情報窃取：AI時代におけるリスクと対策

情報窃取とは何か？

情報窃取とは、攻撃者が管理するインフラストラクチャへ、機密データを不正に抽出・転送する行為です。データ侵害の世界平均コストは2025年に4.4百万ドルに達し、IBMが20年間追跡してきた中で最高額となりました。組織が情報窃取に直面した場合、財務的損害、規制上の罰則、業務の中断、そして初期インシデント後も長期間続く評判の損失に直面します。

情報窃取とサイバーセキュリティの関係

情報窃取は、複数のセキュリティ分野の交差点に位置します： エンドポイント保護、アイデンティティおよびアクセス管理、データ損失防止、およびセキュリティ運用です。攻撃者はこれら分野間の隙間を狙います。認証情報を侵害して認証を回避し、正規のクラウドストレージを利用してネットワーク監視を回避しながらデータを持ち出し、行動アラートを回避するために偵察をゆっくりと実施します。

セキュリティアーキテクチャは、初期アクセスからラテラルムーブメント、最終的な持ち出しまで、攻撃チェーン全体に対応する必要があります。従来の境界防御は、攻撃者がリモートワークフォースに侵入したり、信頼されたベンダー接続を悪用したり、正規のアクセス認証情報でクラウドサービスアカウントを侵害した場合には機能しません。情報窃取を阻止するには、複数のセキュリティレイヤーが連携して動作する必要があります。

情報窃取が組織に与える影響

情報窃取は、財務、業務、評判の各側面にわたり、初期インシデント後も数年間続く連鎖的な損害をもたらします。IBM Securityの調査によると、データ侵害の世界平均コストは 2024年に4.88百万ドルに達し、医療機関では 平均9.77百万ドルの侵害コストが発生しています。これらの数字は直接的なコストを示しますが、実際の影響はさらに広範囲に及びます。

• 財務的影響には、インシデント対応費用、フォレンジック調査、法的費用、規制罰金、顧客通知コストが含まれます。組織は、集団訴訟の和解、被害者へのクレジットモニタリングサービス、サイバー保険料の増加にも直面します。2024年2月のChange Healthcareランサムウェア攻撃では、UnitedHealth Groupが対応費用だけで約28.7億ドルを支出しました。
• 業務の中断は、調査や復旧中に収益を生む活動を停止させます。攻撃者がランサムウェアを展開する前にデータを持ち出した場合、組織はシステム復旧と恐喝要求への対応という二重のプレッシャーに直面します。決済処理の停止、カスタマーサービスの中断、サプライチェーンの遅延が直接的な侵害コストをさらに増大させます。
• 規制リスクは業界や管轄によって異なります。GDPR違反では年間全世界売上高の最大4%の罰金が科される可能性があります。HIPAA違反は違反カテゴリごとに年間最大150万ドルの罰金となります。CCPAなどの州法も独自の罰則体系で追加のコンプライアンス要件を課します。
• 評判の損失は顧客の信頼と投資家の信頼を損ないます。侵害発表後は株価が下落し、影響を受けた顧客が競合他社へ流出することで顧客離れが加速します。信頼回復には、セキュリティ改善への継続的な投資と透明性のあるコミュニケーションが必要です。これらの影響を理解することで、早期の窃取兆候の特定が不可欠である理由が明確になります。

環境内の情報窃取の兆候

セキュリティチームは、データ持ち出しの兆候となる行動的・技術的異常を監視する必要があります。攻撃者は明白なアラームをほとんど引き起こしません。代わりに、正規のアクセスパターンや信頼されたチャネルを悪用して、環境外へデータを目立たずに移動させます。微妙な兆候を認識することで、重大なデータ損失が発生する前に窃取活動を阻止できます。

