる種類の環境を保護する高度なセキュリティを実現するために連携して機能する一連の原則、プラクティス、テクノロジを提供します。

ゼロ トラストの強力な基盤を構築して維持するために、企業は、次の重要なセキュリティ機能を組み込む必要があります。

ゼロ トラスト セキュリティの最初の原則では、アクセスを許可する前にすべての ID とデバイスを明示的に検証する必要があります。信頼は決して永続的に獲得または付与されることはありません。このため、信頼は状況に応じた動的なものとなります。つまり、信頼は、状況、場所、時間、またはデバイスに基づいて変化する可能性があります。

最小特権では、特定のタスクまたはロールに必要な最小レベルのアクセス権のみが付与されます。この原則では、データ、インフラストラクチャ、ネットワーク リソース、アプリ、またはエンドポイントにアクセスできる対象を、これらを必要とするユーザーのみに制限することで、攻撃面と侵害の潜在的な損害を減らします。また、権限の分離と知る必要性に応じた情報提供を強制することで、特定の従業員が機密性の高い情報にアクセスできないようにします。

ゼロ トラスト セキュリティでは、データ、アプリ、ロール、ビジネス機能の機密性に基づいて、ネットワークとインフラストラクチャをより小さなゾーンまたはセグメントに分割します。この方法では、承認されていないアクセスや悪意のあるアクセスからすべてを分離して保護し、セグメント間の移動と通信を制限することで、侵害の拡散を封じ込め、制限します。また、マイクロセグメント化も、輻輳を軽減し、より広範な監視と制御を可能にすることで、ネットワーク パフォーマンスと可視性を改善する役に立ちます。

この機能により、セキュリティ チームは、ネットワークとインフラストラクチャを監視して異常や疑わしい動作がないか確認し、リスクを分離または軽減するための措置を即時講じることができます。リアルタイムの脅威の検出と対応により、侵害の影響を軽減しながら、根本原因を特定して対処します。また、これは、継続的な適応と回復性を促進する実用的なフィードバックを通じて、組織のセキュリティ態勢の改善にも役立ちます。

ゼロ トラストでの安全な基盤の構築は、1 回限りのプロジェクトではなく、戦略的なビジョン、包括的なアプローチ、文化的な変化を必要とする継続的な取り組みです。

次の手順は、組織が現在いる場所、希望する場所、セキュリティ目標を達成する方法を評価するための広範なパスを提供します。

最初の手順は、既存のセキュリティ対策を評価し、長所と短所を特定し、ギャップと潜在的なリスクを特定することです。監査は、現在のセキュリティ態勢を理解し、それに応じてリソースを割り当てるアクションに優先順位を付けるのに役立ちます。

失われたり侵害されたりした場合に重大な損害を及ぼす可能性があるビジネスの運営用のエンドポイント、アプリ、インフラストラクチャ、ネットワーク、データ、リソースを特定します。価値、機密度、影響に基づいて各資産を分類します。重要な資産を特定すると、最も重要なものを保護する取り組みに集中できます。

防御領域を管理するための特定のルールとポリシーを作成して文書化します。これらのポリシーは、明示的な検証、最小限の特権、侵害の想定という、ゼロ トラストの 3 つの主要な原則に基づいている必要があります。これらのルールは、確定されたものではなく、将来の基礎を築きます。

ID およびアクセス管理、データ暗号化とハッシュ、ネットワークのセグメント化と分離、脅威の検出と対応、セキュリティ分析とインテリジェンスなど、ゼロ トラスト ポリシーを適用してサポートするテクノロジをデプロイします。これらのソリューションは、ビジネス プロセス、システム、運用、目標と統合し、これらに合わせて調整する必要があります。

テクノロジが導入されたら、ゼロ トラスト セキュリティの重要性と利点、それを実装して維持するロールと責任について従業員を教育します。従業員のトレーニングと意識向上は、強化されたセキュリティと信頼の文化を醸成するのに役立ち、従業員のエンゲージメントとコンプライアンスを向上させることができます。また、このトレーニングは、セキュリティ侵害の一般的な原因である人的ミスの防止または削減にも役立ちます。

これですべてが運用可能になったので、セキュリティ パフォーマンスを評価し、問題を特定し、改善の機会を見つけるための時間を計画します。継続的な監視は、セキュリティ態勢を維持および強化し、時間の経過と共に脅威の状況が変化するにつれて回復性を高めるのに役立ちます。

ゼロ トラストの基盤を採用すると、AI とビジネスにとって重要な利点も得られます。

ゼロ トラスト セキュリティにより、ネットワーク、ID、エンドポイント、アプリ、データ、AI ツールがすべて、常に保護、検証、監視されます。安全な AI を確保すると、責任を持ってテクノロジを使用して、顧客やパートナーに信頼と信用を伝えることができます。

