2024年には、ますます多くの組織が即応的な実験手法を採り入れ、新たな生成AIイニシアチブを立ち上げると予想されるが、これには複合的リスクが伴う。そのため企業は、イノベーションの速度と、ガバナンスや、より大きな説明責任のあいだでバランスを取ることを強いられるだろう。
こうしたビジネス環境を念頭に、調査会社Forrester(フォレスター)は、2024年の情報セキュリティに関して以下のように予測している。
AI生成コードが原因とされるデータ漏洩が、少なくとも3件発生する
開発者のあいだでは、コーディングを補助するAIアシスタント「TuringBot」がますます普及している。生産性が向上する一方で、最も慎重な組織は、生成されたコードをスキャンにかけて、セキュリティ上の欠陥を精査するだろう。しかし残念ながら、AI生成コードは安全だと過信する開発チームも出てくるはずだ。同時に、多くのテックリーダーは、AI生成コードの安全性を疑問視している。これは、プログラミングに関するQ&Aサイト「スタック・オーバーフロー」での質問に対する回答において、大規模言語モデルがAPIを誤用する例が相次いでいることを考慮すれば、当然のことだ。
TuringBotを用いた生成コードに適切な安全装置が存在しないなかで、2024年には少なくとも3件のデータ漏洩において、原因としてAI生成コードのセキュリティ欠陥が広く批判を浴びると、フォレスターは予測している。これは、生成コードそのものに欠陥がある場合もあれば、AIの提案に依存する開発チームが抱える脆弱性が問題となる場合もあるだろう。
ChatGPTを利用したアプリが、個人情報の不適切な取り扱いで罰金を科される
規制当局は、2023年を通して生成AIへの対応に追われ、OpenAIは依然として世界各地で当局からの調査を受けている。例えばヨーロッパでは、欧州データ保護会議が、OpenAIのChatGPTに対する法執行の調整を行うタスクフォースを立ち上げた。米国でも連邦取引委員会(FTC)が、OpenAIの調査を行っている。OpenAIには、こうした規制当局に対応できるだけの技術的・金銭的リソースがあるが、ChatGPTを利用する他のサードパーティアプリはおそらくそうではない。実際、一部のアプリは、サードパーティのテックプロバイダーを介してリスクを持ち込んでいるが、こうしたリスクを適切に緩和するだけのリソースや専門性を持ち合わせていない。
2024年、企業はサードパーティのリスク管理にさらに力を入れ、リスク影響度を増やす可能性があるアプリを特定する必要がある。
データ漏洩の90%に人間的要因が関与するようになり、セキュリティ意識啓発や研修が重視される
データ漏洩に関する文献や業界の情報筋は、現在、データ漏洩ケースの74%に人間的要因が関与していると推定している。その内容は、ヒューマンエラー、誤用、認証情報の盗難、ソーシャルエンジニアリングなど多岐にわたる。いまや、テクノロジーに特化した業界団体でさえ、技術の悪用にしばしば人間的要因が関わることを認めている。人間的要因が関わるデータ漏洩事例の割合は、2024年にさらに増加し、90%に達するとみられる。これは、生成AIの影響に加えて、コミュニケーションチャネルが豊富に存在することで、ソーシャルエンジニアリング攻撃が容易かつ迅速になるためだ。
この割合が増加するほど、人間的要因によるデータ漏洩を食い止めるための有効な予防策のひとつとして、セキュリティ意識啓発や研修が注目されるようになる。その結果、米国立標準技術研究所(NIST)が啓発と研修に関するガイドラインを更新し、人間の影響を量的データとして扱うベンダーがますます増えるなか、2024年には、より多くの最高情報セキュリティ責任者が、適応型の人間保護アプローチ(adaptive human protection approach)に軸足を移すだろう。
(forbes.com 原文)