• 異常なデータ転送パターンは最も直接的な兆候です。外部へのトラフィックの急増、見知らぬ外部IPアドレスへの大容量ファイル転送、承認リスト外のクラウドストレージサービスへのデータ移動に注意してください。攻撃者は転送時間短縮やサイズベースのアラート回避のため、.zip、.rar、.7z形式の圧縮アーカイブでデータをステージングすることがよくあります。
• 異常なユーザー行動には、通常の職務範囲外のファイルやシステムへのアクセス、見慣れない地理的場所からのログイン試行、異常な時間帯での活動が含まれます。経理担当者が突然エンジニアリングリポジトリへアクセスしたり、退職予定者が顧客データベースをダウンロードした場合は即時調査が必要です。IBM Securityの調査によると、組織が内部脅威を発見するまでに 平均85日かかっており、その間に持ち出しが見逃されるリスクがあります。
• ネットワーク接続の異常には、未知のサーバーへの予期しない外部接続、非標準ポートでのトラフィック、不審なドメインへのDNSクエリが含まれます。攻撃者はDNSトンネリングや暗号化チャネルを利用して従来のセキュリティ制御を回避します。C2インフラへの接続は、一定間隔で通信するビーコンパターンを示すことが多いです。
• 認証の不審な挙動は認証情報の侵害を示します。複数回のログイン失敗後の成功、異なる場所からの同時セッション、権限昇格要求などは精査が必要です。OAuthトークンの窃取やセッションハイジャックにより、多要素認証を完全に回避される場合もあります。
• ファイルシステムの変更も追加の警告サインとなります。大量のファイルアクセス、無許可の権限変更、ログやセキュリティツールの無効化試行は、窃取活動が進行中であることを示します。コピー後のファイル消去や削除は、攻撃者が痕跡を隠そうとしている証拠です。これらの兆候を監視能力にマッピングすることで、予防戦略のギャップが明らかになります。

情報窃取防止のコアコンポーネント

情報窃取防止戦略には、以下の相互接続されたコンポーネントが必要です。

• 制御基盤としてのアイデンティティ：すべてのアクセス要求に対する継続的な検証が必要です。NIST SP 800-53 Rev. 5では、特権アカウントに対し、認証情報のボールト管理、セッション監視、自律的なローテーション、ジャストインタイムの権限昇格が求められています。
• データ資産の可視化と分類：自律型探索ツールにより、エンタープライズシステム、クラウドストレージ、エンドポイント全体で機密情報を特定します。ビジネスリスクに沿った分類体系により、データの機密性に応じた保護が可能となります。
• シグネチャを超えた行動分析：シグネチャベースのシステムは、ゼロデイ攻撃やポリモーフィックマルウェア、新たな攻撃手法には対応できません。行動分析は通常のユーザー行動のベースラインを確立し、窃取活動の兆候となる異常を検出します。
• エンドポイントの状態とデバイスの整合性：デバイスの状態評価により、OSパッチレベル、エンドポイント応答状況、ディスク暗号化、ファイアウォール設定を検証し、機密リソースへのアクセス前に確認します。
• 脅威インテリジェンスの統合：MITRE ATT&CKは、14の戦術と200以上の技術にマッピングされた敵対者の行動知識ベースを提供します。脅威ハンティングでは、ATT&CKを構造化されたアプローチとして活用し、積極的な敵対者発見を行います。
• ネットワークセグメンテーションとアクセス制御：マイクロセグメンテーションにより、ラテラルムーブメントを制限し、システム間のネットワーク経路を制御します。ロールベースアクセス制御により、ユーザーは職務に必要なリソースのみにアクセスできます。
• インシデント対応と復旧：文書化された手順には、フォレンジック調査能力、封じ込め戦略、身代金を支払わずに業務を復旧するためのメカニズムが含まれている必要があります。

