AI時代のデータ漏洩防止の要諦とテクノロジー:第2回 従来型DLPを超えて、AI-DLPが解決すべき本質的課題

AI時代のデータ漏洩防止の要諦とテクノロジー:第2回 従来型DLPを超えて、AI-DLPが解決すべき本質的課題

こんにちは!

前回の記事では、AI時代のデータ漏洩防止における技術的な基礎として、HTTPSインターセプトの仕組みと限界について詳しく解説しました。プロキシサーバーによるSSL/TLS通信の復号化、中間CA証明書の運用、そして証明書ピンニングという技術的制約まで、企業がWeb通信を監視する際の技術的な現実を明らかにしました。

しかし、これらのプロキシ技術は、実は既存のDLP製品でも広く採用されている一般的な手法です。メール監視、ファイル転送の制御、Webアクセスの監査など、従来型のデータ漏洩防止においても、HTTPSインターセプトは中核的な役割を果たしてきました。

では、なぜAI時代において新たにDLPを考え直す必要があるのでしょうか。

前回にひきつづき、従来型DLPでは対応できないAI固有の課題と、AI-DLPとして新たに考慮すべき要素に焦点を当て、より本質的な議論を展開していきます。

1. AI時代が要求する新たなDLP要件

従来のDLP製品は、クレジットカード番号や社会保障番号といった定型的なパターンの検出において優れた実績を持っています。これらの技術は今後も重要な基盤として機能し続けるでしょう。しかし、AI時代においては、これに加えて全く新しい要件が生まれています。

自然言語で表現される機密情報

最も大きな変化は、自然言語で表現される機密情報への対応が不可欠となったことです。例えば、
「うちで開発中のProject Phoenixという新製品があるんだけど、この製品名で効果的なマーケティング戦略を提案してもらえる?」
といった問い合わせに対しては、従来のキーワードマッチングを進化させた対策が必要です。「Project Phoenix」が機密のコードネームであることを認識し、その文脈から情報漏洩リスクを判断する、より高度なアプローチが求められるのです。

さらに複雑なのは、同じ情報でも文脈によってリスクレベルが変化するという点です。「弊社の売上高は1,200億円です」という情報は、それが公開済みの前年度実績なら問題ありませんが、未公開の今年度予測なら重大な機密情報となります。

また、社内向けのAIツールに対してなら許可されても、外部のChatGPTには送信すべきでない情報も存在します。このような文脈依存型のリスク判定は、組織の情報公開状況、送信先のAIサービスの種類、ユーザーの権限レベルなど、複数の要素を総合的に判断する高度な仕組みを必要とします。

会話が進むにつれて、断片的な情報が組み合わさり、機密性の高い全体像を形成

そして、LLMとの対話がマルチターンで展開されるという特性が、従来のDLPでは想定されていなかった新たな課題をもたらします。単一のメッセージだけを見れば機密情報は含まれていなくても、会話が進むにつれて、断片的な情報が組み合わさって機密性の高い全体像を形成することがあります。

例えば、エンジニアが「Pythonで大容量データを効率的に圧縮する方法を教えて」という一般的な技術質問から始めたとします。ChatGPTが提案したアルゴリズムについて
「実は私たちが開発しているシステムでは、毎秒10GBのセンサーデータを処理する必要があって」と具体的な要件を追加し、さらに「現在使っている独自の圧縮率は85%なんだけど、これを超える方法はある?」
と会話を続けていくうちに、意図せずして自社の技術的優位性や開発中のシステムの詳細を明かしてしまう可能性があります。

人間どうしの会話でもありますよね。会話が盛り上がっていくうちに、ついうっかり機密情報をしゃべりそうになってしまった・・・

AIの場合は場合によっては対人間よりも安心して相談してしまうことがありそうです

このような累積的な会話による情報漏洩リスクを検出するためには、AIによる深い洞察と、会話全体の文脈を継続的に分析する能力も必要となってきます。

このように一つ一つの発話は無害に見えても、それらが組み合わさることで生まれる情報漏洩のリスクもAI時代のDLP、AI-DLPの腕の見せ所となりますし当社のLLM-Audit シリーズもがんばっています。

