情報セキュリティの分野において、新たな脅威として「シャドーAI」が浮上しています。Gartnerの最新の予測によれば、2030年までに世界の企業の40%以上が、従業員による無許可のAIツールの使用に起因するセキュリティおよびコンプライアンス侵害を経験する可能性があるとのことです。
この予測は、企業が公式に承認していないAIツール、特に生成AI(GenAI)の利用が拡大している現状を背景にしています。従業員が業務効率化や創造性の向上を目的として、個人的にGenAIツールを導入するケースが増加していますが、これらのツールは、企業のセキュリティポリシーやデータ保護基準に準拠していないことが多く、情報漏洩や知的財産権の侵害といったリスクを高める要因となります。
Gartnerのアナリスト、Arun Chandrasekaran氏は、「CIOは、AIツールの使用に関する明確な企業全体のポリシーを定義し、シャドーAI活動の定期的な監査を実施し、SaaS評価プロセスにGenAIリスク評価を組み込む必要がある」と述べています。この提言は、企業がシャドーAIのリスクを管理し、セキュリティ侵害を未然に防ぐための具体的な対策を示唆しています。
シャドーAIのリスクは、単に無許可のツール使用に留まりません。Gartnerは、正規のGenAIの使用であっても、意図しない結果を招く可能性があると警告しています。例えば、GenAIに関連する技術的負債が管理されない場合、AIアップグレードの遅延やメンテナンスコストの増加につながる可能性があります。これらの問題は、セキュリティリスクを増大させるだけでなく、GenAIへの投資対効果を損なう可能性もあります。
サムスンが直面したGenAIの落とし穴
2023年には、大手電子機器メーカーであるサムスンが、従業員がChatGPTにソースコードや会議の議事録を共有したことを受け、社内でのGenAIの使用を禁止する措置を講じました。この事例は、GenAIツールがもたらす潜在的なリスクを明確に示すものです。従業員が業務の効率化を追求するあまり、企業の重要な情報資産を外部に漏洩させてしまうという事態は、決して他人事ではありません。
サムスンの事例は、企業がGenAIの導入と利用に関して、明確なガイドラインとポリシーを策定することの重要性を示しています。従業員がGenAIツールを使用する際には、どのような情報が共有可能で、どのような情報が共有すべきでないのかを明確に理解させる必要があります。また、企業は、GenAIツールの使用状況を監視し、不正な情報共有やセキュリティポリシー違反を早期に発見するための体制を構築する必要があります。
さらに注目すべきは、サムスンの事例が、GenAIツールのセキュリティリスクは、単に技術的な問題に留まらないという点を示唆していることです。従業員の意識向上と適切なトレーニングも、GenAIリスク管理の重要な要素となります。従業員がGenAIツールの潜在的なリスクを理解し、情報セキュリティに関する意識を高めることで、企業は、GenAIに関連するセキュリティ侵害のリスクを大幅に低減することができます。
この事件は、企業がGenAIの導入と利用に関して、技術的な対策だけでなく、組織全体での意識改革と教育の重要性を認識する必要があることを示唆しています。GenAIの潜在能力を最大限に活用するためには、セキュリティとコンプライアンスを両立させるための包括的なアプローチが不可欠です。
監視の目をかいくぐるシャドーAIの実態
Strategy Insightsの調査によると、米国、英国、ドイツ、北欧、ベネルクス諸国に拠点を置く企業の3分の1以上が、無許可のAI使用の監視に苦労していることが明らかになりました。この調査結果は、シャドーAIが、企業にとって深刻な課題となっていることを示しています。従業員が個人的に導入したAIツールは、IT部門の監視の目をかいくぐり、企業のセキュリティ体制に盲点を作り出す可能性があります。
また、RiverSafeの調査では、英国企業の5分の1が、従業員によるGenAIの使用を通じて、機密性の高い企業データが漏洩した可能性があると報告されています。この事実は、シャドーAIが、企業の情報セキュリティに直接的な脅威をもたらすことを示しています。従業員がGenAIツールに不注意に機密情報を入力することで、企業の競争力や評判を損なう可能性があります。
さらに、1Passwordの調査では、従業員の27%が、許可されていないAIツールを使用していることが判明しました。この数字は、シャドーAIが、企業内で広く蔓延していることを示唆しています。従業員が業務効率化や問題解決のために、無許可のAIツールを日常的に使用している現状は、企業にとって看過できないリスク要因となります。
これらの調査結果は、企業がシャドーAIのリスクを認識し、適切な対策を講じることの重要性を強調しています。企業は、従業員によるAIツールの使用状況を把握し、セキュリティポリシーに準拠した安全なAIツールの利用を促進するための取り組みを強化する必要があります。また、従業員に対して、シャドーAIのリスクに関する教育を徹底し、情報セキュリティ意識の向上を図ることも重要です。