これらのコンポーネントは多層防御を構築しますが、効果的な導入には攻撃者の手口を正確に理解することが不可欠です。

情報窃取の仕組み

初期アクセスからデータ持ち出しまでの攻撃進行を理解することで、防御強化が必要なポイントを特定できます。

• 初期アクセスと偵察。攻撃者は従業員を標的としたソーシャルエンジニアリングキャンペーンから開始します。CISAは、Scattered Spider脅威アクターがヘルプデスク担当者を装い、従業員に商用リモートアクセスツールの実行を指示した事例を記録しています。あるいは、攻撃者は公開アプリケーションの脆弱性を悪用します。CISAによるGeoServerの脆弱性CVE-2024-36401の調査では、2024年7月11日に脅威アクターが脆弱性を悪用し、7月15日にCISAが既知の悪用脆弱性カタログに追加したにもかかわらず、7月24日にも同じ脆弱性が被害組織に対して悪用されました。
• 認証情報の窃取と権限昇格。初期アクセス後、攻撃者は認証情報を収集して足場を拡大します。FBIは、UNC6395脅威アクターグループが2025年9月にDrift統合からOAuthおよびリフレッシュトークンを窃取し、正規の認証トークンを利用してセキュリティ制御を回避した事例を記録しています。内部侵入後は、偵察ツールを展開して高価値データリポジトリを特定します。
• ラテラルムーブメントと永続化。攻撃者は侵害した認証情報や信頼関係を悪用して横移動します。CISAのMedusaランサムウェア勧告（AA25-071a）は、被害ネットワーク全体でバックアップやセキュリティ関連サービスを体系的に停止し、MITRE ATT&CKのT1027.013（難読化コード）、T1569.002（システムサービス悪用）、T1489（サービス停止）などの技術を用いた事例を示しています。
• データの特定とステージング。脅威アクターは持ち出し前に高価値データを体系的に特定・ステージングし、知的財産、顧客データベース、財務記録を標的とします。 IBM Securityの調査によると、組織が内部脅威を発見するまで平均85日かかっており、アラートを発生させずにデータ持ち出しが行われる大きな隙間が生じています。
• 持ち出しと恐喝。現代の情報窃取はダブルエクストーション戦術を採用しています。CISAのInterlockランサムウェア勧告では、攻撃者がAzCopyを実行してAzureストレージへデータを持ち出し、WinSCPでファイル転送を行い、業務中断とデータ公開の脅威による二重の圧力を生み出す手口が説明されています。この攻撃チェーンの各段階が、防御側の介入機会となります。

脅威アクターが用いる手法

攻撃者は複数の手法を組み合わせてデータを窃取し、セキュリティ制御を回避します。これらの手法を理解することで、防御のカバレッジギャップを特定し、セキュリティ投資の優先順位付けが可能となります。

ソーシャルエンジニアリングやフィッシングは、情報窃取活動の主要な侵入経路です。攻撃者は、経営者、ベンダー、ITサポート担当者を装った標的型スピアフィッシングメールを作成します。CISAの Scattered Spider勧告では、攻撃者が従業員に電話をかけてヘルプデスク担当者を装い、認証情報収集サイトへの誘導やリモートアクセスツールのインストール指示を行った事例が記録されています。ボイスフィッシング（ビッシング）やSMSフィッシング（スミッシング）は、メールセキュリティ制御を完全に回避します。