また、AIとの対話がリアルタイムで進行するという特性も重要な制約となります。メールやファイル転送であれば、送信前に数秒の検査時間があっても許容されますが、AIとの対話ではわずか1秒の遅延でもユーザー体験を損ないます。

従来はメール送れば、一仕事おわるので、送信が監査により遅くなってもそれほどストレスはたまらないかもしれませんが、AIとの会話は人間との会話と同様リアルタイムで進行しますので、AI-DLPの監査介入によりいちいち何秒も待たされたら「返事おせーな、やってられない!」となってしまうわけです。

この厳しい時間制約の中で、進行中の会話の文脈を維持し、単一の発話、マルチターンでの発話群のリスクの変化を瞬時に評価できる技術開発の必要があります。

2. 双方向監査という新しいパラダイム

従来のDLPは、組織から外部への情報流出、つまりアウトバウンドの防止に焦点を当てていました。機密情報の送信、個人情報の漏洩、知的財産の流出といったリスクは、確かに今でも重要です。しかし、AI時代においては、これだけでは不十分です。

AIからの応答、つまりインバウンドの情報も同様に、あるいはそれ以上に重要になってきています。AIが生成する情報には、誤情報やハルシネーション、不適切なコンテンツ、コンプライアンス違反の助言、さらには悪意のあるコードが含まれる可能性があります。これらは組織に新たなリスクをもたらします。

例えば、法務部門の従業員が契約条項についてAIに相談した際、AIが誤った法的解釈を提供したらどうなるでしょうか。あるいは、エンジニアがコードの最適化をAIに依頼した際、セキュリティホールを含むコードが生成されたらどうなるでしょうか。これらのリスクは、従来のDLPでは全く想定されていなかったものです。

AIの応答品質を管理することは、組織の意思決定の質を保つ上で極めて重要になっています。事実の正確性、特に数値や日付の検証、法的・倫理的な適切性の確認、組織のポリシーとの整合性チェック、そして潜在的なバイアスの検出など、多角的な検証が必要です。技術的にも非常に高難度ですが、これは単なる技術的な課題ではなく、組織のガバナンスそのものに関わる問題にもなってくるため、重要な論点となります。

3. AI-DLP固有の技術的アプローチ

このような新たな要件に対応するため、AI-DLPでは従来とは異なる技術的アプローチが必要となります。その中核となるのが、階層型処理アーキテクチャです。

全ての通信を同じレベルで詳細に検査することは、パフォーマンスの観点から現実的ではありません。そこで、リスクレベルに応じて処理の深さを動的に調整するアプローチが有効です。まず高速スクリーニングで明らかに問題のない通信を素早く通過させ、疑わしいものだけをより深い分析にかけるのです。

初期段階では、基本的なキーワードマッチングや既知のパターン検出を5ミリ秒以内で実行します。これだけで、全体の95%以上の通信は問題なく通過できるでしょう。次の段階では、形態素解析や固有表現抽出(NER)といった自然言語処理技術を用いて、より詳細な構造解析を行います。これもユーザー体験を考慮し100ミリ秒オーダーで完了する必要があります。

さらに高度な判定が必要な場合は、BERTやDeBERTa,RoBERTaといった深層学習モデルを用いた文脈解析を実施します。これらのモデルは、文章の意味を深く理解し、微妙なニュアンスも捉えることができます。また、冒頭に例示したマルチターンの会話によって蓄積された文章のリスク評価にも向いています。
そして、最終的に、最も複雑なケースでは、専用に訓練されたLLMによる総合的な判定を行います。ここでは、組織固有のビジネスルールや過去の判定事例も考慮に入れて、最終的な許可・拒否の判断を下します。

このような階層型アプローチの利点は、大多数の無害な通信に対しては最小限の遅延で済む一方、真にリスクのある通信に対しては十分な分析リソースを割り当てられることです。これにより、セキュリティとユーザビリティの最適なバランスを実現します。

