チャットボットのセキュリティ対策|サイバーリスクから守るためのツール選びのポイント
チャットボットを導入している企業は年々増加傾向にあり、多くの企業が業務効率化やコンバージョン率向上、顧客満足度アップを実現しています。
しかしその一方でサイバー攻撃のリスクも高まっており、企業の内部情報や顧客の個人情報などの漏洩や不正アクセスによる営業妨害などの被害に遭うケースも少なくありません。情報漏洩が起きてしまった場合、企業の信頼失墜や損害賠償などといった深刻な問題に発展することも懸念されます。
今回の記事では、チャットボットで懸念されるサイバー攻撃の種類や、サイバーリスクから守るためのツール選びのポイントについて解説します。安全性の高いチャットボットを導入したいと考えている方の参考になれば幸いです。
Index
【5社に1社が被害に】サイバーリスクについて
サイバーリスクとは、サイバー攻撃やヒューマンエラーなどによって組織が保有する情報が漏洩したり、悪用されたりするリスクを意味します。サイバー攻撃の件数は増加傾向にあり、中小企業への被害も多く報告されています。
一般社団法人日本損害保健協会の調査によりますと、サイバー攻撃の被害を受けたことがある中小企業の経営者は825人中155人と、約5社に1社が被害にあった経験があるという結果が出ています。『中小企業の経営者のサイバーリスク意識調査2019』
さらに、サイバー攻撃の被害に遭っていることに気づかない場合もあるため、実態の被害数は更に大きいと考えられます。
つまり、企業規模に関わらず多く企業がサイバーリスクの脅威にさらされているといっても過言ではありません。
チャットボットで懸念されるサイバー攻撃の種類
サイバー攻撃は年々巧妙化しており、その手口も多岐に渡ります。チャットボットで懸念されるサイバー攻撃には、一般的なWebサービスでも起こりうるものから、チャットボット特有のものも存在しています。
チャットボットで懸念されるサーバー攻撃は、主に以下のようなものがあります。
- SQLインジェクション
- DDoS(DoS)攻撃
- XSS攻撃
- ChatGPTジェイルブレイク
それぞれ詳しく見ていきましょう。
SQLインジェクション
SQL(エスキューエル または シークェル)は、データベースを操作するための言語であり、データベースに対してデータの検索や追加、更新などの操作を行うためのものです。そしてSQLインジェクションとは、この言語を利用してデータベースに不正アクセスするための手法を意味します。
チャットボットがログイン情報を管理している場合やデータベースと接続してユーザー認証を行っている場合には、そこから名前や住所、電話番号、クレジットカード情報などの個人情報を抜き取られる恐れがあります。
DDoS(DoS)攻撃
DDoS(DoS)攻撃とは、特定のネットワークやサーバーに対して大量のリクエストを送信し、負荷を与えることで業務を妨害することです。これにより、チャットボットが正常に機能しなくなり、サービスの停止や収益減少などといった影響が発生します。
XSS攻撃
XSS攻撃とは、個人情報の入力画面などにおいて不正なリンクを表示させるなどし、リンクをクリックしたユーザーの個人情報を抜き取ったり、企業の信頼性を低下させたりする攻撃です。例えばチャットボットでは、チャット上でユーザーに対し、悪意を持って故意に不正リンクを表示させるといったことが考えられます。
ChatGPTジェイルブレイク
ChatGPTジェイルブレイクとは、通常であればAIが生成しない、または生成を禁止しているような内容を生成させたり、誤作動を起こさせたりする攻撃です。生成を禁止している内容には組織の内部情報や顧客の個人情報なども含まれるため、これらの機密情報が抜き取られ、公開してはいけない情報を含んで生成を行ってしまう場合があります。
【サイバーリスクから守る】チャットボットツール選びのポイント
チャットボットツール選びのポイントには、以下のようなものが挙げられます。
- ベンダーのセキュリティ意識が高い
- セキュリティ対策機能が付いている
- 技術者による監視サポートがある
- 大企業への導入実績がある
以下、それぞれ詳しく解説します。
ベンダーのセキュリティ意識が高い
まずはベンダーのセキュリティ意識について調べることをおすすめいたします。ベンダーのセキュリティ意識の高さを判断する材料の一つとして「情報セキュリティ認証を取得していること」が挙げられます。
情報セキュリティ認証とは、企業や組織が情報資産を正しく取り扱っているかを第三者機構が証明する制度です。主な情報セキュリティ認証には、以下のようなものがあります。
- Pマーク
- ISO/IEC2700
- ISO/IEC27017
- JISQ15001
Pマーク
Pマーク(プライバシーマーク)とは、一般財団法人日本情報経済社会推進協会(JIPDEC)による審査に基づき、個人情報を適切に管理している事業者に与えられるマークです。
ISO/IEC2700
ISO/IEC2700とは、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報セキュリティマネジメントには以下の3つの要素があり、すべてがバランスよく維持することが求められます。
| 要素 | 概要 |
| 気密性 | 情報を利用できない人が利用できない状態 |
| 完全性 | 情報資産が改ざんや削除をされない状態 |
| 可用性 | 情報資産を利用すべき人が速やかに利用できる状態 |
