生成AI活用の増加に伴い、新たなデータ漏えいのリスクが高まる AIを活用し、企業存続に影響する「データ保護」はどう変わるべきなのか：AI時代における情報漏えい対策に悩まない“ぐっすり眠れる日々”へ

サイバー攻撃が巧妙化し、激増する今、従来のセキュリティ対策に限界を感じる企業・組織が増えている。人材不足でリソースも限られる中、「何を優先して守るべきなのか」に立ち返ると、個人情報や機密情報を含む「データ」の重要性が浮かび上がってくる。生成AIの活用も広がる今、企業資産である機密データをどうすれば保護できるのか。データ中心のセキュリティ対策に詳しい有識者に聞いた。

PR／＠IT

PR

生成AI活用も影響――今、データ中心のセキュリティ対策が求められる背景

　近年、日本でもランサムウェア（身代金要求型マルウェア）攻撃が激増し、企業・組織のサイバーセキュリティ対策は、外部からの侵入を防ぐ境界防御から侵入後の攻撃活動を検知、阻止する事後対策やエンドポイントセキュリティへとシフトしている。これらの施策は依然として重要だが、その一方で「何を優先して守るべきか」という視点――すなわち企業の重要資産であるデータに着目した対策は、十分に浸透しているとは言いにくい。

　クラウドや生成AI（人工知能）など先端技術の活用拡大に伴って、データが膨大に増加し、個人情報や機密情報がSaaSやIaaSなど外部のサービスに分散するシーンが増えた。しかし残念なことに、どこに重要データが存在するか、誰がいつアクセスしたのかを即答できる企業・組織は少なく、情報流出後の影響範囲の特定や原因究明に長い時間を要するケースも多い。内部犯行によるデータ資産の持ち出しや、「InfoStealer」など認証情報を含む情報窃取型マルウェア、盗まれた認証情報を使った外部からの不正ログインも増加しており、アクセス権の管理において企業・組織をいっそう悩ませている。

　個人情報やメディカル／ヘルスケア情報、PCI DSS（Payment Card Industry Data Security Standard）など国際基準に準拠したクレジットカード／金融情報など、国際的に標準化されたレギュレーションへの対応が厳格化され、罰則も厳しくなっている。

　そこで不可欠となるのが、“データセントリックな（中心の）セキュリティ”だ。データの所在とアクセス権限を正確に把握、管理して安全性を確保するとともに、有用なシステムの利便性と安全性を両立させることが求められる。

　特に生成AIは、業務効率化を強力に後押しする技術でありながら、適切に管理できていない場合、意図せず機密情報にアクセスして外部に流出させてしまうリスクもはらんでいる。こうしたリスクを攻撃者が悪用するケースが増えることも予測される。

　このような状況下で、重要データや機密情報を守るにはどうすればよいのだろうか。

　企業のデータ保護に詳しいVaronis Systems（以下、Varonis）のガイ・メラメッド氏は、「企業は今、巧妙化するサイバー犯罪者との絶え間ない攻防の中にあります」と表現する。攻撃者は最先端技術の有用性も弱点も知りつくし、データのセキュリティ対策が甘い箇所を積極的に攻めてくる。

　メラメッド氏は、近年のAI技術の発展がサイバー攻撃をさらに効率化しており、内部・外部の双方からの情報漏えいリスクを高めていることに警鐘を鳴らし、「データを守ることは企業の存続条件になったのです」と強調する。

　その例として、AIの台頭による新たなセキュリティリスクを挙げる。

　「AIは2つのリスクをもたらします。第一に、ハッカーがAIチャットbotに尋ねるだけで機密情報（特許、IP、給与情報）を数秒で入手できること。第二に、従業員が悪意なく、AIツールを使い、本来アクセスすべきでない機密情報に意図せずアクセスできてしまうことです」

　また、AI利用における内部リスク事例も増えているという。

　「米国の大手銀行で、トレーダーが同僚の優れた投資実績をチャットbotに尋ねたところ、組織全体の年金投資リストが数秒で表示されました。また、ある企業では従業員が2024年に昇給した人物のリストを入手しました。これらはAI導入前に解決すべき課題です」