4. 継続的な学習と適応の重要性

AI-DLPシステムは、静的なルールベースのシステムではありません。組織固有の文脈を学習し、時間とともに精度を向上させる必要があります。

さて、最初の例で出した「Project Phoenix」にもう一度登場いただきましょう。

ある組織で「Project Phoenix」というコードネームが使われ始めたとします。初期段階では、システムはこれが機密プロジェクトであることを知りません。しかし、この用語が機密文書や限定的なコミュニケーションで頻繁に使用されることを検出し、徐々にその重要性を学習していきます。同様に、新しい製品名、部署名、技術用語なども自動的に辞書に追加され、適切な機密レベルが設定されていきます。

また、誤検知や見逃しからのフィードバックも重要な学習源となります。セキュリティ担当者が「この警告は誤検知だった」とマークすれば、システムはその判定パターンを学習し、次回から同様の誤検知を減らすことができます。逆に、見逃してしまった機密情報の流出が後から発覚した場合も、そのパターンを学習して検出能力を向上させます。

このように継続的な学習により、AI-DLPシステムは組織の実情に即した、より精度の高い判定を行えるようになっていきます。これは、固定的なルールに依存していた従来のDLPでは実現できなかった、AI時代ならではの進化です。

5. 技術・利便性・ガバナンスの三位一体

ここまで技術的な側面を中心に議論してきましたが、AI-DLPの成功には技術だけでは不十分です。前回の記事でも触れたように、100%の技術的防御は不可能であり、最終的には人の意識とモラルが重要になります。

過度に制限的なセキュリティポリシーは、かえって組織のセキュリティを損なう可能性があります。AIツールの利用を全面的に禁止したり、極めて不便な方法でしか利用できないようにしたりすると、従業員は個人のデバイスや個人アカウントを使用してこれらのツールにアクセスし始めるでしょう。

このように

「うちの会社のネットワークは不便だからこっそり俺様のやりたいようにつかってやろう」

っていう状態を「シャドウIT」(Shadow IT)と呼びます。

シャドウITの発生は、組織のガバナンスを完全にスポイルしてしまいます。

むしろ重要なのは、「使わせない」から「安全に使わせる」への発想転換です。従業員の生産性向上というAIのメリットを活かしながら、リスクを適切に管理する。これが、AI時代のセキュリティの要諦となります。

技術的対策としては、本記事で説明した階層型処理により、大多数の通常利用には影響を与えず、本当にリスクの高い通信のみを詳細に検査します。組織的対策としては、明確な利用ガイドラインを策定し、リスクレベルに応じた段階的な制限を設けます。一般従業員には比較的緩やかな制限を、機密情報を扱う部門にはより厳格な制限を適用するなど、柔軟な運用が重要です。

また、定期的な啓発活動と教育も欠かせません。なぜこのような対策が必要なのか、どのようなリスクがあるのか、そして安全にAIを活用するにはどうすればよいのか。これらを従業員が理解し、納得した上で実践することが、真の意味でのセキュリティ向上につながります。

6. AI-DLPの将来展望

AI-DLPの将来を考える上で、短期、中期、長期の視点で戦略を立てることが重要です。

短期的には、現在利用可能な技術を最大限活用し、基本的な防御体制を構築することが優先されます。前回解説したプロキシ型監視と本記事で説明した階層型処理を組み合わせることで、実用的なレベルのセキュリティを実現することができます。

中期的には、AI-DLPに特化した新しいソリューションがさらに進化していくでしょう。自然言語理解や文脈認識の精度が向上し、より高度な判定が可能になります。また、異なるAIサービスごとの特性を理解し、それぞれに最適化された制御方法も確立されていくはずです。

長期的にはAIがもたらすリスクを管理するためにAI技術自体を全面的に活用する「ガーディアンエージェント」時代が来るでしょう。高度な言語モデルが、送信されようとしているデータの機密性を人間と同等以上の精度で判断し、適切な制御を行う。そんな未来も、そう遠くないはずです。

