ChatGPTをはじめとしたAIツールの利用が情報セキュリティリスクという側面もありますが、うまく付き合うことができればISMSももっと効率的・有効的なものにできるのではないでしょうか…!
そこで新たなシリーズとして、ISMSの様々な取り組みとAIツールを絡めてみた所感などについてまとめてみようと思います!
第一弾は「情報セキュリティ目的」をChatGPTと一緒に考えてみました。
前提条件
今回はChatGPTを利用。
ChatGPTには目標を考えるために、組織が抱えている課題(仮)と、ISMS上要求される目標策定のための要件を依頼事項として、以下の通り相談しました。
【前提】
今私たちは以下のような課題を抱えています。
- リモートワークの普及に伴い世界中に社員が増えてきた
- 提供するクラウドサービスに保存されているお客様の情報管理に力を入れたい
- クライアントからセキュリティチェックアンケートの回答を求められることが増えている。
【依頼】
上記の前提を踏まえて以下の項目を含む情報セキュリティ目標を提案してください。
- 目標達成のための実施事項
- 必要な資源
- 責任者
- 達成期限
- 結果の評価方法
ChatGPTの提案
提案1
前提条件に記載の投げかけを行なった結果、ChatGPTは以下のようなアイデアを提案してくれました。
まず、複数の課題を一つの目標にまとめられてしまったので、すごいぎゅっとしてメインテーマが何か散らかってしまっている感じがしますね…。笑
ただ全く意味のわからないもの、使えないものかというとそういうわけでもなく、ChatGPT自身が立てた目標に対する、実施事項、資源、評価方法については現実的かつ目標達成のためには理にかなっているように感じます。
提案2
ただ、やっぱり一つにぎゅっとされ過ぎているのが気になるので、追加でアイデアの提案を依頼してみたところ以下のような回答を得ることができました。
リモートワーク、クラウドサービス情報のお客様情報の管理という課題それぞれに対して目標設定をしてくれたことによって、より目的が明確化された気がしますね!
ただ、実施事項が少し概要的な書きっぷりになっているので、さらにこの点を実行可能なレベルまで具体化する作業は必要になってきそうです。
プラスα
ちなみに、実施事項のタスク化とスケジュール案もお願いしてみたらなんと以下の回答が!
これはありがたくないですか?!
目標策定まではできるものの、うまいことスケジュール策定・タスク管理ができておらず、内部監査や審査前に急いで可能な範囲で対応するというケースが意外と多くみられます。
そういった場合には、具体的なタスクやスケジュールを考えてもらって、それを自分たちでタスク管理ツールなどで管理することでベストなスケジュールで運用していくことに活用できるかもしれません!
さいごに
今回の「情報セキュリティ目的の策定」へのAI活用を考えてみました。
しっかり課題を考慮して必要な項目も含めて提案してくれるので、自分だけでは思いつかない目的の策定に役立ちそうです。
特に「毎年目的の策定には苦労するんです…」といった皆さんにとってはうまく使いこなせれば強い味方になるかもしれません!
一方で、今回は前提としてインプットした内容が、一般的な内容、かつ分量も多くなかったからか、回答もまあまあありきたりなものだったり、少し課題に直撃するような内容でなかったようにも感じます。
この点については質問の仕方を改善することでもっとより良いパートナーになるかもしれませんね。
最後に、改めてになりますがChatGPTなどのAIツールは便利な一方で、ものによっては入力情報が学習データとして第三者に出力される懸念もあります。
利用規約や公表されている情報などを確認したうえで、どのレベル感の情報を入力するのかよく考えたうえでうまく付き合っていきましょう。