さまざまな業界の企業が従業員に職場で AI ツールを使用することを奨励しています。一方、従業員は ChatGPT のような生成型 AI チャットボットを最大限に活用したいと考えています。これまでのところ、私たちは皆同じ考えを持っていますよね?
問題が 1 つだけあります。企業は、生産性や ROI を向上させるために使用されるのと同じツールによる機密データの漏洩をどのようにして保護するのでしょうか?結局のところ、望む結果 (または上司や同僚が要求する結果) をすぐに得られることを期待して、財務情報、顧客データ、独自のコード、または内部文書をお気に入りのチャットボットや AI コーディング ツールにアップロードするのは非常に誘惑的です。実際、データ セキュリティ企業 Varonis の新しい調査では、シャドウ AI (無許可の生成 AI アプリケーション) が、コーポレート ガバナンスや IT の監視を回避し、潜在的なデータ侵害につながる可能性のあるツールを使用することで、データ セキュリティに深刻な脅威をもたらしていることが示されています。調査によると、ほぼすべての企業で従業員が未承認のアプリを使用しており、半数近くの企業でリスクが高いと考えられる AI アプリケーションを使用している従業員がいます。
AI の使用促進とガードレールの確立の間のバランスを維持する
データセキュリティ会社ネットスコープの最高情報セキュリティ責任者、ジェームズ・ロビンソン氏は「われわれが直面している問題はテクノロジーの問題ではなく、ユーザーの問題だ」と述べた。同氏は、承認されたテクノロジーの導入を妨げることなく、従業員が生成型 AI ツールを安全に使用できるようにすることが目標であると説明しました。
「私たちはビジネスが何を達成しようとしているのかを理解する必要がある」と彼は付け加えた。セキュリティ チームは、単に従業員に何か間違ったことをしていると伝えるのではなく、従業員がツールをどのように使用しているかを理解し、ポリシーが正しいかどうか、または従業員が適切に情報を共有できるようにポリシーを調整する必要があるかどうかを判断するように努めるべきです。
パスワード保護プロバイダーである 1Password の最高情報セキュリティ責任者、ジェイコブ・デプリースト氏は、同社は AI の使用を奨励する政策と、適切なガードレールを確実に設置するための教育とのバランスを取ろうとしていると述べた。
場合によっては調整が必要になることもあります。たとえば、同社は昨年、年次セキュリティ トレーニングの一環として AI の許容可能な使用に関するポリシーを発表しました。 「全体的なテーマは、『AI を責任を持って使用する。承認されたツールに焦点を当てる。ここには容認できない使用領域がある。』というものです。」 しかし、その書き方が多くの従業員を過度に慎重にさせた、と同氏は述べた。
「これは良い問題ですが、CISO はセキュリティだけに集中することはできません」と彼は言いました。 「私たちはビジネス目標を理解し、企業がビジネス目標とセキュリティの成果の両方を達成できるよう支援する必要があります。過去 10 年間の AI テクノロジーによって、そのバランスの必要性が浮き彫りになったと思います。そのため、私たちはセキュリティと生産性の実現の間でこの連携アプローチをとろうと努めてきました。」
悪用を防ぐために AI ツールを禁止しても機能しない
しかし、特定のツールを禁止することが解決策だと考えている企業は、もう一度考えるべきだ。 Ivanti の人事およびセキュリティ担当シニア バイス プレジデントであるブルック ジョンソン氏は、職場で生成 AI を使用している人の約 3 分の 1 が、AI の使用を経営陣に完全に隠していることが調査で示されていると述べました。 「彼らは誰も精査していないシステムと企業データを共有し、不明確なデータポリシーを持つプラットフォームを通じてリクエストを実行し、潜在的に機密情報を漏洩させている」と彼女はメッセージの中で述べた。
特定のツールを禁止したいという本能は理解できるが、見当違いだと彼女は言う。 「私たちは従業員がAIの使用を隠蔽できるようにしたいのではなく、AIを透過的に監視し規制できるようにしたいのです」と彼女は説明した。これは、ポリシーに関係なく AI の使用が行われているという現実を受け入れ、適切な評価を実施して、どの AI プラットフォームがセキュリティ基準を満たしているかを確認することを意味します。
「曖昧な警告をせずに、具体的なリスクについてチームに教育してください」と彼女は言いました。彼女は、特定のガードレールが存在する理由を私たちが理解するのを助け、それらが懲罰的なものではないことを強調しました。 「重要なのは、彼らが仕事を効率的、効果的かつ安全に行えるようにすることです。」
Agentic AI は、データ セキュリティに新たな課題をもたらします。
AI時代の今、データセキュリティは複雑になっていると思いますか?デプリースト氏は、AIエージェントがその役割をさらに強化すると述べた。
「効果的に運用するには、これらのエージェントは資格情報、トークン、アイデンティティにアクセスする必要があり、個人、場合によっては固有のアイデンティティに代わって行動することができます」と同氏は述べた。 「例えば、従業員が意思決定権限を AI エージェントに引き渡すような状況は奨励したくありません。これは人間に影響を与える可能性があります。」組織は、より迅速な学習を促進し、より迅速なデータの合成を支援するツールを望んでいますが、最終的には人間が重要な決定を下せる必要があると同氏は説明しました。
将来の AI エージェントであれ、今日の生成型 AI ツールであれ、生産性の向上を可能にすることと、安全かつ責任ある方法でそれを行うこととの間で適切なバランスを取ることは難しい場合があります。しかし専門家らは、どの企業も同じ課題に直面しており、それらに対処することがAIの波に乗る最善の方法になると述べている。リスクは現実のものですが、教育、透明性、監視を適切に組み合わせることで、企業は王国への鍵を引き渡すことなく AI の力を活用できます。
AI 革命の最前線に立つ企業がテクノロジーが現実世界に及ぼす影響にどのように対処しているかを文書化した新シリーズ、Fortune AIQ のストーリーをさらにご覧ください。