7. 実践的なソリューションへ向けて

本記事では、AI時代のデータ漏洩防止において、従来型のDLPアプローチでは対応できない新たな課題と、それに対する技術的なアプローチについて詳しく見てきました。自然言語理解の必要性、文脈依存型のリスク判定、リアルタイム処理への対応、そして双方向監査という新しいパラダイムなど、AI-DLPが取り組むべき課題は多岐にわたります。

これらの課題に対して、階層型処理アーキテクチャや継続的な学習メカニズムといった技術的ソリューションが有効であることも明らかになりました。しかし同時に、技術だけでは解決できない部分も多く、組織全体での取り組みが不可欠であることも再確認されました。

LLM-Audit:包括的なAI-DLPソリューション

当社のLLM-Auditは、これらの課題を深く理解した上で開発された、包括的なAI-DLPソリューションとして活用可能です。LLM-Auditは単なる技術製品ではなく、組織のAI活用を安全に推進するための総合的なプラットフォームとして設計されています。

LLM-Auditの最大の特徴は、本記事で詳しく説明した双方向監査を実装していることです。アウトバウンド監査では、従業員がLLMに送信しようとするデータを検査し、個人情報や機密情報が含まれていないかをチェックします。一方、インバウンド監査では、LLMからの応答を検査し、不適切な内容、誤情報、あるいは意図しない機密情報の露出がないかを確認します。

また、階層型ガードレールという柔軟アーキテクチャにより、95%以上の通常のリクエストは高速なマッチング処理(5ミリ秒程度)で処理され、ユーザーはほとんど遅延を感じることがありません。より複雑なケースでは、必要に応じて形態素解析、固有表現抽出、BERT/RoBERTaによる文脈解析、専用LLMによる推論まで、段階的に処理が深化していきます。

また、PIIや機密情報検出や仮名化(非識別化)のみを高速高精度で行う PII-FI もあわせてご提供しており、用途に応じて最適なソリューションをご提案いたします。

まとめ

AI時代のデータ漏洩防止は、もはや従来の延長線上では対応できない、全く新しいチャレンジです。HTTPSインターセプトという基礎技術の上に、自然言語理解、文脈依存型判定、リアルタイム処理、双方向監査といった新しい要素を積み重ねていく必要があります。

しかし、これらの技術的な進化だけでは十分ではありません。「使わせない」から「安全に使わせる」への発想転換、技術・利便性・ガバナンスの三位一体でのアプローチ、そして継続的な改善サイクルの確立が、真の意味でのAI時代のセキュリティを実現する鍵となります。

完璧を求めるのではなく、実用的で持続可能な対策を講じること。技術の限界を認識しながらも、それでも前に進むこと。これが、AI時代のセキュリティに求められる姿勢です。

私たちは、技術の透明性こそがセキュリティの第一の基盤だと考えています。本記事が、皆様の組織におけるAI活用とセキュリティの両立に向けた議論の一助となれば幸いです。

AI技術の進化とともに、セキュリティの課題も日々変化しています。

もし貴社がAI活用におけるセキュリティとガバナンスの課題でお悩みでしたら、ぜひ一度ご相談ください。前回と今回の記事で解説した技術的な背景を踏まえた上で、貴社の具体的な状況に応じた最適なソリューションをご提案させていただきます。

Read more

Claude Fable 5はこれからどうなる? 経緯・コスト・今後の見通しをファクトベースで整理する

Claude Fable 5はこれからどうなる? 経緯・コスト・今後の見通しをファクトベースで整理する

こんにちは! 2026年7月2日(日本時間)、日本からもClaude Fable 5が再び利用できるようになりました。 2026年6月に大きな注目を集めて登場し、わずか3日で米政府の指令により停止、そして7月1日(米国時間)に復活したAnthropicの最上位モデル「Claude Fable 5」。 復活と同時に 「サブスクで使えるのは7月7日まで」 という条件が付いたことで、利用者の間ではコストへの懸念の声も見られます。 本記事では、憶測と事実を切り分けながら、 (1)これまでの経緯、 (2)確定している料金体系、 (3)実際のコスト試算、 (4)今後の見通し、 の4点を整理します。確定情報(ファクト)と筆者の推測は明確に区別して書きます。 ※本記事の日付は、特記のない限りAnthropicの発表に基づく米国時間を基準としています。 なお当ブログでは、Fable 5 / Mythos 5についてリリース直後の技術解説、米政府指令による停止が示した可用性リスクの考察、Fable 5の安全分類器がClaude Code上で実際にどう振る舞ったかの体験記を公開してきました。