Varonisのガイ・メラメッド氏（CFO〈最高財務責任者〉兼COO〈最高執行責任者〉）

膨大で貴重なデータ資産を誰がどうやって管理するのか

　データセキュリティを専門とするVaronisは、2005年に米国で創業した。共同創業者の一人ヤキ・フェイテルソン氏はストレージベンダーに勤めていた2003年、あるエネルギー企業で非常に重要な調査データがアクセス権限設定の不備によって消失したケースを目の当たりにした。この経験から機密データの所在と利用状況を可視化する必要性を痛感し、Varonisを立ち上げた。

　同社は創業以来20年以上、データの検出・分類、アクセス権限の適正化、異常行動の検知といった機能を統合、自動化したプラットフォームを提供し、オンプレミスやクラウド、ハイブリッドなど環境を問わず、さまざまな情報を保護してきた。

　2023年には、オンプレミス型からSaaS型へのライセンス形態の移行を推進し、運用や監視などのサービスを一体として提供する「Move to SaaS」戦略を発表し、「Managed Data Detection and Response」（MDDR）の提供を開始した。メラメッド氏は、近年のVaronisの成長要因として、このSaaS化の推進とMDDRの提供を挙げる。

　「ユーザー企業は、複雑なセキュリティ運用に悩むことなく、常時監視と迅速なインシデント対応を享受でき、脅威の検知から対応までの負担を大幅に軽減できるようになります。異常が発生した際にも、Varonisに問い合わせる必要はありません。UEBA（User and Entity Behavior Analytics）が自動的にアラートを上げ、詳細な調査から脅威の封じ込め、システムの復旧に至るまでをVaronisが一貫して担います。高度なスキルを持つセキュリティエンジニアが不足している企業でも、即時かつ適切な対応が可能になるのです」（メラメッド氏）

　Varonisは、こうしたセキュリティ技術やサービスを武器としてアジア太平洋地域での事業拡大を進めている。メラメッド氏によれば「グローバル展開の鍵は、優秀なリーダーを見つけ、その人物を中心にチームを構築することだ。優れたリーダーシップがなければ、どんなに良いソフトウェアでも成功しない」という考えのもと、近年はアジア太平洋地域への投資を大幅に強化している。

　日本市場はその中でも重要な巨大市場と捉え、リーダーとして並木俊宗氏を採用。日本法人を設立し、人材と資金を投資して本格的に事業を展開する。単なる拠点ではなく、営業や技術サポート、マーケティングまで、日本の組織で提供する体制を整えて、国内の文化や商習慣を重視した対応で顧客基盤の拡大を狙う。

　並木氏は「海外での十分な実績やノウハウを生かし、日本のお客さまに合わせた運用体制を構築します。パートナーとの連携も重視しており、既存の環境に溶け込むようなセキュリティ強化を支援したいと考えています」と語る。

　既存のITインフラや業務環境への影響が大きいと、セキュリティ対策が有効に働かない恐れがある。そこで同社は、日本の企業をよく知るシステムインテグレーターやクラウドベンダーとのパートナーシップを強化しながら、既存のITインフラや業務環境に最適化されたデータセキュリティを実現すべくVaronis製品とサービスの提供を目指している。

Varonis Systems Japanの並木俊宗氏（カントリーマネージャー・ジャパン）

データを理解し、運用を修正し、誰より早く対処する

　Varonisのデータセキュリティプラットフォームは、「Find（検出）」「Fix（修正）」「Alert（警告）」というプロセスを軸に構成されている。

Varonisのデータセキュリティプラットフォームの特長（提供：Varonis Systems）《クリックで拡大》

　検出は、構造化・非構造化を問わず、データを自動的かつ継続的に発見し、分類してラベル付けして、リアルタイムに可視化する。また、AIによって異常な振る舞いを見つけ出すことでサイバー脅威を検出できる。もちろんルールベースの監視や行動分析による脅威検出も含まれている。

