知っておくべきチャットボットの4つの必須セキュリティ要件

チャットボットのセキュリティはどの企業にとっても重要ですが、特に医療、金融、政府部門にとって重要です。これらのセクターにとって重要なセキュリティ問題を検討すれば、少なくともすべての企業に関連する問題をカバーすることができるだろう。

‍

チャットボットのセキュリティへの影響と、安全な環境を作るために考慮すべき要素。

チャットボットのセキュリティに関しては、考慮すべき点がいくつかある。これらは、以下の質問を通して大まかに対処することができる：

• どのような環境でチャットボットを構築するのですか？
• チャットボットはどこでホストされていますか？
• チャットボットを構築する技術のセキュリティ機能は？
• これらの疑問について、ひとつひとつ取り上げていきたい。

1.環境

チャットボットを開発するために開発者（スタッフおよび請負業者の両方）が使用する環境へのアクセスは、安全かつ許可されている必要があります。これは、コードの保護とソース管理だけでなく、通信の保護や、環境にウイルスやその他の脅威がないことを確認することも意味する。

アンチウイルスのインストール、暗号化、アクセス・コントロール、情報セキュリティ・トレーニングの義務付け、アクティビティ・ロギングの標準を整備する必要がある。また、チャットボットのセキュリティ機能のテストや、開発者が上級エンジニアの明確な承認なしにソースコードに変更を加えることができないという変更管理を管理するための手順やポリシーも必要です。

2.ホスティング

最近、chatbots のホスティングには、パブリックcloud 、プライベートcloud 、オンプレム（構内／社内）など、さまざまな選択肢がある。

高度な情報セキュリティが必要な企業は、チャットボットのユースケースの性質に応じて、プライベートcloud またはオンプレミスのインストールを選択する。

ホスティングはボット自体のホスティングだけではないことを理解することが重要です。チャットボットがNLPエンジンのようなサードパーティのサービスを使用する場合、これらのサービスに関連する同様のホスティングと情報チャットボットのセキュリティリスクを考慮する必要があります。例えば、これらのサービスはSAASですか、それともオンプレミスで利用できますか？クライアントデータは分離されているのか、それともすべてのデータが何らかの形でプールされているのか？

チャットボットのフロントエンドは、もちろん別の考慮事項です。ボットがFacebook Messengerのようなチャットプラットフォーム上で使用される場合、クライアントの情報はこのプラットフォームに公開され、記録されます。これは、チャットボットのセキュリティ上の問題であるかどうかは別として、明らかに考慮が必要です。

Facebook MessengerやSlackのようなチャット・プラットフォーム上で会話データを送信することを懸念する企業は、MattermostやWeb Chatのようなオンプレミスまたはプライベートcloud ソリューションを介して顧客と通信するための代替手段を使用することができます。

3.セキュリティ機能

ボットがcloud でホストされているか、オンプレミスでホストされているかにかかわらず、ボット関連のセキュリティ機能には考慮すべき点が数多くある。

チャットボット管理システムへの管理スタッフのアクセスは、ロールベースのセキュリティとマルチユーザー管理によって厳重に管理する必要があります。必要に応じて、このアクセス制御は、Active DirectoryやLDAPのような企業内部のオンプレミスIdentity & Access Managementソリューションと統合することができます。

システムには、ユーザー（管理者ユーザーを含む）とシステムの活動を示す包括的で詳細なログが含まれるべきである。特定のアクティビティが発生した場合、管理者などに通知するためのアラートが設定されていること。

通常のアラートとは別に、特定の疑わしい活動、インシデント、例外を管理者などに通知するための特別なアラートを設定する必要がある。

顧客記録や対話、認証データなど、サーバーに保存されるデータや記録は、AES-256などの業界標準の暗号化方式で暗号化する必要がある。

エンドユーザーとサーバー間のメッセージ送信、およびフロントエンド（ウェブチャット、ウェブページ、チャットプラットフォームなど）とバックエンドシステム間の接続は、TLSなどの業界標準によって暗号化される必要があります。

4.方針と手続き

もちろん、上記のすべてにおいて、情報セキュリティの基準を規定する関連する方針と手順が整備されていることが極めて重要である。情報セキュリティは、一度限りの設定ではなく、継続的な活動である。

これらの方針と手続きは、関連ソフトウェアのセットアップ方法だけでなく、定期的なトレーニングセッションとセキュリティテストの実施時期と方法についても規定する。

チャットボットのセキュリティ確保は、他のソフトウェアのセキュリティ確保と変わりません。プロセスの最初に、基礎となるデータがどの程度機密性が高いかを評価する必要があり、それによってデータの安全性を確保するために組織が取るべき対策が決まります。

この記事で、安全なチャットボットの作成に関わるセキュリティリスクと脆弱性について、ハイレベルな概要をご理解いただけたと思います。

‍