ISO/IEC27017
ISO/IEC27017とは、クラウドサービスに特化した情報マネジメントシステムであり、ISMSを取得した事業者だけが取得できる国際規格です。クラウドサービスにおける具体的な脅威やリスクを特定し、適切に対策を構築することが求められます。
JISQ15001
JISQ15001は、個人情報を適切に管理するためのマネジメントシステムを定めた規格であり、一般財団法人日本規格協会によって策定されたものです。
このような認証を取得しているベンダーは、セキュリティ意識を高く持っていると判断して良いでしょう。自社のセキュリティポリシーがあれば、ベンダーに対してセキュリティチェックを行うなども有効です。
セキュリティ対策機能が付いている
チャットボットツールにセキュリティ対策機能が付いているかを確認するようにしてください。チャットボットツールに施されている代表的なセキュリティ対策機能には、以下のようなものがあります。
- アクセス制限機能
- データの暗号化機能
- 異常検知機能
- ログ管理機能
アクセス制限機能
特定のIPアドレス以外のアクセスを制限する機能です。この機能があることによって、あらかじめ許可を与えたユーザーからのアクセスのみを許可することが出来ます。
データの暗号化機能
通信データや保存データなどを暗号化することで、情報漏洩や不正アクセスを防止する機能です。万が一、データが抜き取られてしまった場合にも解読されにくくすることが出来ます。
異常検知機能
不正アクセスなどの異常を即座に検知するための機能です。「不正アクセス検知システム(IDS)」や「異常検知システム(ADS)」という名称で記載されていることも多いです。
ログ管理機能
チャットボットが対応した履歴などをログとして管理してくれる機能であり、異常があった際の原因究明や、定期的にログのチェックをすることによって異常の早期発見に役立ちます。
技術者による監視サポートがある
サイバー攻撃には早期発見と対処が非常に重要です。しかし、サイバー攻撃の手口は年々巧妙化しているため、専門的な知識がなければ発見が遅れてしまうことが懸念されます。専門技術者による監視サポートがあるツールであれば、より高い安全性が期待できるでしょう。
大企業への導入実績がある
安全性の高いチャットボットを判断するためには、大企業への導入実績の有無をチェックすることも有効です。大企業は事業規模が大きいことや、海外へのビジネス展開をしていることなどから求められるセキュリティレベルが高い傾向にあるため、大企業に導入されているツールは高いセキュリティレベルであると判断する材料になります。
導入実績をチェックする際は、何社に導入されているか、どのような企業に導入されているかを確認し、導入先企業のセキュリティポリシーについてもチェックすると良いでしょう。
安全性の高いチャットボットを導入して、企業をサイバーリスクから守ろう
チャットボットは業務効率化やコンバージョン率の向上、顧客満足度アップなど、企業に大きなメリットを与えてくれるシステムです。しかし、他のシステムと同様、サイバー攻撃の標的にされてしまうリスクもあります。
情報漏洩や不正アクセスなどの被害に遭わないためには、まずは安全性の高いチャットボットを導入することが重要です。チャットボットを選定する際には、「ベンダーのセキュリティ意識の高さ」や「セキュリティ対策機能の有無」、「サポート体制」、そして「導入実績」などを確認することで、リスクを最小限に抑えることに繋がります。
企業の信頼を守りながら、チャットボットの導入効果を最大限に発揮するためにも、チャットボットツールの選定は慎重に行うようにしましょう。
トゥモロー・ネットが提供するCAT.AI GEN-Botは、生成AIと連携し企業が保有するあらゆるデータベースに基づいてテキストだけではなく、画像やフォームも使いながら適切な回答を作成・提示し、パーソナライズした対応で問題解決に導くことができるシステムです。
高度なデータベースとBot機能でオープンデータ使用を制御し、生成AIの課題でもあるハルシネーションの発生を最低限に留め適切な回答を提供することに加え、独自開発のNLP(自然言語処理)エンジンを搭載し、データ検索の精度を向上します。
企業の公式サイトやアプリ、チャットでの問い合わせ・FAQなどのフロントチャネルとしての活用に加え、社内規定やガイドライン、専門職のナレッジ統合ツールなどの従業員サポート・社内ヘルプデスクとして利用することができますので、ぜひお気軽にお問い合わせください。
この記事の筆者
株式会社トゥモロー・ネット
AIプラットフォーム本部
「CAT.AI」は「ヒトとAIの豊かな未来をデザイン」をビジョンに、コンタクトセンターや企業のAI対応を円滑化するAIコミュニケーションプラットフォームを開発、展開しています。プラットフォームにはボイスボットとチャットボットをオールインワンで提供する「CAT.AI CX-Bot」、生成AIと連携したサービス「CAT.AI GEN-Bot」を筆頭に6つのサービスが含まれ、独自開発のNLP(自然言語処理)技術と先進的なシナリオ、直感的でわかりやすいUIを自由にデザインし、ヒトを介しているような自然なコミュニケーションを実現します。独自のCX理論×高度なAI技術を以て開発されたCAT.AIは、金融、保険、飲食、官公庁を始め、コンタクトサービスや予約サービス、公式アプリ、バーチャルエージェントなど幅広い業種において様々なシーンで活用が可能です。