GenAIの技術的負債:見過ごせないコスト
Gartnerは、GenAIの正規利用であっても、技術的負債が蓄積されることで、予期せぬコストが発生する可能性があると指摘しています。技術的負債とは、将来的な修正や改善を前提に、現時点では不完全な実装を選択することで発生するコストのことです。GenAIの場合、AIが生成したコード、コンテンツ、デザインなどの成果物を維持、修正、または置き換えるためのコストが、技術的負債として蓄積される可能性があります。
Chandrasekaran氏は、「企業はGenAIのデリバリーの速さに期待していますが、コード、コンテンツ、デザインなどのAI生成物の維持、修正、または置き換えにかかる法外なコストは、GenAIの投資収益率を低下させる可能性があります」と述べています。この指摘は、企業がGenAIの導入にあたり、短期的な利益だけでなく、長期的なコストも考慮する必要があることを示唆しています。
技術的負債を管理するためには、AIが生成した資産をレビューし、文書化するための明確な基準を確立し、ITダッシュボードで技術的負債の指標を追跡することが重要です。これらの対策を講じることで、企業は、コストのかかる混乱を未然に防ぎ、GenAIの投資対効果を最大化することができます。
さらに、Gartnerは、GenAIの過度な利用が、エコシステムへのロックインやスキルの低下につながる可能性についても警告しています。特定のベンダーに過度に依存することを避けるために、CIOは、AIスタックを設計する際に、オープンスタンダード、オープンAPI、およびモジュール式アーキテクチャを優先する必要があります。また、企業は、人間の判断と職人技が不可欠な領域を特定し、これらのスキルを補完するAIソリューションを設計する必要があります。
企業が取るべき対策:ポリシー策定と監査の重要性
Gartnerの提言に基づき、企業はシャドーAIのリスクに対処するために、以下の対策を講じる必要があります。
まず、AIツールの使用に関する明確な企業全体のポリシーを定義することが重要です。このポリシーでは、従業員が使用できるAIツールの種類、データの取り扱いに関するルール、セキュリティ要件などを明確に定める必要があります。また、ポリシーは、従業員が理解しやすいように、明確かつ簡潔に記述する必要があります。
次に、シャドーAI活動の定期的な監査を実施することが重要です。この監査では、従業員が使用しているAIツールを特定し、それらが企業のセキュリティポリシーに準拠しているかどうかを確認します。監査は、定期的に実施することで、シャドーAIのリスクを継続的に監視し、適切な対策を講じることができます。
さらに、SaaS評価プロセスにGenAIリスク評価を組み込むことが重要です。SaaS(Software as a Service)とは、クラウド上で提供されるソフトウェアのことです。企業がSaaSを導入する際には、そのSaaSがGenAIを使用しているかどうかを確認し、GenAIに関連するリスクを評価する必要があります。リスク評価の結果に基づき、適切なセキュリティ対策を講じることで、SaaSの利用に伴うセキュリティ侵害のリスクを低減することができます。
これらの対策を講じることで、企業はシャドーAIのリスクを効果的に管理し、セキュリティ侵害を未然に防ぐことができます。しかし、シャドーAIのリスク管理は、単に技術的な対策を講じるだけでなく、組織全体での意識改革と教育の重要性を認識する必要があります。従業員がAIツールの潜在的なリスクを理解し、情報セキュリティに関する意識を高めることで、企業は、AIに関連するセキュリティ侵害のリスクを大幅に低減することができます。
AI時代のセキュリティ:進化し続ける脅威への対応
AI技術の進化は、サイバーセキュリティの分野に新たな課題をもたらしています。シャドーAIはその一例であり、企業は、AI技術の利用に伴うリスクを認識し、適切な対策を講じる必要があります。AI技術は、業務効率化や創造性の向上に貢献する一方で、情報漏洩や知的財産権の侵害といったリスクも孕んでいます。企業は、AI技術の潜在能力を最大限に活用するためには、セキュリティとコンプライアンスを両立させるための包括的なアプローチが不可欠です。
今後、AI技術はますます進化し、その利用範囲も拡大していくことが予想されます。企業は、AI技術の進化に常に目を光らせ、新たな脅威に対応するための対策を継続的に講じる必要があります。また、従業員に対して、AI技術のリスクに関する教育を徹底し、情報セキュリティ意識の向上を図ることも重要です。AI時代のセキュリティは、進化し続ける脅威との戦いであり、企業は、常に最新の情報に基づいて、適切な対策を講じる必要があります。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Gartner: 40% of Firms to Be Hit By Shadow AI Security Incidents - https://www.infosecurity-magazine.com/news/gartner-40-firms-hit-shadow-ai/