• 認証情報の収集と悪用は、ソーシャルエンジニアリング成功後に続きます。攻撃者はキーロガーを展開し、ブラウザ保存パスワードを窃取し、Mimikatzなどのツールでメモリから認証情報を抽出します。FBIは、UNC6395脅威アクターグループがサードパーティ統合からOAuthトークンやリフレッシュトークンを窃取し、パスワードベースのアラートを回避しながら持続的なアクセスを得た事例を記録しています。窃取された認証情報により、攻撃者は正規ユーザーとして環境内を移動できます。
• Living-off-the-land手法は、組織内のツールを悪用します。攻撃者はPowerShellスクリプトを実行し、Windows Management Instrumentation（WMI）を利用し、既存のリモート管理ツールを悪用します。これらの手法は通常の管理活動と区別がつきにくくなります。MITRE ATT&CKでは、T1059（コマンド・スクリプトインタプリタ）、T1047（Windows Management Instrumentation）などの技術として分類されています。
• クラウドストレージの悪用は、正規サービスを利用したデータ持ち出しです。攻撃者は、Azure Blob Storage、AWS S3、Google DriveやDropboxなどの消費者向けサービスに窃取データをアップロードします。CISAの Interlockランサムウェア勧告では、攻撃者がAzCopyを使って攻撃者管理のAzureストレージへデータを転送した事例が記録されています。ネットワーク監視では、宛先ドメインが正規に見えるため、このトラフィックを許可してしまうことが多いです。
• 暗号化トンネリングと隠密チャネルは、データ転送を検査から隠します。DNSトンネリングは、DNSクエリ内に窃取データをエンコードして攻撃者管理ドメインへ送信します。HTTPSによるC2サーバーへの接続は通常のWebトラフィックと混在します。一部の攻撃者はステガノグラフィを用いて画像ファイル内にデータを埋め込んだり、セキュリティツールが無視しがちなICMPなどのプロトコルを利用します。
• ダブルエクストーションランサムウェアは、データ窃取を標準手法としています。Medusa、BlackCat、Interlockなどのグループは、システム暗号化前に機密データを持ち出し、バックアップから復旧しても公開脅迫による圧力をかけます。CISAの勧告では、これらのグループが高価値データを体系的に特定・ステージングし、業務中断とデータ公開の脅威を組み合わせていることが記録されています。これらの攻撃を阻止するには、暗号化開始前に窃取活動を検知する必要があります。

情報窃取防止の主なメリット

情報窃取防止への投資は、規制遵守を超えた組織的価値をもたらします。

• コスト回避の定量化。IBM Securityの調査では、深刻なセキュリティ人材不足の組織は、十分な人員を確保した組織に比べて 平均1.76百万ドル高い侵害コストを記録し、医療機関では 平均9.77百万ドルの侵害コストが発生しています。防止投資は株主価値と収益事業を守ります。
• 知的財産の保護。FBIは経済スパイ活動や営業秘密窃取を最重要カウンターインテリジェンス課題と位置付け、Counterintelligence Strategic Partnership Program（CISPP）を運営して組織の技術保護を支援しています。知的財産が数百万ドル規模の競争優位性となる場合、防止投資は明確な投資対効果を示します。
• 規制リスクの低減。GDPR、CCPA、HIPAAなどの枠組みや業界固有要件により、規制罰則のリスクがあります。NIST Cybersecurity Framework 2.0に沿った防止活動の文書化は、デューデリジェンスを示し、法的リスクを低減します。これらのメリットは大きいですが、実現には現実的な運用課題の克服が必要です。

情報窃取防止における課題

多大なセキュリティ投資にもかかわらず、継続的な障害に直面しています。

• ツールの乱立と統合失敗。セキュリティ環境には10～40以上の異なるツールが存在し、データ共有やイベント相関が十分に行われていない可能性があります。各ツールは個別の認証情報、異なるインターフェース、独自のアラート形式を必要とします。 Purple AIは、ルーチン調査タスクを自律的に処理し、アナリストのトリアージ負担を増やすことなくツール乱立を抑制します。
• アラート疲労。シグネチャベースのシステムは、ゼロデイ攻撃や既知シグネチャを回避するカスタマイズ攻撃に対応できません。アナリストは、無害な活動が悪意として誤検知される誤検知に直面します。現代の攻撃はリアルタイムで適応するため、静的なシグネチャマッチングではなく行動分析が必要です。
• アイデンティティおよびアクセス管理のギャップ。IAMの実装には、不要な権限を持つアカウントが含まれていることが多いです。特権活動の監視不足は、認証情報が侵害された際に発見前にラテラルムーブメントを許すブラインドスポットを生みます。 Singularity Identityは、ハイブリッドアイデンティティ環境全体で認証情報の悪用や権限昇格に対するリアルタイム防御を提供します。
• サプライチェーンの可視性。攻撃者はサプライチェーンを標的とし、セキュリティの甘いベンダーを侵害して、より保護された環境へのアクセスを得るケースが増えています。この拡張攻撃対象領域は、監視や制御が困難です。これらの課題は、組織が回避可能なセキュリティ上の誤りを犯した場合にさらに深刻化します。