ゼロ トラスト フレームワークは、一般データ保護規則 (GDPR)、カリフォルニア州消費者プライバシー法 (CCPA)、医療保険の携行性と責任に関する法律 (HIPAA) など、データのセキュリティとプライバシーに関する規制要件と基準を満たし、それを上回るのに役立ちます。また、欧州委員会の AI 法または OECD の AI 原則など、AI の倫理とガバナンスに関する新しい進化する規制に対する準備と対応にも役立ちます。

データに対して "決して信用せず、常に検証する" という原則を適用することで、正当な目的について承認された従業員のみがデータにアクセスできるようにし、AI の使用に関するデータ プライバシーを強化できます。また、データに対する透明性、制御、同意が提供されるため、顧客、従業員、またはパートナーなどのデータ主体の権利と好みを尊重および保護するのにも役立ちます。

この機能により、セキュリティ チームは、ネットワークとインフラストラクチャを監視して異常や疑わしい動作がないか確認し、リスクを分離または軽減するための措置を即時講じることができます。リアルタイムの脅威の検出と対応により、侵害の影響を軽減しながら、根本原因を特定して対処します。また、これは、継続的な適応と回復性を促進する実用的なフィードバックを通じて、組織のセキュリティ態勢の改善にも役立ちます。

強力なゼロ トラストの基盤を持つことが AI の統合とセキュリティにどのように役立つかを示す実用的なユース ケースについて説明します

ゼロ トラストは、独自の AI アルゴリズム、トレーニング済みの AI モデル、AI の知的財産権を保護するのに役立ちます。また、承認されていないアクセスまたは悪意のあるアクセス、変更、盗難を防ぐこともできます。これにより、整合性と信頼性がそのまま維持されます。 

• シナリオ: AI コードをハッシュし、固有の AI 環境を分離し、AI 開発者が適切なアクセス権のみを持つよう徹底することで、研究開発における AI アルゴリズムを保護します。

AI データ パイプラインには、コレクションから分析へのデータ フローを可能にするプロセスとシステムが含まれます。ゼロ トラストでは、このデータをライフサイクル全体にわたって保護、検証、監視し続けて、その品質と正確性が維持されるよう徹底します。 

• シナリオ: すべての IoT デバイスを追跡して検証し、転送中と保存中のデータを暗号化し、ネットワーク ゾーンをセグメント化して双方向通信を制限することで、IoT デバイスからクラウド プラットフォームへのデータ フローをセキュリティで保護します。

AI ガバナンスでは、AI の使用が倫理的で、責任があり、説明できるものであるよう徹底するためのフレームワークとプロセスを構築します。ゼロ トラスト セキュリティは、AI のアクセスとアクティビティを監視および監査し、会社のポリシーと規制へのコンプライアンスを維持するのに役立ちます。

• シナリオ:AI とそのデバイスを使用するすべてのユーザーを継続的に検証し、AI の出力とログを暗号化してハッシュし、リアルタイムの脅威の検出と対応を実装することで、AI のパフォーマンスと動作を監視します。

AI を念頭に置いてゼロ トラストの基盤を構築すると、最新の環境の複雑さに効果的に適応し、ハイブリッドとリモート ワークを受け入れ、従業員、デバイス、アプリ、データをその場所を問わずにより適切に保護するモデルが作成されます。これにより、企業は自信を持って AI テクノロジを活用し、新しい価値を生み出し、AI テクノロジを強化してイノベーションと将来のセキュリティ保護を実現できます。

ゼロ トラストと AI は相互に補完し合います。組織が AI を採用して受け入れ続けるのに伴い、投資をセキュリティで保護するためのゼロ トラスト原則が必要になります。同様に、セキュリティ態勢がより複雑で動的になるのに伴い、AI を実装して特定の機能を自動化することで、IT チームの負担が軽減され、より重要なタスクに集中できるようになります。

AI の安全なゼロ トラストの基盤を構築することは、効率的で安全な AI エクスペリエンスにとって非常に重要です。これは、企業がネットワーク、エンドポイント、アプリ、ID、データ、インフラストラクチャを保護し、AI パフォーマンスを強化し、AI リスクを軽減するのに役立ちます。ゼロ トラストは、企業が AI システムに対する信頼と信用を構築し、規制コンプライアンスを改善し、データ プライバシーを強化するのにも役立ちます。

Microsoft ゼロ トラスト ガイダンス センターにアクセスして、AI の安全なゼロ トラストの基盤を構築する方法の詳細をご確認ください。