金融業界におけるAIと個人アプリ使用のリスクと対策

Netskope Threat Labsが発表した最新の調査結果では、金融業界における個人用アプリと生成AIの活用が、機密データや規制データに対して重要なリスクをもたらすことが浮き彫りになりました。この調査は、金融サービス業界のサイバーセキュリティ動向を広範に分析したもので、特に個人向けアプリの使用や生成AIの導入、さらにはソーシャルエンジニアリングの脅威に焦点を当てています。

個人向けアプリのリスク

調査によると、金融企業に属する従業員の約13%が機密情報を個人用クラウドアプリにアップロードしています。このような状況を受けて、83%の組織は何らかの対策を講じているものの、依然としてセキュリティ対策が不十分な企業が存在し、リスクに晒されています。特に、個人用アプリ関連のデータポリシー違反のうち、74%が規制対象である個人情報や金融データの不正アップロードに関連しています。

GoogleドライブやOneDriveといったクラウドストレージサービスは、個人のソーシャルメディアや生成AIアプリへのデータ送信の主要な経路となっています。このことは、企業が持つセキュリティポリシーにおいて状況に応じた洞察が求められる重要性を示しています。

生成AIのリスク

興味深いことに、金融サービス業界の95%の組織が生成AIアプリを利用しています。中でもChatGPTが最も普及しているものの、その成長は頭打ちの状態にあります。他方、Microsoft Copilotは急速に利用者を増やしており、その影響は今後も続くと見られています。生成AIアプリ内でのデータポリシー違反もまた、知的財産やソースコード、規制データが関与しており、その割合はほぼ同等です。

また、金融サービス業界の90%の組織が少なくとも一つの生成AIアプリをブロックしており、今後もこの数は増加する見込みです。

ソーシャルエンジニアリングの脅威

さらに、金融業界内でのソーシャルエンジニアリングの脅威も無視できません。毎月、約1.5%のユーザーがフィッシング詐欺やマルウェアの危険にさらされ、1,000人当たり約10人がマルウェアをダウンロードしようと試みています。功を奏するのは、GitHubのような人気のコード共有プラットフォームでのマルウェア配布です。

フィッシング攻撃の半数近くは、クラウドアプリや銀行を装ったものです。Microsoftに代表されるクラウド関連フィッシング攻撃は増加傾向にあります。

リスク軽減への具体的な対策

NetskopeのRay Canzanese氏は、このようなリスクに対し、金融サービス業界の組織が直ちに取り組むべきことを指摘しています。具体的には、すべてのHTTPおよびHTTPSトラフィックを監視し、フィッシングやマルウェアなどの危険なコンテンツを検出することが求められます。また、高リスクのファイルタイプに対して、ダウンロード前に解析を行うことや、業務に必要でないアプリへのアクセスをブロックすることも有効な対策とされています。

DLPポリシーの活用やリアルタイムのユーザーコーチングも重要です。ユーザーの行動を分析し、ポリシーを改善することでリスク軽減を図ることができます。