Syed AliはEZOのCEOである。EZOの資産管理・インテリジェンスソリューションは、世界中の企業の俊敏性を高め、コストを削減している。
多くの企業は今もAIを単なるツールと考えているが、それは大きな間違いだ。
AIは急速に、まったく別のものへと変貌を遂げた。データにアクセスし、意思決定を行い、企業内で行動を起こす能動的な資産となったのだ。しかも、人間による直接的な監視なしに動くことが多い。従来のIT資産とは異なり、AIは環境内で静かに待機しているわけではない。高速で動き、瞬時にスケールし、管理されないまま放置されれば、ほとんどの組織が対処できないレベルのリスクをもたらす可能性がある。
シャドーAI
1980年代の映画ファンなら、『グレムリン』を覚えているだろう。一見無害に見えるものが、制御を離れると急速に予測不可能になるという物語だ。
AIは現代の組織内で、同じような振る舞いを始めている。有用なツールとして始まったものが、システムやワークフロー全体に急速に拡大し、しばしば管理に必要な可視性を欠いたまま広がっていく。
私の仕事で最も楽しいのは、顧客から新たなトレンドや課題について聞くことだ。つい先四半期、従業員1500人の企業がネットワーク上でAIチャットボットをブロックした。同社の最高情報セキュリティ責任者(CISO)は、リスクは軽減されたと報告した。3カ月後、内部監査により、40人以上の従業員が依然として自分のスマートフォンでそのツールを使用していることが判明した。AIツールは消えたのではなく、単に移動しただけだったのだ。
これこそが、シャドーAIを、企業が長年対処してきたシャドーITの課題と根本的に異なるものにしている理由だ。シャドーITは可視性と制御の問題だった。シャドーAIは、規模、速度、影響の問題なのだ。
変わったのは、AIがどこに現れるかだけでなく、AIが何をできるかである。
能動的AI統治
ハードウェアからソフトウェア、SaaSに至るまで、これまでのあらゆる資産クラスは受動的だった。これらのシステムは情報を保存または処理するが、行動を開始するには人間に依存している。AIはこのモデルを打ち破る。
今日のシステムは、企業データにアクセスし、アウトプットを生成し、ワークフローをトリガーし、最小限の監視でシステム間で行動することがますます可能になっている。そしてAIは本質的に確率論的であるため、その動作は常に予測可能とは限らない。
これは大規模な根本的変化である。なぜなら今や、組織はツールを管理するだけでなく、環境内のデジタルアクターを管理しているからだ。IT資産管理(ITAM)におけるこの新たなフロンティアは、AI資産統治として知られるフレームワークである。
ほとんどの企業は依然として、最も目に見えるリスク、すなわち従業員が機密データをAIツールに入力することに焦点を当てている。同時に、より静かだが同様に重要な変化が起きている。それは、非人間的アイデンティティの台頭だ。
すべてのAI統合は、APIキー、サービスアカウント、トークンなど、従来の統治をしばしば迂回する新たなアクセスポイントを導入する。これらのアイデンティティは、人間のユーザーと同じ方法でプロビジョニング、レビュー、廃止されることはない。IT管理の通常のライフサイクルの外に存在するが、重要なシステムへの大きなアクセス権を持つ可能性がある。ここで従来のアプローチは機能しなくなり始める。
組織が制御を維持する方法
AIリスクに対する本能的な反応は、それを制限すること、つまりツールをブロックし、アクセスを制限し、完全にシャットダウンすることだ。しかし、このアプローチは機能しない。組織がAIをブロックしても、従業員は使用をやめない。あの中規模企業との会話のように、従業員は代替手段を見つける。個人デバイス、外部ツール、組み込みアプリケーションが新たなアクセスポイントになる。リスクは検出が困難になる。
より効果的なアプローチは、AI導入が不可避であることを認め、焦点を予防から統治へとシフトすることだ。
これには新しいマインドセットが必要だ。AIは新しいカテゴリの資産であり、異なる動作をし、異なるレベルの監視を必要とする。組織はツールの追跡を超えて、AIがデータ、システム、ワークフローとどのように相互作用するかを理解し始める必要がある。
最初のステップは可視性だ。ほとんどの組織は、環境全体ですでにどれだけのAIが使用されているかを過小評価している。統合、アクセス許可、さらには経費報告書のレビューなどの簡単な監査により、導入の範囲を迅速に明らかにできる。さらに重要なのは、AIが機密システムへのアクセス権を持っている場所や、監視なしに動作している可能性がある場所を浮き彫りにできることだ。
そこから、統治は一度限りの取り組みではなく、継続的な規律となる。継続的な監視、明確なポリシー、そしてAI機能の進化に応じて適応する意欲が必要だ。また、組織がリスクについてどう考えるかのシフトも必要だ。目標は、不必要にリスクにさらされることなく、ビジネスを前進させる方法でリスクを管理することだ。
最後に
AI導入には後戻りできない地点がある。それは、ワークフローがAIのアウトプットに依存し始め、意思決定がAI生成のインサイトに影響され、自動化されたエージェントが日常業務に組み込まれたときに訪れる。
その時点で、AIはもはや選択肢ではない。AIはおそらくすでにあなたの組織内にある。問題は、あなたがそれを制御できるかどうかだ。



