セキュリティ担当者は、深刻な問題に直面しています。中堅企業では現在、年間130万件ものセキュリティアラートを処理しており、AIエージェントによるコンテンツ作成とアクセスパターンの増加に伴い、その数は飛躍的に増加しています。
AIは、まったく新しい攻撃対象領域を生み出しました。従業員がAIチャットボットを通じて無意識にうちに機密データにアクセスしたり、悪意のあるプロンプトによってAIエージェントが侵害されたり、ランサムウェア攻撃によって昨年だけで10億ドル以上の損失が出たりしています。
コンテンツプラットフォームにセキュリティツールを組み込むという従来の手法では、もはや対応できません。従来のデータ分類ツールでは、特許出願書や製品データシートがほかのドキュメントと同じに機密度に分類されたり、すべてのアラートに対して何時間もの調査が必要な状況を、根本的な見直す必要があります。
Boxでセキュリティ&コンプライアンス製品管理担当のバイスプレジデントを務めるマノージ・アスナニ(Manoj Asnani)にインタビューし、「Box Shield Pro」によって、AIエージェントがセキュリティリスクをセキュリティソリューションへとどのように変革させるのかを伺いました。
主なポイント
- Box Shield Proが脅威のトリアージを自動化するので、セキュリティ担当者はアラートの確認回数を大幅にを減らして、脅威により迅速に対応できます
- 従来のツールでは見落とされていた機密文書を識別し、エージェント型AIがより適切なコンテンツ分類を可能にします
- チャットボットや自動アクセスによる偶発的なデータ漏洩の可能性を高めることで、AIエージェントは攻撃対象領域を広げます
- ネイティブなコンテンツプラットフォーム保護はコンテキストを活用して、単なる後付けのソリューションよりも優れたパフォーマンスを発揮します
- Box Shield Proはランサムウェアを検出し、異常な行動パターンを検知して、Box上のファイルに感染拡大する前に脅威を遮断できます
脅威分析を手作業で管理することが不可能になってきている理由は?
セキュリティ運用部門について考えると、中堅企業のセキュリティ運用部門は平均して年間130万件ものアラートを処理しています。これは膨大な数です。
どのように対応しているのでしょうか? 誤検知や重要性の低いアラートを特定するための自動化機能は、ある程度導入されています。しかし、それでも多くのアラートを手作業で時間をかけて確認しなければなりません。情報を取得し、脅威の履歴を確認し、原因を特定するために、さまざまなシステムにアクセスする必要があります。
Box Shield Proでは、すべてのアラートを最初にレビューする「AI脅威分析」機能を提供しています。アラートが発生すると、AIエージェントが人間により確認が必要かどうかを判断し、脅威の内容、影響を受けたユーザー、実行されたアクションを明確にまとめた、具体的で簡潔な要約を作成します。要約されたアラートは、セキュリティ担当者が迅速かつ効果的に脅威に対応できるように、具体的な指示がわかりやすくまとめられています。
従来のデータ分類ツールでは理解できないドキュメントの機密性を、AIはなぜ理解できるのか?
ほとんどの企業では、一部のコンテンツしか分類していません。今ではAIが、ほぼすべてのコンテンツを分類できるだけでなく、より深く、より微妙なニュアンスまで理解できるようになりました。
例を挙げましょう。技術アーキテクチャの詳細な情報が記載された技術仕様書と、公開されている製品説明書を比較してみます。この2つのドキュメントは、一見同じように見えるかもしれません。しかし、AIエージェントはコンテキストやニュアンスを理解できます。「これは社内の技術アーキテクチャのように見えるので、会社の知的財産です。一方で、これはデータシートのように見えます」と。つまり、技術仕様書はおそらく機密情報であり、データシートはそうではと判断できます。AIエージェントは、従来の方法では分類できないコンテンツを正確に分類する機能を大幅に向上させています。
AIファースト時代において、セキュリティはどのように変化しているのか?
AIは、企業にまったく新しいタイプのユーザー、AIエージェントをもたらしました。AIエージェントがコンテンツと関わり、人間と協力して、業務を効果的に処理する動きがすでに始まっており、 AIエージェントの導入は勢いを増しています。
しかし、AIエージェントのセキュリティを確保するのは複雑です。AIとAIエージェントがコンテンツで処理するスピードと規模に合わせる必要があります。アウトプットが、コンプライアンスおよび規制要件を満たしていることを確認する必要があります。そして、セキュリティ担当者が直面する問題の規模に対応する能力を大幅に強化する必要もあります。
新たな脆弱性も生じています。AIによって、偶発的なデータ漏洩の可能生成が高まります。権限が正しく設定されていない場合でも、人間は機密情報にアクセスできることに気づかず、探そうともしません。しかし、AIチャットボットに情報を尋ねれば、必要なデータが技術的にアクセスできるドキュメントに含まれていれば、たとえアクセスすべきでなくても、機密情報を得ることでできてしまいます。AIは、本質的に攻撃対象領域を拡大させるのです。
幸いなことに、AIエージェントは新たな可能性ももたらします。AIエージェントは、コンテンツをより深く、より繊細に理解することで、より効果的に保護することができます。また、セキュリティ運用部門が、新しいAIファースト時代に必要な規模とスピードで脅威に対処できるようにします。
なぜ企業は既存のシステムにAIセキュリティツールを追加してはいけないのか?