情報窃取防止における一般的な誤り

組織は、情報窃取リスクを高める回避可能な誤りを犯している可能性があります。

• 境界防御のみに依存。リモートワーク、クラウドサービス、ベンダー接続が従来の境界を迂回するため、ネットワーク境界だけでは攻撃者を防げません。NIST Special Publication 800-207は、 ゼロトラストアーキテクチャの必要性を示し、発信元に関係なくすべてのアクセス要求の継続的検証を求めています。 Singularity Platformは、エンドポイント、クラウドワークロード、アイデンティティシステム全体でゼロトラスト検証を実現します。
• 脆弱性パッチ適用の遅延。GeoServer CVE-2024-36401のケーススタディは、CISAが既知の悪用脆弱性カタログに追加した後も、脅威アクターが13日間にわたり既知脆弱性を積極的に悪用したことを示しています。パッチ適用サイクルの長期化は、攻撃者が公開済み脆弱性を悪用する隙間を生みます。
• 内部脅威をIT課題とみなす。正式な内部脅威検知プログラムが必要であり、経営層の支援とHR、法務、ITセキュリティ、経営管理を含むクロスファンクショナルチームが求められます。
• 年1回のコンプライアンス研修のみ。年1回の研修では、新たなソーシャルエンジニアリング手法に対応できません。 SANS Security Awareness Report 2025によると、80%の組織がソーシャルエンジニアリングを最大の人的リスクと位置付けています。継続的な学習と行動変容指標の導入がより効果的です。これらの誤りを回避することが第一歩であり、実証済みのベストプラクティスの導入が次のステップです。

情報窃取防止のベストプラクティス

NIST、CISA、MITREなどの権威あるフレームワークに沿った戦略が必要です。

• ゼロトラストアーキテクチャの実装。NIST Special Publication 800-207は、ゼロトラストを「正確な最小権限アクセス決定をリクエストごとに強制する際の不確実性を最小化すること」と定義しています。敵対者の存在を前提とし、すべてのリソースアクセスを継続的に検証し、必要最小限のアクセスのみを付与し、すべてのリクエストを認証します。アイデンティティを基盤とし、マイクロセグメンテーションと継続的監視を導入してください。
• リスクベースのアイデンティティ管理の導入。NIST Special Publication 800-63-3は、多要素かつ継続的検証によるリスクベース認証の実装を求めています。特権アカウントには認証情報のボールト管理、セッション監視、自律的なパスワードローテーション、ジャストインタイムの権限昇格が必要です。
• データ分類制御の確立。NIST SP 1800-28は、データ機密性と資産保護に関するガイダンスを提供します。保存時、転送時、使用時の暗号化を導入し、ネットワーク、エンドポイント、クラウドレベルでDLPポリシーを実装してください。
• MITRE ATT&CKへのコントロールマッピング。既存のセキュリティ制御をATT&CK技術にマッピングし、カバレッジギャップを特定します。パープルチーム演習でATT&CKシナリオを用い、導入済み制御が文書化された敵対者技術を阻止できるか検証します。
• 正式な内部脅威プログラムの策定。CISAのInsider Threat Preventionガイドは、効果的なプログラムには経営層の支援とクロスファンクショナルチームが必要であることを強調しています。ユーザー・エンティティ行動分析（UEBA）を導入し、ベースライン確立と異常検知を行います。
• サプライチェーンリスク管理の実装。NIST SP 800-161 Rev. 1は、サードパーティリスク評価のフレームワークを定めています。サプライヤー契約にサイバーセキュリティ要件を盛り込み、定期的な評価を実施してください。 クラウドセキュリティは、サプライチェーン脆弱性が潜むマルチクラウド環境全体の可視性を拡張します。これらの実践を大規模に実行するには、自律型保護に特化したセキュリティプラットフォームが必要です。

