Prompt時代のデータセキュリティ設計: エンドポイントから生成AIまでをどう守るか

セキュリティ設計の前提が変わった

業務データの流れは、これまで「ユーザー→業務アプリ→DB」が中心でした。Prompt時代はここに「ユーザー端末→AIコンテキスト→モデル→生成物」が追加されます。

問題は、この新経路が非常に短時間で成立し、既存のファイル中心DLPでは捕捉しにくいことです。漏えいは大きなファイル移動ではなく、断片的テキスト投入として起きます。

従来統制が見落としやすいリスク

• 社内ツールからの機微情報コピー
• ブラウザセッションに残る一時コンテキスト
• 生成結果に含まれる個人情報や契約情報
• 外部コネクタ経由の想定外アクセス

境界防御中心から、文脈に応じた制御へ転換が必要です。

実装しやすい5層防御モデル

1. Endpoint Trust層

機微データを扱うPrompt操作前に端末健全性を確認します。

• 管理端末であること
• ディスク暗号化とパッチ適用
• ブラウザハードニング
• クリップボード/ダウンロード制御

2. Identity & Session層

継続的な本人性評価を行います。

• フィッシング耐性の高い認証
• リスク適応型セッション制御
• 機微コネクタ利用時の追加認証
• ユーザー操作とAI操作のログ対応付け

3. Data Classification層

入力時点でデータ区分を判定します。

• 公開/社内/機密/規制対象のラベル
• 送信前ポリシーチェック
• 生成物側にもラベルと取扱ルール適用

4. Transport & Service Boundary層

端末・ポリシーエンジン・モデル間通信を明示的に制御します。

• 暗号化通信と証明書厳格検証
• リージョン/データ所在地制約
• 許可済みモデルエンドポイントのみに接続
• コネクタ権限の最小化

5. Observability & Response層

Promptイベントをセキュリティ監視対象に昇格します。

• 高リスクPromptパターン検知
• 異常なコネクタ利用アラート
• ポリシー回避試行の検知
• 生成AI起因インシデントの対応手順

判定を4択にする: Allow/Redact/Block/Isolate

Promptイベントごとに次の4つで処理方針を決めます。

• Allow: 低リスクで送信先も適合
• Redact: 機微項目をマスクして許可
• Block: 禁止カテゴリ/禁止送信先
• Isolate: 監視付き隔離環境でのみ実行

この設計により、全面禁止と無制限許可の両極端を避けられます。

導入時に避けるべきアンチパターン

• 全部門へ同一ポリシーを強制
• Prompt本文を過剰保存して新たなリスク化
• 生成物ガバナンスを後回し
• 法務/監査を設計初期から巻き込まない

30/60/90日で進める実装計画

• 30日: Promptデータフロー可視化と機微分類定義
• 60日: 高リスク部門に入力制御とコネクタ統制導入
• 90日: インシデント訓練とリスク低減レポート公開

まとめ

Prompt時代のセキュリティは「AI利用を止める」ことではなく、AI利用を観測可能・統制可能・回復可能にすることです。エンドポイントから生成経路までを一体設計できるかが、今後の差になります。