By Qualiteg コンサルティング
モデルを「壊さずに」ドメインを広げる ― XLM-RoBERTa 継続学習の設計ノート

モデルを「壊さずに」ドメインを広げる ― XLM-RoBERTa 継続学習の設計ノート

こんにちは、Qualiteg研究部です。 今日は「すでに完成している強いモデルを、壊さずに広げる」という、地味だけど実務でとても大事なテーマを取り上げたいと思います。 機械学習に取り組んでいると、 「一度しっかり仕上げたモデルを、新しい用途やデータに合わせてもう少し広げたい」 そんな場面はよく出てきます。 今回ご紹介するNER(固有表現抽出)のシーンに限らず、いろいろなタスクで共通する悩みではないでしょうか。 ところが、ここで素朴に追加学習をかけると、せっかくの強みがあっさり崩れてしまう。 私たちは、PII(個人特定情報や要配慮情報)を検出・マスキングするエンジン(PII-FI)を構築する際、実際にそれを経験しました。 Precision(適合率)が 0.83 から 0.17 まで転げ落ちる、なんてことも本当に起きるんです。 PII検出では、ドメイン(分野)ごとに検出したいPII型の種類や求められる精度が異なる場合があります。そこで1つのエンジンといっても、対応ドメインを広げていくたびに(そのドメインに適応させるための)追加学習が求められることがあります。 本稿は、そう

By Qualiteg 研究部
Claude Codeで出てくる「court」って何? “XML露出” 現象とツール呼び出し未実行事故の対策

Claude Codeで出てくる「court」って何? “XML露出” 現象とツール呼び出し未実行事故の対策

こんにちは! Qualitegプロダクト開発部です。 Claude Code を使っていると、ツール呼び出しの XML(<invoke> や <parameter>)が画面にそのまま表示されたり、実際にはコマンドや PR 作成が実行されていないのに「完了しました」と報告されたりして、動作がおかしくなることがあります。 そして、その呼び水となる文字列 court や course や count が出現します 本稿では、 この現象(本稿では「XML露出」と呼びます)を実ログから解説し、検知と対策をまとめました。 ● ● ●  claude-code — bash➜ ~/qualiteg-project claude> プロジェクト配下のストレージ使用量を調査します。court<invoke name="Bash">

By Qualiteg プロダクト開発部
AIが攻撃と防御の両方を変える――セキュリティ市場2026と次の10年

AIが攻撃と防御の両方を変える――セキュリティ市場2026と次の10年

ここ数年で、サイバーセキュリティをめぐる議論の前提は大きく変わりました。かつての中心は「いかに侵入を防ぐか」でしたが、いまは攻撃側も防御側も、ともにAIを使い始めています。攻撃が機械の速度で自動化・大規模化する一方、防御も人手だけでは追いつかない領域に入りつつあります。本記事では、公開されている市場データをもとに、AI時代のセキュリティ市場を「どこが伸び、どこが重なり、どこに注意すべきか」という観点から整理します。 「AIとセキュリティ」には三つの市場がある 最初に、用語を整理しておきます。「AIセキュリティ」とひとくくりにすると分かりにくいのですが、実際には少なくとも三つの異なるテーマが同時に進んでいます。 この三つの違いは、「誰がAIを使うのか」と「何を守るのか」で考えると分かりやすくなります。 第一は、防御側がAIを使う「AIで守る」領域です。 攻撃者がAIを使っているかどうかにかかわらず、企業やセキュリティ事業者がAIを利用して、サイバー攻撃やインシデントを検知・分析・阻止します。大量のログやアラートの分析、脅威の優先順位付け、異常の検知、初動対応の支援などは、すでに

By Qualiteg コンサルティング, Qualiteg AIセキュリティチーム