ITセキュリティ女子のブログ

仕事の合間にさっと読めるITセキュリティの話

ID・アクセス管理

AI時代に必要となるアイデンティティ

公開日:
更新日:
ID・アクセス管理
#認証
#ID管理
AI時代に求められるアイデンティティ

みなさんこんにちは。後藤まりです。

生成AIの登場により、私たちの業務の中でもAIを活用する機会が増えてきました。
それに伴い、ITシステムに求められるセキュリティ対策も大きく変わりつつあります。本日はその中でも見落とされがちですが、近い将来向き合うことになるであろうID管理の課題についてみていきたいと思います。

あるAIとのやり取り

社内向けに、生成AIチャットの導入を検討されている企業様は多いと思います。
特に、社内のデータを活用しながらAIに業務をサポートさせたいと考えるケースも多いのではないでしょうか。

そんなときに、AIとの間で以下のようなやり取りが発生することが想像されます。

ユーザー:「〇〇」について教えてください。
AI:申し訳ありません。こちらの回答には機密情報が含まれているため、表示できません。

AI1

例えば、質問をする利用者が、一般社員のAさんと役職者のBさんで違う権限を持っている場合、Aさんには回答を表示させないが、Bさんには回答を表示させたい、というケースもあるのではないでしょうか。

しかし機密情報に対して一律で禁止してしまうと、本来権限のあるBさんにも、同様に回答が表示されない状況になってしまいます。こうなるとAIへの問い合わせで本来効率化させたかった業務が非効率になるケースも考えられます。

また回答を得るために試行錯誤して意図せずAIへの攻撃行為につながるようなやり取りをしてしまうかもしれません。

AI2

AIドリブンはデータドリブン

AIを活用して社内のデータを活用するということは、効率化されたデータドリブンを行っていくようなものです。
そして、そのAI活用の先には、このような社内のあらゆるデータを活用するためのアクセス基盤が求められると考えられます。

AIが自律的にデータを処理するためには、AIに対し、利用者の権限に応じた制御を適用していくような仕組みが必要になるのではないでしょうか。

このようなデータ制御を実現するために考えるべきポイントは以下の3つです。

  • 1.アイデンティティ:利用者と利用者に紐づく属性やロール

  • 2.データ:データの分類とラベリング

  • 3.アクセスコントロール:分類されたデータに合わせたアクセス制御の実装(ルールの検討)

それぞれについて解説していきます。

1.アイデンティティ

利用者および利用者の権限に紐づく情報(属性やグループなど)を常に正しい状態に保つことが求められます。
また、利用者だけでなくデータを処理するアプリケーションやシステムなどを正しく識別することも重要です。
そのためにはID管理および認証の自動化・一元化を目指す必要があり、その基盤となる「アクセス基盤」が求められます。

2.データ

AIが社内データを使う場合、そのデータがどんな種類なのかをあらかじめ分類し、ラベルを付けておくことが重要です。これにより、データの内容に応じて適切なアクセスルールを設定できます。

例えば、売り上げデータを収集した場合、そのデータは経理部門と営業の役職者のみがアクセスできるといったような条件を設定します。
またデバイスやマシンなどから継続的にデータを取り込んで処理する場合、データが取り込まれる前に、「そのデバイスが本当に信頼できるものなのか」を認証する必要があります。正確なデータ入力を行うために、悪意のあるマシンから不正なデータが送り込まれないようにしなければなりません。

3.アクセスコントロール

AIが返してくる情報にも、「誰にどこまで見せるのか」というルールを適用する必要があります。
シングルサインオンやMFA(多要素認証)によって、「この人は確かに本人だ」と確認したうえで、認証連携(フェデレーション)によって、利用者の情報をAIや周辺のシステムに正しく伝え、その人に合った情報を返すという流れが必要になります。

例えば、前述の売り上げデータを例にした場合、AIが「追加の確認が必要だ」と判断したら「この人は経理部門の役職者か?」「追加の認証が必要か?」 という確認を行います。その際、認証情報や利用者の属性情報を連携させながら、アクセスルールと照らし合わせて 「このデータを表示してもよい」または「表示しない」 と判断します。

こうした仕組みが、これからのAI活用には求められるようになります。

データレイヤでのゼロトラスト

改めて整理してみると、ゼロトラストのような考え方に近いのかもしれません。
従来のゼロトラストが「システムへのアクセスの多様化」に合わせて考えられたものに対し、AI時代では、さらに上の「データのレイヤに対するアクセスへの多様化」を考慮する必要があります。

まとめ

AI時代はデータへのアクセス主体がこれまでよりも複雑になります。具体的には人だけではなく、AIもデータを利用することになります。

この時、AIが返すデータを正しく制御できていないと思わぬ情報漏洩につながる可能性があります。
AIが過不足なく正しくデータを返せるようになるためにはアイデンティティ、データ、アクセスコントロールの管理が重要になります。

そのためには、
 ・「誰が、どのような役割・属性を持つのか」というアイデンティティの管理
 ・「どのデータが、どのような位置づけのものか」というデータの整理
 ・そしてそれに対して「どのようなアクセスが必要か」というルールの設計
を整理して管理する必要があります。

AIが完全に自律的にデータを扱うのはまだ先の話かもしれません。しかし、これからのAIを考えるための土台として、改めてユーザの権限とデータ管理の適正化について、今のうちから目を向けていただければと思います。

アイデンティティ管理について

※記載されている会社名、製品名は、各社の商標または登録商標です。

この記事をシェアする

この記事を書いたスタッフ

著者の顔写真

後藤まり

後藤まり

株式会社アシストに入社以来、セキュリティ対策製品を担当。

技術者として現場で培った知見を活かし、日々プロモーション活動に奮闘中。
自身が「IT初心者」だった経験から、専門用語や技術についてわかりやすく
説明することを心がけている。