ビュー:

AIのSecure Access Ruleを設定して、ユーザのウェブベースのAIサービスへのアクセスを制御し、機密または不適切なコンテンツをモニタします。

注意
注意
AI Secure Access Rulesはインターネットアクセス規則より優先されます。

手順

  1. Secure Access Rules画面で、[AIセキュアアクセス]タブをクリックし、[Create AI Secure Access Rule]をクリックします。
    ルール設定画面が[AI secure access]ルールテンプレートを選択した状態で表示されます。
  2. 一意の名前と説明を指定してください。
  3. 該当する生成AIサービスがパブリックかプライベートの生成AIサービスかを指定してください。
  4. (オプション)ルールを有効または無効にするには、[ステータス] の横にあるトグルをクリックします。
    ヒント
    ヒント
    Secure Access Rules 画面でルールを有効または無効にすることもできます。
  5. 次のルール設定を構成します。
    ルール設定
    説明
    オプション
    ルールターゲット
    ルールの対象または除外されたユーザー、デバイス、および場所
    • [Users / Groups/ IP address groups]: 設定されたSSOプロバイダに登録されているユーザまたはグループを対象または除外します。代わりに、パブリックおよびプライベートIPアドレスグループの両方を対象または除外することもできます。
      • ルールで使用できるのは、SSOプロバイダーとして構成されたIAMシステムのユーザーまたはグループのみです。
      • [追加]をクリックして新しいIPアドレスグループを定義し、パブリックまたはプライベートIPアドレスグループを選択します。プライベートIPアドレスを選択した場合、IPアドレスまたは範囲は内部企業ネットワーク上に存在する必要があります。
      • カスタムURLとカスタムクラウドアプリの両方を含めたり除外したりできます。
      重要
      重要
      X-Forwarded-For (XFF)ヘッダーフィールドを含むHTTP/HTTPSリクエストを送信しないSecure Access Moduleがインストールされていないデバイスには適用されない場合があります。Internet Access GatewayはこれらのデバイスのプライベートIPアドレスを取得できません。
    • [デバイス構成プロファイル]:デバイスの姿勢プロファイルを追加または選択して、Secure Access Moduleを使用してインターネットにアクセスする準拠デバイスを除外します。
    • [場所]: インターネットアクセスクラウドゲートウェイまたはインターネットアクセスオンプレミスゲートウェイで定義された、利用可能な企業または公共/家庭ネットワークの場所をターゲットにします。
      • 特定のゲートウェイでネットワークの場所を定義するには、[Secure Access Configuration][インターネットアクセスとAI Secure Access Configuration][ゲートウェイ]に移動します。
    トラフィック
    ルールが適用されるAIサービスのトラフィック
    [AI services]
    すべての利用可能なAIサービスまたは選択されたAIサービスを指定してください。サポートされているAIサービスの詳細については、パブリックAIサービスのカテゴリを参照してください。
    重要
    重要
    • [Services supporting content inspection] から選択して、高度な生成AIコンテンツフィルタリングを有効にします。コンテンツ検査をサポートしていないAIサービスは、許可またはブロックのみ可能です。現在サポートされているAIサービスは次のとおりです:
      • Amazon Bedrock
        • ConverseおよびConverseStream (すべてのバージョン)
        • InvokeModelおよびInvokeModelWithResponseStream (Anthropicモデルのみ)
      • Anthropic APIおよびClaude (全バージョン)
      • ChatGPT(すべてのバージョン)
      • DeepSeek (すべてのバージョン)
      • GitHub Copilot (Visual Studio Code – チャットパネルのみ)
      • Google Gemini(旧称 Bard)
      • Microsoft Copilot(旧称 Bing Chat)
      • Microsoft 365 向け Microsoft Copilot
      • Perplexity (すべてのバージョン)
    • ルールをパブリックAIサービスに適用する場合、[インターネットアクセスとAI Secure Access Configuration][HTTPSインスペクション]に移動し、次のURLカテゴリに対してHTTPSインスペクションルールを追加または有効にする必要があります。
      • ビジネス/経済
      • 検索エンジン/ポータル
      • コンピュータ/インターネット
    予約
    ルールが適用される期間
    [カスタム] を選択して週間スケジュールを設定します。[指定した期間のみルールを適用] を確認し、特定の期間を設定するための日付範囲を選択します。
    注意
    注意
    スケジュールは、企業ネットワークの場所で定義されたタイムゾーンを使用します。パブリックまたは家庭のネットワークからの接続はUTC+0を使用します。
    処理
    ルールがトリガーされたときに実行された処理
    • AIの安全なアクセスをブロック: サポートされているすべてのAIサービスへのアクセスをブロックします。
    • AIの高度なコンテンツ検査による安全なアクセスを許可: プロンプトまたは応答のために、指定されたコンテンツ検査パラメータ内で指定されたAIサービスへのアクセスを許可します。
      注意
      注意
      デフォルトでは、すべてのパラメーターが「許可」に設定されています。個々のパラメーターを次のように設定できます:
      • [モニタ]。これにより、プロンプトまたは対応がサポートされているAIサービスにアクセスできるようになりますが、イベントがログに記録されます。
      • [ブロック]。すべての対応AIサービスへのアクセスをブロックします。
      • プロンプト設定には以下が含まれます:
        • ファイルアップロード検出: AIサービスへのファイルアップロード試行をモニタまたはブロック
        • 機密データ損失プロンプト検出: AIコンテンツインスペクションルールで定義された機密データを含むプロンプトファイルを監視またはブロックします。この設定を選択する場合、AIコンテンツインスペクションルールを選択する必要があります。
          注意
          注意
          現在、ZTSAは機密データコンテンツ検査のために3つのAIサービスのみをサポートしています。
          • Google Gemini (Google Bard)
          • Microsoft Copilot / Bing Copilot / Bing Search
          • OpenAI ChatGPT
        • 潜在的なプロンプトインジェクションの検出: AIサービスに悪意のある指示を与え、不正プログラムを拡散させたり、機密データを盗んだり、システムを制御したりする可能性のあるプロンプトをモニタまたはブロックします
        • 有害なプロンプト検出: 以下の有害なプロンプトをモニタまたはブロックしてください:
          • 憎悪: 差別、嫌がらせ、脅迫、侮辱、または不適切な言葉を意図的に表現する言語。
          • わいせつ: 性的に露骨な行為や生々しい画像を含むコンテンツ。
          • 暴力と違法: 違法または危険な行為を説明する言葉。
        • ファイルアップロード検出: AIサービスへのファイルアップロード試行を監視またはブロック
      • 対応設定には以下が含まれます:
        • 不適切な対応コンテンツ検出: AIコンテンツインスペクションルールで定義された不適切なデータを含むと検出された応答を監視またはブロックします
        • トレンドマイクロ サイバーセキュリティ専門家によって検出された悪意のあるURLを含む応答をブロックする
  6. [保存] をクリックします。
    [AIセキュアアクセス]画面で利用可能なすべてのルールを表示します。