私の意見では、コンテンツ保護に関する最も一般的な誤解、あるいは効果的ではないと思われる最も一般的なアプローチは、コンテンツプラットフォームに単にソリューションを付け加えることです。コンテンツプラットフォームは1つの要素であり、さらにコンテンツ保護ソリューションが別にあります。
私にとっては、コンテンツ保護ソリューションあまりうまく機能しません。なぜなら、コンテンツそのものをより深く理解する必要があるからです。後付けのソリューションでは、コンテンツを理解するのは非常に困難です。
コンテンツの理解にはいくつかの側面があります。単にコンテンツが何についてかを理解することだけではありません。コンテンツそのものを考えると、コンテンツの意味、企業にとっての価値、そしてコンテンツの目的の観点から考えることが必要です。これが側面の1つです。
さらに、コンテンツの作者者や共同作業者、作成日も考慮する必要があります。コンテンツの機密度や価値をより深く理解するためには、これらに加えて、多くのコンテキストをまとめる必要があります。そうすることで、コンテンツを分類し、分類ラベルを付けて、適切な保護区分を適用できます。
これを後付けのソリューションで実現するのは、非常に困難です。本当に必要なのは、コンテンツ識別と理解ソリューションが組み込まれたコンテンツプラットフォームです。正にこれこそが、本当に必要とされているものです。
Box Shield ProのAIエージェントは、セキュリティ部門と連携して、手作業で行っているプロセスを自動化できます。
Box セキュリティ&コンプライアンス製品管理担当副社長
マノージ・アスナニ(Manoj Asnani)
AIを搭載したセキュリティツールは、どのような業界で活用できるか?
昨年だけでも、ランサムウェア攻撃による被害額は10億ドルを超えました。これは驚くべき数字です。よくあるのは、従業員のノートパソコンなどの「エンドポイント」がランサムウェアに感染することです。
病院で、すべての患者記録にアクセスできる従業員のノートパソコンがランサムウェアの感染したとします。ランサムウェアはファイルを暗号化し、データ保存先にアップロードして、アクセスが必要な医師や看護師にとってファイルを使い物にならなくします。
Box Shield Proの「ランサムウェアアクティビティ検出」は、ランサムウェアの行動パターンを検出し、ノートパソコンとBoxとの接続を切断できるようにします。ランサムウェアはBoxに侵入できず、Box上の患者記録には感染拡大しません。
大規模なメディア&エンターテインメントスタジオの場合、Box Shield Proの「AI分類エージェント」が、公開前の映画の脚本やその内容(コラボレーションパターンや日付)をより深く理解し、機密性を判断して、「機密」の分類ラベルを付与できます。「機密」の分類ラベルを付与することにより、アクセス制限、DLP(データ損失防止)、電子すかしなどのセキュリティ制御を適用することができます。
AIエージェントがより自律的になると、どのような新たなセキュリティ課題が現れるか?
AIは、企業に新しいタイプのユーザー、AIエージェントをもたらします。AIエージェントは、人間のユーザーと同様に、セキュアに管理する必要があります。
お客様がまだ気づいていないのなら、次のような課題を懸念すべきです。「もし、AIエージェントが悪意のあるプロンプトを受け取ったらどうするか?」 「悪意のあるプロンプトから、AIエージェントをどうやって守ればいいのか?」 「もし、AIエージェントが本来取るべきでない行動を取ったらどうするか?」 「AIエージェントが、機密情報を誤って社内外に漏らさないようにするにはどうすればいいか?」
今後6〜12か月間、Boxはお客様のためにこれらの課題を解決することに注力していきます。AIとユーザーのセキュリティを確保し、AIを安心して使えるようにします。
「Box Shield Pro」の詳しい情報は、こちらのページをご参照ください。
※このブログは、Box, Inc.公式ブログ 2025年9月11日付投稿を一部改変したものです。
執筆者: Manoj Asnani, Vice President of Product Management of Security & Compliance at Box
原文リンク: https://blog.box.com/how-ai-agents-will-power-next-era-content-security
関連コンテンツ