情報窃取攻撃の事例

実際のインシデントは、攻撃者がどのように情報窃取を実行し、どのような失敗が成功を許したかを明らかにします。これらの事例は、本ガイドで解説した手法、コスト、組織への影響を示しています。

• Change Healthcare（2024年2月）は、米国医療分野で最も深刻な情報窃取インシデントの一つです。BlackCat（ALPHV）ランサムウェアグループがChange Healthcareシステムに侵入し、機密患者データを持ち出した上で、全米の医療請求処理を停止させるランサムウェアを展開しました。患者は薬代を自己負担し、医療機関は請求システムの凍結で収益を失いました。親会社のUnitedHealth Groupは、 2024年第3四半期SEC報告書で、2024年の対応費用が約28.7億ドルに達したと報告しています。議会証言でCEOのAndrew Witty氏は、攻撃者が多要素認証のないCitrixポータルの認証情報を侵害して初期アクセスを得たことを認めました。
• Snowflake顧客侵害（2024年）は、Ticketmaster、AT&T、Santanderなどの大手組織に単一の攻撃経路で影響を与えました。MandiantがUNC5537と追跡する脅威アクターが、Snowflakeのクラウドデータプラットフォーム上の顧客環境に窃取認証情報でアクセスしました。侵害されたアカウントにはMFAが有効化されておらず、一部の認証情報は犯罪マーケットで数年間流通していました。Ticketmasterの侵害では約5億6千万件の顧客データが流出し、AT&Tはほぼ全モバイル顧客の通話・テキストメタデータを失いました。これらの事例は、認証情報窃取と弱い認証が複数組織に壊滅的な影響を及ぼすことを示しています。
• Salt Typhoon通信事業者攻撃（2024年）は、AT&T、Verizon、T-Mobile、Lumen Technologiesなど米国大手通信事業者を標的としました。中国の国家支援グループが通話・テキストメタデータ、位置情報、場合によっては音声記録そのものにアクセスしました。 FBIとCISAの共同声明は、商用通信インフラを標的としたキャンペーンを確認し、CISAは 通信インフラ強化ガイダンスを発表しました。
• MOVEit Transfer悪用（2023-2024年）は、Progress Softwareのファイル転送アプリケーションのゼロデイ脆弱性を突いたものです。Cl0pランサムウェアグループは、MOVEit利用組織を体系的に標的とし、パッチ適用前にデータを持ち出しました。CISAとFBIの共同勧告（AA23-158A）では、2023年5月27日からCl0pがSQLインジェクション脆弱性CVE-2023-34362を悪用し、MOVEit Transfer WebアプリケーションにLEMURLOOTというWebシェルをインストールしたことが記録されています。被害者の約80%は米国企業で、エネルギー省、ジョンズ・ホプキンス大学、NYC教育局などが含まれます。この事例は、信頼されたソフトウェアのサプライチェーン脆弱性が広範な情報窃取機会を生むことを示しています。

これらの攻撃には共通点があります：認証情報の侵害、不十分な認証制御、初期アクセスから発見までの遅延。情報窃取を阻止するには、人間の対応速度を超える自律型保護が必要です。

SentinelOneで情報窃取を阻止

SentinelOneは、エンドポイントやアイデンティティからクラウドワークロード、オブジェクトストレージ、AIモデルに至るまで、最も重要なデータの窃取を攻撃者から防ぎます。Singularity™ Platformは、予防・検知・対応を統合し、セキュリティチームがリアルタイムで情報窃取の試みを可視化・遮断できるようにします。

