第32回
Microsoft 365 CopilotへのNIST CSF 2.0の適用
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第32回目となる今回は、新しいNIST CSF 2.0をMicrosoft 365 Copilotに適用する方法と、Varonisがどのように役立つのかをご紹介する、Shawn Haysのブログ記事をご紹介いたします。
2014年に米国標準技術研究所 (NIST) からサイバーセキュリティフレームワーク (CSF) が発表されて以来、多くの組織が中核機能を自社の業務に統合しています。
そのため、多くの組織がNIST CSFを使用して、AIの配備、特にMicrosoft 365 Copilotのロールアウトに伴うサイバーセキュリティとデータのリスクに対処しています。
セキュリティ管理者とリスク管理者にとって、AIの配備は重要な時期を迎えています。ガートナー社が実施した最新のMicrosoft 365の調査によると、ITリーダーの82%は、Microsoft 365の新機能の中で最も価値のある機能のトップ3にMicrosoft 365 Copilotを挙げています。
幸い、NIST CSF 2.0をMicrosoft 365 Copilotと、その基板となる依存関係―例えば、Microsoft 365のアクセス許可、データ分類、企業の既存のリスクポリシーなど―に適用することが可能です。このブログでは、組織が、特定、防御、検知、対応の各機能とカテゴリーにどのように取り組んでいくかを検討します。
特定 (ID)
組織が最初に取り組むべき領域は、特定 (ID) 機能、特に資産管理 (ID.AM) カテゴリーです。
ID.AMは、組織がソフトウェアとSaaS両方の製品・サービスの目録(インベントリー)を維持することを義務づけています。これは、SaaSやPaaSアプリケーションの単純な一覧と等価ではなく、Microsoft 365 Copilotのような新しいソリューションについても、主要な詳細情報とともに、文書化とレポート作成を行う必要があります:
• Copilotがホスティングあるいは配備されているテナントや環境(マルチテナント組織の場合)の名前とID
• Copilotのライセンスを取得したユーザーと、ユーザーがアクセス権を申請する手続き、管理者がアクセス権を削除する手続き
• Microsoft 365管理センターのCopilotページからライセンスのプロビジョニングと設定の変更ができる管理者(注:このページにアクセスするためにはMicrosoft 365テナントのグローバル管理者である必要があります)
• 組織におけるCopilotの利用のリスク管理の(配備前の)評価と継続的監視の方法
サブカテゴリーID.AM-07では、また、組織がデータと対応するメタデータの目録を維持することも要求しています。これは、CopilotのようなAIソリューションをロールアウトする場合には、特に重要です。Varonis for Microsoft 365により、お客様はラベル付けのギャップの現状を高いレベルで分析し、どんなラベルが使用されているかを確認できます。
さらに、チームは、Varonisの直感的な検索機能を使用することで、ラベル付けされていないコンテンツを調べ、ラベル付けされていないのはどのファイルなのか、Microsoft 365内の場所、ファイルカテゴリーや形式、露出レベル、その他のメタデータを特定することができます。
管理者は、継続的なデータ監視のために、ワンクリックでこれらの検索を簡単に保存してスケジュールすることができます。これがなければ、Microsoft Purviewのデータカタログを手動で操作するか、クラシックポータルのコンテンツ検索を使用して最近の検索を再作成するか「検索履歴」から見つける必要があります。
防御 (PR)
組織は、Varonisを使用することで、環境内の機密性の高いデータを可視化し、定期的に更新される目録を維持することができます。管理者は、直接または自動化されたルールにより、Varonisでアクセス許可を管理し、データ分類とラベルを割り当てることもできます。
Varonisはまた、ユーザーが適用したラベルがファイル内で見つかった機密性の高い情報と一致しない場合には、独自にラベルを付け直すこともできます。ラベルを適用することにより、「アクセス許可、資格、および承認が強制される」 (PR.AA-05)および「保存データおよび使用中のデータの機密性、完全性、可用性が保護される」 (PR.DS-01 & PR.DS-10) が保証されます。
Microsoft 365 Copilotのプロンプトによって生成された新しいデータのラベル付けは2種類の方法で行われます。第一は、ユーザーが機密性の高いファイルをアップロードすると、プロンプトによって作成された結果ファイルは同じラベル設定に従います。これはつまり、アクセス制御やマーキングは元のファイルに従うということを意味します。
第二のシナリオは、ファイルをアップロードせずに、ユーザーがプロンプトに機密性の高い内容を入力したり、プロンプトから機密性の高い情報を開示する場合です。この場合、新しく作成されるファイルはすべて、Varonisで設定した自動ラベル付けポリシーに従うことになります。
最後に、Varonis for Copilotはプロンプト、応答、セッション内でアクセスされた機密性の高いファイルを継続的に監視するために、ログ記録を取り込みます (PR.PS-04) 。これらのログは、NIST CSF 2.0の検知 (DE) 機能に対応しようとする社内のセキュリティ部門や外部のマネージドサービスプロバイダーに特に価値があるものです。
検知 (DE) および対応 (RS)
組織は、特に機密性の高いデータに関わる潜在的な有害イベントを検出するため (DE.CM-03 および DE.CM-09) に、ユーザーアクティビティとCopilotの使用状況を監視する信頼性の高いソリューションを必要としています。
セキュリティ部門は、通常とは異なるプロンプトに加えて、通常とは異なるCopilotのアクセスパターンも監視するいつ用賀あります。Varonis for Copilotは、データセキュリティの専門家に極めて重要な可視性を提供し、機密性の高いデータアクセスに対応できるようにし、有害イベントが発生した場合にそれを分析できる (DE.AE-02) をようにします。
分析中に、チームは、Copilotの応答に基づいて、機密性の高いファイルが露出している場所を確認できます。ただし、機密性の高い応答を得ることに失敗したプロンプトも、内部者脅威について同様に物語ることが多いことは、注意する価値があります。
Varonisで、Copilotのプロンプトとその結果の回答をキャプチャーし、調査。
Copilotアクティビティを表面化し警告するVaronisの強力な機能に加えて、SplunkやMicrosoft SentinelのようなSIEMソリューションを使用して相互分析している (DE.AE03-03) 組織もあります。
