個人だけでなく企業などでも広く利用されるようになったChatGPT。ユーザーが入力した質問に対して、AIによって自然な文章で回答が出来るツールとして大変人気があり、あっという間に広まりました。

‍

しかし、便利なITツールには必ずと言って良いほどセキュリティの問題が潜んでおり、ChatGPTも例外ではありません。

‍

ChatGPTに入力する情報によっては、「機密情報」「個人データ」などの重要なデータや、メール、文書生成が悪用されて犯罪を助長してしまうなどのリスクも存在します。そのため、セキュリティインシデントを発生させないためにしっかりと対策を行ったうえで利用することが重要になってきます。

‍

本記事では、ChatGPTで発生したセキュリティインシデントの事例を紹介し、その事例から考えられる原因とセキュリティインシデントを発生させないために必要な対策を５つ解説します。

‍

‍

ChatGPTで実際に起きたセキュリティインシデント

‍

ChatGPTは2022年11月に公開され、たくさんの人に利用されています。そして、セキュリティインシデントについてはいくつか報告がされています。その中で大きなインシデントとして発表があった事例２つを紹介します。

‍

過去に開発元のOpenAIで個人情報の流出事故が発生

2023年3月24日、ChatGPTの開発会社であるアメリカのOpenAI社で、「利用者が別の利用者の個人情報を閲覧できる状態にあった」という報告があがりました。閲覧できる状態にあった情報は氏名、メールアドレス、住所、クレジットカード番号の下4桁、カードの有効期限。また一部のユーザーに別のユーザーのチャット履歴が表示されてしまう問題も発生したという報告もなされました。

‍

原因については、ChatGPTで採用しているインメモリ型データベースシステム「Redis」（Remote Dictionary Server）のクライアントのライブラリのバグであり、すでに改修済みであるとのことです。

‍

Samsung、ChatGPTの社内利用で3件の機密漏洩

2023年3月30日、韓国の電機メーカーSamsung Electronicsの社内において、ChatGPTの使用を許可したところ、機密性の高い社内情報をChatGPTに入力するというセキュリティインシデントが発生。事例としては少なくとも3件(設備情報が2件、会議内容が1件)が確認されています。

いずれの事例も、利用者に悪意はなくChatGPTを社内で利用する際のルールなどが策定されていなことが主な原因として挙げられます。

‍

セキュリティインシデントが発生した原因

OpenAI社の情報漏洩は、プログラムのバグであるため利用者で対策をすることは難しいですが、このようなケースはまれです。

ChatGPTではこの事例以外にもセキュリティインシデントがいくつか報告されていますが、その多くがChatGPTを利用するためのルール作りが整備されていなかったり、ChatGPTの利用者のセキュリティリスクに対する認識不足が原因です。そのようなことからChatGPTを利用する側でリスクマネジメントを行う事が非常に重要であるといえます。

‍

‍

ChatGPTでセキュリティインシデントを発生させないために

‍

このようなセキュリティインシデントの事例を踏まえ、実際に個人や企業がChatGPTを利用するうえで、セキュリティインシデントを発生させないために、具体的にどのような対策があるのか紹介します。

なお、ChatGPTは便利で利用者も多く、それにより悪意のあるプログラムの不正利用や情報漏洩などのリスクに常にさらされているため、特に運用管理者は最新のセキュリティ情報をチェックすることが重要です。

‍

DLPを活用する

システム側の対策としてDLPを活用することで、情報漏洩や消失を防ぐことができます。

DLP(Data Loss Prevention)は、コンテンツ監視、デバイス制御、印刷・コピー制限、Webサイトへの制限、メールセキュリティなどで特定のデータを監視、保護することにより、重要な企業情報や個人情報の漏洩を防ぐことができます。

このDLPをChatGPTで活用すると、情報漏洩につながる不適切な情報を送信しようとした際に警告と行動制御が行われるため、セキュリティインシデントのリスクが回避できます。

‍

ChatGPT APIを利用する

ChatGPTの開発元であるOpenAIの利用規約の中に”APIで提供するコンテンツまたは受領したコンテンツをサービスの開発などに利用しない”と明記されています。具体的にはChatGPT APIを介して入力したデータは再学習されないということになります。

このことから、ChatGPT APIを利用したサービスを導入したり、自社のシステムにChatGPT APIを組み込むことにより、セキュリティインシデントのリスクを減らす事が可能です。

‍

利用者の制限をする

運用の観点での対策も重要です。まず、ChatGPTを利用する際に管理者を定めたり利用者を制限することが、セキュリティインシデントを発生させないためにはとても有効な手段です。また、ChatGPTの利用時にパスワードの入力やアクセス制限を設けたり、特定の端末でしか利用できないようにするなどの対策をすることで、セキュリティインシデント発生リスクを回避できます。

セキュリティインシデントが発生した場合には、利用者や端末が制限されていることで原因の特定や切り分けに必要な時間を短縮することにも繋がり、結果として、二次被害の拡大防止、利害関係者への案内などがスムーズになることで被害を最小限にとどめることが可能となります。

‍

利用者マニュアルを整備する

ChatGPTを使用するための利用者マニュアルを整備することも有効な対策のひとつです。

マニュアルを整備することで、ChatGPTに対する知識が少ない利用者でも、マニュアルに従えば適切な情報セキュリティ対策に沿った操作が可能になるため、不要な操作や誤操作に起因するセキュリティインシデントを排除することが可能になります。

ChatGPTを利用する場合は、管理者や利用経験者と一緒に操作を行うことで、予防効果がさらに有効に機能することになります。

なお、ChatGPTのバージョンアップ、仕様変更があった場合には、必要に応じてマニュアルの修正を行うことも忘れないようにしましょう。

‍

利用者へ教育を行う

ChatGPTの利用者に対して、セキュリティの教育を行うことも重要な対策の一つです。

ChatGPTの過去のセキュリティインシデントの事例や、実際にセキュリティインシデントが発生してしまった場合の被害や対応、ChatGPTを利用する際にはどのようなリスクがあり、対策はどのようなものがあるのかを教育することにより、利用者のITリテラシーを向上させることで、セキュリティインシデント発生を予防します。

‍

‍

セキュリティインシデントを回避してChatGPTを使おう

‍

今回はChatGPTによるセキュリティインシデントについて事例と対策について紹介しました。

ChatGPTはこれからも個人はもちろん、様々な企業や自治体、病院などでも広く利用されていくことが予想されます。

それは同時にセキュリティインシデントを発生するリスクも増えることにもなります。

システム側の対策については、費用や仕様など様々な条件があるため、すぐに導入することは難しい場合が多いですが運用でセキュリティインシデントのリスクを下げることは可能です。

セキュリティインシデントを発生させてしまうと、莫大な被害を受けることになり、信頼を失い、存続危機という状況に陥ることも予想されます。

セキュリティインシデントの対策をしっかり行ったうえで、ChatGPTを活用しましょう。