ChatGPT の人気は新しいものではありません。現在、さらに熱く議論されているのは、多くのセキュリティ担当者が ChatGPT によってもたらされるネットワーク セキュリティ リスクを懸念していることです。ChatGPT によって引き起こされたネットワーク セキュリティ インシデントは、メディアによっても報告されています。
たとえば、最近、外国のメディアは、ChatGPT によって Samsung が機密情報を漏えいしたというセキュリティ インシデントについて報道しました。
海外メディアの報道によると、最近、韓国のテクノロジー大手SamsungでChatGPTによる情報漏えいが数件発生し、機器の測定値、生産データ、社内会議などの機密コンテンツが海外に送信されました。
サムスンで発生した 3 回連続の情報漏えい事故は、いずれも社内従業員のコンプライアンス違反によるものでした。従業員の 1 人が、仕事で遭遇した問題に関連するソース コードをコピーし、それを ChatGPT に入力して、AI に解決策を尋ねたと理解されています; 関連するプログラム コード、および AI へのコードの最適化の要求; 最後の従業員は、会議内容をChatGPTに入力し、AIに議事録を書いてもらいます。
事件の前に、GPTの使用を承認したSamsung DS部門は、発表の中で従業員に「会社の内部情報セキュリティに注意を払い、機密コンテンツを入力しないでください」と具体的に思い出させていました しかし、Samsung DS 部門がポリシーを発行してから 20 日も経たないうちに、これら 3 つの情報漏えい事件が相次いで発生しました。
さらに、ChatGPT の使用ガイドで、OpenAI は、ChatGPT に入力されたテキスト コンテンツを使用してモデルをさらにトレーニングし、機密情報を送信しないようにユーザーに警告することも明確に述べていることを知りました。
サムスンの3人の従業員の操作は、彼らが提出したデータがChatGPTが所属するアメリカの企業であるOpenAIに送信され、モデルのトレーニングデータとして使用される可能性があることを意味します。
Samsung はこれらのインシデントを知った後、アップロードされるコンテンツを 1024 バイトに制限するなど、一連の緩和策を緊急に講じました。サムスンは現在、関係者と共に事故の原因を調査しており、必要に応じて処罰する予定です。
ハイテクは便利さをもたらしますが、誰もがハイテクの悪影響について心配しています. たとえば、ChatGPT がますます深刻化するグローバルなデータ セキュリティの課題を悪化させ、攻撃者がユーザーを悪用する機会を増やしたり、ユーザーの漏えいを引き起こしたりすることを誰もが心配しています.機密情報とデータの。以前にも ChatGPT 詐欺がありました。セキュリティ研究者が ChatGPT をだまして危険なデータを盗むマルウェアを作成させたり、初心者が ChatGPT を使用してゼロデイ マルウェアを簡単に作成したりしました。そして今回のChatGPTによるSamsungの情報流出事件。
物事には常に2つの側面があり、ChatGPTのような新しいものが人類に利益をもたらすか脅威となるかは、ユーザーの使用と配置にかかっています。今回のSamsungのデータ流出事件では、実は事故の原因は「従業員の行動」でしたが、Samsungは以前から従業員に特別に注意を促していました。もちろん、ChatGPT で使用される技術にも一定のリスクがあります。
過去のセキュリティインシデントを見てみると、データ漏えいの原因は、外部からの侵入と内部のリスクに大別できます。外部からの侵入は主に、侵入者が十分な動機、エネルギー、機会を持っているという事実によるものです.一方で、彼らは巨大な利益を得ることができます.他方では、さまざまな業界のネットワークが比較的開かれているため、外部の侵入者に機会が作られます. .
内部リスクは、主にインサイダーによる意図的または非意図的な不正操作によるものであり、インサイダーの中には、さまざまな誘惑に駆られてリスクを冒し、外部にデータを不正に提供することで利益を得ようとする者もいます。これらの意図的なインサイダーは、業界の「インナー ゴースト」とも呼ばれます。
関連するレポートによると、業界ごとにデータの特性が異なるため、セキュリティ リスクの理由も異なり、データ侵害の 85% は人的要因によるものです。外的要因もありますが、内的要因の方が多いです。さらに、Tessian とスタンフォード大学の調査によると、2020 年のデータ侵害の 88% は単に誰かがどこかで失敗したことが原因であり、侵害の 82% は人的要因が関与していました。
人為的なデータ漏洩事件は珍しくありません.たとえば、一部の宅配便サイトのスタッフがフェイスシートを取得し、データを人工的にエクスポートして、黒と灰色の製品取引プラットフォームで販売しました.平安生命保険の支店の内部担当者は40,000個を漏洩しました. ;最近、ジクリプトンの従業員は、操作ミスにより、ユーザー名、電話番号、車両のVINコードなどの大量の個人情報を含む内部文書を流出させ、インターネット上に流布させました。等
過去には、多くの企業が外部へのデータ漏洩防止に重点を置いていたため、ファイアウォールや脆弱性スキャンなどのセキュリティ保護製品が誕生しました。しかし、近年、人的要因による企業のデータ漏えい事件が多発しており、職場のモラル問題も多発しているため、内部関係者による漏えい事案も全漏えい事案の7割を占めています。したがって、従業員のプライバシーを侵害しないことを前提に、企業は従業員の行動に対するセキュリティ制御を実装する必要があります。