エンドポイントとアイデンティティでデータ窃取を遮断

Singularity™ EndpointとSingularity™ Identityは連携し、ユーザーデバイスやディレクトリからの認証情報悪用、権限昇格、データ持ち出しを阻止します。Storylineは攻撃の全体像をミリ秒単位で再構築し、MITRE ATT&CKにマッピングすることで、アナリストが侵入がデータ窃取に進行しているか即座に把握できます。

Endpoint Firewall ControlとDevice Controlは、外部接続の制限や信頼されていないUSB・Bluetoothデバイスのブロック・制限により、リスクの高い出口経路を封鎖し、攻撃者による機密ファイルの持ち出しを防ぎます。Singularity™ Mobileは、この保護をiOS、Android、ChromeOSに拡張し、フィッシング、中間者攻撃、データを密かに抜き取る悪意のあるアプリを阻止します。ランサムウェアオペレーターがダブルエクストーション（データ暗号化と持ち出しによる脅迫）を試みた場合も、自動封じ込めとワンクリックロールバックにより、安全なデータコピーの復元を支援し、攻撃者の脅迫能力を排除します。

エンドポイントとアイデンティティの統合による完全なカバレッジ

多くのデータ窃取は認証情報の窃取から始まるため、SentinelOneはエンドポイントテレメトリとアイデンティティコンテキストを統合します。Singularity™ Identityは、Active DirectoryやクラウドIDプロバイダーを継続的に監視し、攻撃者が悪用する前に設定ミス、リスクの高い権限、露出した認証情報を可視化します。デセプション技術、高精度アラート、自動修復により、認証情報窃取、ラテラルムーブメント、ディレクトリアタックをリアルタイムで検知・阻止します。Singularity™ Endpointの深いエンドポイント可視性と組み合わせることで、セキュリティチームはユーザー・デバイス・アイデンティティがどのように標的となっているかをエンドツーエンドで把握し、攻撃チェーンの早期段階で情報窃取を封じ込めることができます。

AIモデルを保護し、プロンプトからのデータ持ち出しを防止

組織が生成AIを導入する中、攻撃者はモデルから機密学習データ、秘密情報、知的財産を直接持ち出そうとしています。Prompt Security by SentinelOneは、AIツールやサービスをプロンプトインジェクション、データ収集攻撃、シャドーAI利用から保護します。ガードレールによりモデルがアクセスできるデータを制限し、リアルタイム監視で機密情報の漏洩やセンシティブな出力の露出を狙う試みを検知・ブロックします。これにより、顧客データ、独自モデル、社内ナレッジベースが持ち出し経路となることを防ぎます。

CNAPP、AI SPM、DSPMによるクラウドワークロード・ストレージ・データの保護

Singularity™ Cloud Securityは、AI搭載CNAPPを提供し、Cloud Security Posture Management、AI Security Posture Management（AI SPM）、Data Security Posture Management（DSPM）、Cloud Detection and Responseを統合してクラウド環境全体で情報窃取を阻止します。設定ミス、過剰権限のアイデンティティ、リスクの高い露出経路を特定・修正し、不正なデータアクセスを防ぎます。Singularity™ Cloud Data Securityは、Amazon S3、Azure Blob Storage、Amazon FSxN、NetAppなどのオブジェクトストレージに対し、マルウェアや機密データの継続的スキャンと持ち出し防止を追加します。これらの機能により、クラウド上のデータ、バックアップ、AIパイプラインが初期侵害から持ち出し試行まで安全に保護されます。

Singularity XDRですべてを統合

Singularity™ XDRは、エンドポイント、アイデンティティ、クラウドワークロード、データストアからの高精度テレメトリを単一ビューに統合し、セキュリティチームが情報窃取の全体像を把握し、マシンスピードで対応できるようにします。Purple AIによる自動化ワークフローがイベントを相関し、最も重要なリスクを優先し、全てのサーフェスで対応アクションをオーケストレーションすることで、攻撃者がデータ窃取に利用するギャップを封じます。
SentinelOneのデモをリクエストし、自律型AI保護がビジネスへの影響前に情報窃取を阻止する方法をご確認ください。