　修正は、アクセス権の過剰付与、設定ミス、共有リンクの放置などのリスクを、事前に設定したポリシーに基づいて自動的に訂正する。また「Automation Engine」という機能を使えば、自動的なクリーンアップによって広範なアクセス権の最適化が可能だ。

　警告は、異常や脅威を検出したときにリアルタイムにアラートを発し、SIEM（Security Information and Event Management）やSOAR（Security Orchestration, Automation and Response）と連携できる。さらにMDDRと連携させておくことで、24時間365日のサービスを通じた迅速かつ確実な対応を期待できる。

　これらのプロセスは高度に自動化されており、単一プラットフォームで運用されていることから、セキュリティ対策と運用効率の精度を向上させられる。

Varonisのデータセキュリティプラットフォームの概要（提供：Varonis Systems）《クリックで拡大》

　特に重要なのは、Varonisのデータセキュリティが特定環境だけに依存しないことだ。「Amazon Web Services」「Microsoft 365」「Databricks」「Google Cloud」「Salesforce」など、どこにデータがあっても、ファイルサーバやプライベートクラウドなどは言うまでもなく、重要なデータの所在を把握して保護できる。

　メラメッド氏によれば、既に主要なクラウドサービスのほとんどに対応しているが、さらにサポートの幅を広げていく計画とのことだ。2025年7月には、Microsoftとの戦略的パートナーシップを発表した。企業がAIアシスタント「Microsoft Copilot」を導入する際にVaronisのサービスを同時に導入することで、データセキュリティの強化や自動化が実装できる仕組みを提供する予定だ。

　さらに特長として、無料の「Varonisデータリスクアセスメント」サービスがある。Varonisはデータセキュリティで20年の経験があり、企業データの特徴や重要性、システムの脆弱（ぜいじゃく）性などに精通している。ユーザーはサービスの利用を開始する前に、このノウハウや技術を無料で享受できる。

　「お客さまが最も悩んでいるのは、“いったいどんなデータリスクがあるのか”という点だと思います。私たちのサービスを活用し、事前にデータ全体を調査することで、どれほどのリスクを内包しているのかが一目瞭然になります。その調査結果を基に、Varonisをどのように活用するのか、どのように最適化すればよいかを決断できるのです」（並木氏）

　Varonisデータセキュリティプラットフォームは、既に世界で約8000社が活用している。特に大企業においては、大量のファイルのアクセス権限を適切に管理することは困難で、わずかなミスが大きな問題を引き起こす可能性がある。最近では、社内の従業員が経営戦略に関わるデータを競合へ持ち込んでしまった内部脅威のリスクも多く報告される。「Varonisなら仮に1500万ものファイルが誰でもアクセス可能な状態にあったとしても、その不適切なアクセス権限を自動的にほぼゼロの状態へ近づけられるのです」と、メラメッド氏は強調する。

サイバー攻撃に悩むことなく“ぐっすり眠れる日々”を提供したい

　Varonisは、「ユーザーが何もすることなく、データがどこに存在していようとも適切に保護できる統合セキュリティプラットフォーム」を目指して、技術開発を継続する計画だ。メラメッド氏によれば、健全なキャッシュフローを維持して売上高の約25％を技術へ投資し、内製での開発に注力して独自技術の獲得に努めたいという。現在も、いっそう使いやすく管理しやすいプラットフォームや、電子メールなども含めたより幅広い領域でのデータ保護機能の強化を図っているとのことだ。

　「日本は非常に重要な市場で、もっと早く進出すべきだったと考えています。足元を見ればAIの普及などが急速に進み、データの重要度が急激に高まっており、セキュリティを見直すタイミングにあります。私たちは、日本の企業・組織に合わせたサポートを充実させて、サイバー攻撃に悩むことなく“ぐっすり眠れる日々”を提供したいと考えています。私たちのサービスを活用し、従来のようなセキュリティ対策だけでなく、データを中心としたセキュリティ対策を実現してください」（メラメッド氏）