Varonisは、これらのサービスにストリームを提供する他、ServiceNow、Jiraなどでチケットを起票することもできます。これらの接続とネイティブのアラート機能を通じて、チームはVaronisのアラートタブでインシデントを分類して、優先順位付けする (RS.MA-03) ことができます。また、進行中の対応アクティビティについて、どのインシデントがエスカレーションされているかあるいは昇格されたかを確認する (RS.MA-04) ことができます。
AIデータセキュリティは古い問題に対する新しい課題です。
2024年後半、HackerOneは、500人のセキュリティリーダーや実務からの回答をまとめた年次AIセキュリティレポートに先立ち、いくつかの初期調査結果を発表しました。
アンケートの回答は、Varonisのデータリスクアセスメントで見られるものと同様の事例が見られます。セキュリティおよびITの専門家は、Microsoft 365コンテンツのCopilotによる利用(35%)、これらのデータをアクセスまたは公開する可能性のある組織内での許可されていないAIの使用(33%)など、学習データの漏洩について主に懸念しています。
しかし、こうした懸念の根本原因は、実は、新しい問題ではありません。多くの組織は、リスクのあるデータやそのデータへのアクセス許可を可視化することのできるソリューションセットを持っていないという、古くからの問題を抱えています。
サプライチェーン内でMicrosoft 365 Copilotやその他のAIソリューションを採用することによるリスクを識別し、評価し、対応する (GV.SC-07) ために、前述の回答者の68%が「AI導入に関する外部からの公平なレビュー」が最善の策であると回答しています。
Varonisは、既存のSOCチーム、MSP、MSSPと協力して、このような現状のレビューを実施しています。Varonis for Microsoft 365 and Copilotの導入後は、これらのチームはこれらのレビューを定期的に運用できるようになります。
アクセス許可とコンプライアンスのドリフトの影響を受けない組織はありません;従って、Copilotのロールアウト前後の段階を網羅したリスク管理戦略を策定することも不可欠です。以下に紹介する従業員2,500名以上のこの企業は、Varonisを積極的に使用してCopilotを安全に導入している多くの企業の一例です。
Microsoft 365 Copilotは、ユーザーが生産性向上ツールに価値を見出すにつれて、進化を続け、市場での牽引力を獲得していくでしょう。NIST CSF 2.0やその他のサイバーセキュリティフレームワークをAIに適用しようとしているセキュリティのリーダーは、侵害を防止し、コンプライアンスを維持するために、Varonisを活用することができます。
参考資料
・オリジナルブログ記事(英文)
https://www.varonis.com/blog/nist-csf-microsoft-365-copilot
・Top 10 Insights From the 2023 Microsoft 365 Survey
https://www.gartner.com/en/documents/4872931
・Nearly Half of Security Professionals Agree GenAI Is One of Their Biggest Security Risks
https://www.hackerone.com/press-release/nearly-half-security-professionals-agree-genai-one-their-biggest-security-risks
・AI copilots are making internal breaches easier and costlier to defend against
https://www.cnbc.com/2024/08/23/ai-copilots-are-making-internal-breaches-easier-and-costlier.html
・当コラム 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
https://www.innovations-i.com/column/data-security/31.html
・当コラム 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
https://www.innovations-i.com/column/data-security/12.html
・当コラム 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
https://www.innovations-i.com/column/data-security/7.html
・当コラム 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
https://www.innovations-i.com/column/data-security/6.html
・当コラム 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
https://www.innovations-i.com/column/data-security/4.html
・製品データシート - Varonis Data Security Platform 概要
https://view.highspot.com/viewer/2d40c735d3cb3c35341d8c7e8c0720bc?iid=6447fe16f42f6c8bf72d2920
・統合データシート - Varonis for Microsoft 365
https://view.highspot.com/viewer/2d40c735d3cb3c35341d8c7e8c0720bc?iid=61d8ba173eded7c63c1d2d72
・データシート - Varonis For Microsoft 365 Copilot
https://view.highspot.com/viewer/2d40c735d3cb3c35341d8c7e8c0720bc?iid=669354a5d9a7bac05ede216c
・Microsoft Copilot 準備状況アセスメント
https://view.highspot.com/viewer/2d40c735d3cb3c35341d8c7e8c0720bc?iid=66683278f191dc4dab2e75cd
ブログ著者について
Shawn Hays
Shawnは、Varonisのプロダクトマーケティングマネージャーであり、主にMicrosoftクラウドに注力しています。彼は、Microsoftエコシステムとサイバーセキュリティの分野で10年間の旅をしてきました。データセキュリティについて論じないとき、音楽フェスティバルやフリスビーを投げると彼を捕まえることができます。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第35回 CISOの秘密: 2025年に向けた究極のセキュリティ計画
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり