Cisco Secure Access の AI Access機能を試してみた① 〜シャドーAIの可視化・制御編〜

こんにちは、SCSKセキュリティのふくしまです。
Cisco Secure Access技術ブログ第二弾として、今回はAI Access機能(シャドーAIの可視化・制御)について検証した内容をご紹介します。
第一弾ではCisco Secure Accessの概要や主要機能について紹介していますので、併せてご参照ください。

AI Access機能とは

Cisco Secure Accessには、生成AI利用の検知・可視化・制御を実現する「AI Access」機能が提供されています。
AI Accessは以下の機能で構成されています。

機能 機能概要 必要ライセンス
シャドーAIの可視化・制御 組織内で利用されている生成AIアプリケーションを検出・可視化し、評価結果に応じてアクセス制御を行う機能 SIA Essential
AI Guardrails(DLP) 生成AIへの入力内容(プロンプト)や出力内容(レスポンス)を分析し、機密情報の漏えいや不適切な利用を防止する機能 SIA Advantage または SIA Essential向け Add-On

今回の記事では、このうち「シャドーAIの可視化・制御」にフォーカスして検証を行います。
本機能は SIA Essential ライセンスに含まれているため、追加ライセンスを購入しなくてもシャドーAI対策を始められます。

Cisco Secure Accessでは1200以上の生成AIアプリケーションを対象として、
組織内で利用されているAIサービスを検出・可視化できます。
また、各アプリケーションのリスク情報やコンプライアンス情報を確認しながら、
アクセス制御ポリシーへ反映できる点が大きな特徴です。

検証してみた

それでは、実際の管理画面を操作しながら AI Access の機能を確認していきます。

本記事では、組織内で利用されている生成AIアプリケーションを発見し、
そのアプリケーションを評価・分類したうえで、アクセス制御ポリシーに反映するまでの流れを検証します。

シャドーAIアプリの発見

まずは、組織内でどのような生成AIサービスが利用されているのかを確認してみます。

Cisco Secure Accessでは、Monitor > App Discovery からアプリケーション利用状況を確認できます。
App Discoveryのダッシュボードでは、検出されたアプリケーションがカテゴリ単位でタイル形式に表示されています。
特に「Generative AI」はフラグカテゴリとして強調表示されており、シャドーAIアプリの数を直感的に把握することができます。

AppDiscoveryダッシュボード

Generative AIカテゴリに表示されているアプリ数(上記画面例では7)または右下「DETAILS」を選択すると、
Generative AIカテゴリに分類されたアプリケーションの詳細一覧を確認できます。

AppDiscoveryアプリケーション一覧

なお、上記の画面では「Generative AI」カテゴリかつ「Unreviewed」ラベルのアプリケーションが表示されるよう、
あらかじめフィルタが適用されています。
ラベルについての詳細は次項「シャドーAIの評価・分類」で説明しますが、
この画面では組織内で利用が検出された未審査の生成AIアプリケーションを一覧で確認できます。

シャドーAIの評価・分類

前項では、組織内で利用されている生成AIアプリケーション一覧を確認しました。
ここからは、検出されたアプリケーションの詳細情報を確認し、組織としての利用可否を評価してみます。

今回は例として「OpenAI ChatGPT」を選択し、詳細画面を確認します。

AppDiscovery - ChatGPT

アプリケーション詳細画面では、単なる利用状況だけでなく、アプリケーションの利用可否を判断するための様々な情報を確認できます。
(※画像はクリックすると拡大表示できます。)

  • リスクの詳細(Risk Details
    Business Risk、Usage Risk、Vendor Compliance などの情報から、リスク評価の内訳を確認できます。
  • 利用ユーザ情報(Identities)
    当該アプリケーションへアクセスしたユーザや利用状況を確認できます。
  • アプリケーション属性(Attributes)
    コンプライアンス対応状況や脆弱性情報、アクセス制御属性、データセキュリティ属性などを確認できます。

これらの情報をもとに、自組織のセキュリティポリシーに照らし合わせながら、当該アプリケーションの利用可否を判断します。

 

リスクスコアの確認・変更

Cisco Secure Accessでは、各アプリケーションに対してリスクスコアが付与されています。
ただし、組織ごとのセキュリティポリシーや運用方針によって許容できるリスクは異なるため、リスクスコアは任意に変更することも可能です。

本検証では OpenAI ChatGPT に割り当てられているリスクスコアを Medium から High に変更してみます。

変更後のスコアは「Custom risk」として表示されます。

リスクスコアはあくまで評価指標であり、スコアを変更しただけではアクセス制御は行われません。
 

ラベルによる評価結果の管理

個々のアプリケーションの評価結果は、「ラベル」として管理できます。
利用できるラベルは以下の4種類です。

すべてのアプリケーションは初期状態ではUnreviewedとして登録されています。
リスク評価の結果に応じて、ApprovedNot ApprovedUnder Audit のいずれかへ変更することで、組織としての評価結果を記録できます。

本検証では OpenAI ChatGPT を Not Approved に変更してみます。

ラベルを設定することで、組織内で利用されている生成AIアプリケーションの評価状況を管理できます。
先ほどの App Discovery 画面に表示されていた「未審査の生成AIアプリケーション」の件数は、評価を進めることで徐々に減少していきます。

ラベルを一度 Unreviewed 以外へ変更した場合、再度 Unreviewed に戻すことはできないため注意が必要です。
また、ラベルはアプリケーションの評価結果を管理するための情報であり、ラベルを変更しただけではアクセス制御は行われません。

ポリシーによるアクセス制御

ここまで、組織内で利用されている生成AIアプリケーションの検出と評価・分類を行ってきました。
本検証では、OpenAI ChatGPTに対して以下の評価・分類を設定しています。

項目 設定値
リスクスコア High
ラベル Not Approved

次は、この評価・分類結果のうち、ラベル情報(Not Approved)を利用して実際にアクセス制御を行ってみます。

 

App Risk Profileの作成

Cisco Secure Accessでは、アクセスポリシーの条件としてアプリケーションのリスク情報やラベルを利用できます。
ただし、これらの条件は直接ポリシーに定義するのではなく、まず App Risk Profile として定義する必要があります。
App Risk Profile は、ダッシュボードの Secure > Profile > App Risk Profiles から作成できます。

App Risk Profileでは以下の条件を利用できます。

  • Label Status
    アプリケーションに設定されたラベル(Approved、Not Approved など)を条件として利用できます。
  • Application Risk Score
    アプリケーションのリスクスコア(Low、Medium、High など)を条件として利用できます。
  • Business Risk Factor
    Business Risk、Usage Risk、Vendor Compliance などのリスク要素を条件として利用できます。
  • Attribute Categories
    コンプライアンス情報やデータ保護属性など、多様なアプリケーション属性を条件として利用できます。

これらの情報は前項「シャドーAIの評価・分類」で確認したアプリケーション詳細画面から参照できます。
また、複数条件を AND / OR で組み合わせることも可能です。
そのため、組織のポリシーに応じて、よりきめ細かな条件で制御対象のアプリケーションを定義できます。

今回は検証として、シンプルな構成で動作を確認するため、Label Status = Not Approved を条件とした App Risk Profile を作成します。

 

アクセスポリシーの作成

続いて、作成した App Risk Profile を利用してアクセスポリシーを設定します。
App Risk Profile は「どのアプリケーションを制御対象とするか」を定義するためのプロファイルです。
一方、アクセスポリシーでは「許可するか・ブロックするか」という制御内容を定義します。
アクセスポリシー は、ダッシュボードの Secure > Policy > Access Policy から作成できます。

本検証では、組織として利用を許可していない生成AIアプリケーションのみをブロックする構成を採用します。

Cisco Secure Access のアクセスポリシーは、上位から順番に評価され、最初に条件一致したポリシーが適用されます。
そのため、ブロック対象となるアプリケーションを先に評価し、その後にその他のアプリケーションを許可するポリシーを設定します。

以下の順序でポリシーを設定します。

  1. App Risk Profile(Not Approved)に一致する生成AIアプリケーションを ブロック(Block)
  2. それ以外のアプリケーションを 許可(Allow)

まず、Blockルールを作成し、先ほど作成した App Risk Profile を紐づけます。
なお、今回は生成AIアプリケーションの制御を検証するため、Destination は Generative AI カテゴリに限定しています。

併せて、それ以外のアプリケーションを許可する Allow ルールも作成します。
繰り返しになりますが、Cisco Secure Access では上位ルールから順番に評価されるため、Block ルールを Allow ルールより上位に配置します。
最終的なポリシー構成は以下のようになります。

これにより、前項で Not Approved と評価した OpenAI ChatGPT はブロック対象となり、それ以外のアプリケーションは引き続き利用できます。
実際に OpenAI ChatGPT へアクセスし、ポリシーが適用されることを確認してみます。

 

実際に試してみる

それでは実際にポリシーが期待通りに動作するか確認してみます。

前項では OpenAI ChatGPT を Not Approved として評価し、その評価結果を条件としたアクセスポリシーを設定しました。
そのため、OpenAI ChatGPT へのアクセスはブロックされる想定です。

一方で、Not Approved に該当しない生成AIアプリケーションについては引き続き利用可能な状態となります。
本記事では例として Microsoft Copilot へのアクセスを確認します。

OpenAI ChatGPT(Not Approved)にアクセス

OpenAI ChatGPT へアクセスすると、アクセスポリシーに一致したためアクセスがブロックされることを確認できました。

ログには、アクセスしたアプリケーション名(OpenAI ChatGPT)やアプリケーションカテゴリ(Generative AI)に加えて、
適用されたポリシー名(AppDiscoveryTest – Block)が記録されていることを確認できます。

OpenAI ChatGPT以外の生成AIアプリケーションにアクセス

一方で、OpenAI ChatGPT以外の生成AIアプリケーション(Microsoft Copilot)へアクセスしたところ、
ブロックポリシーに一致しないため正常に利用できることを確認できました。

今回のポリシーでは、Not Approvedと評価された生成AIアプリケーションのみを制御対象としています。
そのため、Microsoft CopilotについてはBlockポリシーの条件に一致せず、正常に利用できることを確認できました。

 

まとめ

本記事では、Cisco Secure AccessのAI Access機能を用いたシャドーAIの可視化・制御について検証しました。

今回の検証では、以下の一連の流れを確認できました。

  • 組織内で利用されている生成AIアプリケーションの検出
  • アプリケーションごとの評価・分類
  • 評価結果を利用したアクセス制御

Cisco Secure Accessでは、「発見 → 評価 → 制御」を単一プラットフォーム上で実現できるため、
組織内の生成AI利用状況を可視化しながら段階的にガバナンスを強化することが可能です。

また、本記事で紹介したようなブラックリスト型の運用から開始し、評価が進んだ後はホワイトリスト型へ移行するといった柔軟な運用も実現できます。

次回予告

次回は、AI Accessのもう一つの機能である「AI Guardrails」について紹介します。
AI Guardrailsは、生成AIへの入力内容(プロンプト)や出力内容(レスポンス)を制御する機能です。
設定方法から検証結果、活用方法まで整理していきますので、ぜひご覧ください。

×
タイトルとURLをコピーしました