AI サービス アクセス ルールを設定して、ユーザーのウェブベースの AI サービスへのアクセスを制御し、機密情報や不適切なコンテンツを監視します。
重要これはプレリリースのサブ機能であり、公式の商用リリースや一般リリースの既存機能の一部ではありません。サブ機能を使用する前にプレリリース サブ機能に関する免責を確認してください。
|
注意AI サービスアクセスルールはインターネットアクセスルールより優先されます。
|
手順
- Secure Access Rules 画面で、[AI Service Access] タブをクリックし、[Create AI Service Access Rule] をクリックします。[AI service access] ルールテンプレートが選択された状態でルール設定画面が表示されます。
- 一意の名前と説明を指定してください。
- 該当する生成AIサービスがパブリックかプライベートの生成AIサービスかを指定してください。
- (オプション)ルールを有効または無効にするには、[ステータス] の横にあるトグルをクリックします。
ヒント
Secure Access Rules 画面でルールを有効または無効にすることもできます。 - 次のルール設定を構成します。ルール設定説明オプションルールターゲットルールの対象または除外されたユーザー、デバイス、および場所
-
[Users/Groups/Private IP address groups]: 設定されたSSOプロバイダーに登録されているユーザーまたはグループを対象または除外します。代わりに、内部の企業ネットワークの場所からプライベートIPアドレスグループを対象または除外することもできます。
-
ルールで使用できるのは、SSOプロバイダーとして構成されたIAMシステムのユーザーまたはグループのみです。
-
[追加] をクリックして新しい IPアドレスグループを定義します。IPアドレスまたは範囲は、内部の企業ネットワークに存在する必要があります。
重要
Secure Access Moduleがインストールされておらず、X-Forwarded-For (XFF)
ヘッダーフィールドを含むHTTP/HTTPSリクエストを送信しないデバイスには、ルールが適用されない場合があります。インターネットアクセスゲートウェイは、これらのデバイスのプライベートIPアドレスを取得できません。 -
-
[デバイス構成プロファイル]:デバイスの姿勢プロファイルを追加または選択して、Secure Access Moduleを使用してインターネットにアクセスする準拠デバイスを除外します。
- [場所]: インターネットアクセスクラウドゲートウェイまたはインターネットアクセスオンプレミスゲートウェイで定義された、利用可能な企業または公共/家庭ネットワークの場所をターゲットにします。
-
特定のゲートウェイでネットワークの場所を定義するには、に移動します。
-
トラフィックルールが適用されるAIサービスのトラフィック[AI services]すべての利用可能なAIサービスまたは選択されたAIサービスを指定してください。重要
-
[Services supporting content inspection] から選択して、高度な生成AIコンテンツフィルタリングを有効にします。コンテンツ検査をサポートしていないAIサービスは、許可またはブロックのみ可能です。現在サポートされているAIサービスは次のとおりです:
-
Amazon Bedrock
-
ConverseおよびConverseStream (すべてのバージョン)
-
InvokeModelおよびInvokeModelWithResponseStream (Anthropicモデルのみ)
-
-
Anthropic APIおよびClaude (全バージョン)
-
ChatGPT(すべてのバージョン)
-
Google Gemini(旧称 Bard)
-
Microsoft Copilot(旧称 Bing Chat)
-
Microsoft 365 向け Microsoft Copilot
-
- ルールをパブリックAIサービスに適用する場合は、
-
ビジネス/経済
-
検索エンジン/ポータル
-
コンピュータ/インターネット
に移動し、次のURLカテゴリに対してHTTPSインスペクションルールを追加または有効にする必要があります:
-
予約ルールが適用される期間[カスタム] を選択して週間スケジュールを設定します。[指定した期間のみルールを適用] を確認し、特定の期間を設定するための日付範囲を選択します。注意
スケジュールは、企業ネットワークの場所で定義されたタイムゾーンを使用します。パブリックまたは家庭のネットワークからの接続はUTC+0を使用します。処理ルールがトリガーされたときに実行された処理-
AIサービスへのアクセスをブロック: サポートされているすべてのAIサービスへのアクセスをブロックします。
-
高度なAIコンテンツ検査でAIサービスへのアクセスを許可: プロンプトや応答のために、指定されたコンテンツ検査パラメータ内で指定されたAIサービスへのアクセスを許可します。
-
プロンプト設定には以下が含まれます:
-
機密データ漏洩検出: AIコンテンツインスペクションルールで定義された機密データを含むプロンプトを監視またはブロックします
-
不正なプロンプト注入の検出: AIサービスに悪意のある指示を与え、不正プログラムを拡散させたり、機密データを盗んだり、システムを制御したりする可能性のあるプロンプトを監視します
-
ファイルアップロード検出: AIサービスへのファイルアップロード試行を監視またはブロック
-
-
対応設定には以下が含まれます:
-
不適切な対応コンテンツ検出: AIコンテンツインスペクションルールで定義された不適切なデータを含むと検出された応答を監視またはブロックします
-
トレンドマイクロ サイバーセキュリティ専門家によって検出された悪意のあるURLを含む応答をブロックする
-
-
-
- [保存] をクリックします。[AI Service Access] 画面で利用可能なすべてのルールを表示します。