ビュー:

AI サービス アクセス ルールを設定して、ユーザーのウェブベースの AI サービスへのアクセスを制御し、機密情報や不適切なコンテンツを監視します。

重要
重要
これはプレリリースのサブ機能であり、公式の商用リリースや一般リリースの既存機能の一部ではありません。サブ機能を使用する前にプレリリース サブ機能に関する免責を確認してください。
注意
注意
AI サービスアクセスルールはインターネットアクセスルールより優先されます。

手順

  1. Secure Access Rules 画面で、[AI Service Access] タブをクリックし、[Create AI Service Access Rule] をクリックします。
    [AI service access] ルールテンプレートが選択された状態でルール設定画面が表示されます。
  2. 一意の名前と説明を指定してください。
  3. 該当する生成AIサービスがパブリックかプライベートの生成AIサービスかを指定してください。
  4. (オプション)ルールを有効または無効にするには、[ステータス] の横にあるトグルをクリックします。
    ヒント
    ヒント
    Secure Access Rules 画面でルールを有効または無効にすることもできます。
  5. 次のルール設定を構成します。
    ルール設定
    説明
    オプション
    ルールターゲット
    ルールの対象または除外されたユーザー、デバイス、および場所
    • [Users/Groups/Private IP address groups]: 設定されたSSOプロバイダーに登録されているユーザーまたはグループを対象または除外します。代わりに、内部の企業ネットワークの場所からプライベートIPアドレスグループを対象または除外することもできます。
      • ルールで使用できるのは、SSOプロバイダーとして構成されたIAMシステムのユーザーまたはグループのみです。
      • [追加] をクリックして新しい IPアドレスグループを定義します。IPアドレスまたは範囲は、内部の企業ネットワークに存在する必要があります。
      重要
      重要
      Secure Access Moduleがインストールされておらず、X-Forwarded-For (XFF) ヘッダーフィールドを含むHTTP/HTTPSリクエストを送信しないデバイスには、ルールが適用されない場合があります。インターネットアクセスゲートウェイは、これらのデバイスのプライベートIPアドレスを取得できません。
    • [デバイス構成プロファイル]:デバイスの姿勢プロファイルを追加または選択して、Secure Access Moduleを使用してインターネットにアクセスする準拠デバイスを除外します。
    • [場所]: インターネットアクセスクラウドゲートウェイまたはインターネットアクセスオンプレミスゲートウェイで定義された、利用可能な企業または公共/家庭ネットワークの場所をターゲットにします。
      • 特定のゲートウェイでネットワークの場所を定義するには、[Secure Access Configuration][Internet Access and AI Service Access Configuration][ゲートウェイ]に移動します。
    トラフィック
    ルールが適用されるAIサービスのトラフィック
    [AI services]
    すべての利用可能なAIサービスまたは選択されたAIサービスを指定してください。
    重要
    重要
    • [Services supporting content inspection] から選択して、高度な生成AIコンテンツフィルタリングを有効にします。コンテンツ検査をサポートしていないAIサービスは、許可またはブロックのみ可能です。現在サポートされているAIサービスは次のとおりです:
      • Amazon Bedrock
        • ConverseおよびConverseStream (すべてのバージョン)
        • InvokeModelおよびInvokeModelWithResponseStream (Anthropicモデルのみ)
      • Anthropic APIおよびClaude (全バージョン)
      • ChatGPT(すべてのバージョン)
      • Google Gemini(旧称 Bard)
      • Microsoft Copilot(旧称 Bing Chat)
      • Microsoft 365 向け Microsoft Copilot
    • ルールをパブリックAIサービスに適用する場合は、[Internet Access and AI Service Access Configuration][HTTPSインスペクション]に移動し、次のURLカテゴリに対してHTTPSインスペクションルールを追加または有効にする必要があります:
      • ビジネス/経済
      • 検索エンジン/ポータル
      • コンピュータ/インターネット
    予約
    ルールが適用される期間
    [カスタム] を選択して週間スケジュールを設定します。[指定した期間のみルールを適用] を確認し、特定の期間を設定するための日付範囲を選択します。
    注意
    注意
    スケジュールは、企業ネットワークの場所で定義されたタイムゾーンを使用します。パブリックまたは家庭のネットワークからの接続はUTC+0を使用します。
    処理
    ルールがトリガーされたときに実行された処理
    • AIサービスへのアクセスをブロック: サポートされているすべてのAIサービスへのアクセスをブロックします。
    • 高度なAIコンテンツ検査でAIサービスへのアクセスを許可: プロンプトや応答のために、指定されたコンテンツ検査パラメータ内で指定されたAIサービスへのアクセスを許可します。
      • プロンプト設定には以下が含まれます:
        • 機密データ漏洩検出: AIコンテンツインスペクションルールで定義された機密データを含むプロンプトを監視またはブロックします
        • 不正なプロンプト注入の検出: AIサービスに悪意のある指示を与え、不正プログラムを拡散させたり、機密データを盗んだり、システムを制御したりする可能性のあるプロンプトを監視します
        • ファイルアップロード検出: AIサービスへのファイルアップロード試行を監視またはブロック
      • 対応設定には以下が含まれます:
        • 不適切な対応コンテンツ検出: AIコンテンツインスペクションルールで定義された不適切なデータを含むと検出された応答を監視またはブロックします
        • トレンドマイクロ サイバーセキュリティ専門家によって検出された悪意のあるURLを含む応答をブロックする
  6. [保存] をクリックします。
    [AI Service Access] 画面で利用可能なすべてのルールを表示します。