生成AIが活用されることで、セキュリティの面では企業や組織の中で何が起きるだろうか。勤務先で許可されていない生成AIアプリケーションを利用しているという従業員は、実に58%にものぼるという調査結果がある。利用が許可されていないにも関わらず、勤務先のデジタルリソースを使って使えてしまっていること自体に問題がある。
もっというと、従業員がリスクのある生成AIサービスにアクセスしていないかどうか、会社で禁止されている情報をプロンプトに入力していないかどうかといった、生成AIの利用実態そのものを可視化できていないという問題が顕著に見られている。漠然とした懸念が漠然としたままに活用が進んでしまっているのだ。
自社アプリケーションに生成AIを組み込むことで、利用者の満足度を向上したり業務効率や精度を高めるといった動きも出始めているが、ここでも学習データに取り込むべきではない機微なデータを流してはいないか、答えるべきではない回答を出力する危険性はないかなどのリスク自体も可視化できていないといったケースが見られている。
クラウドサービスが普及した際にも似たような問題が起きた。「クラウドサービスは危ない」「従業員が許可されていないクラウドサービスにデータを保存していないか把握できていない」といった問題だ。従業員による外部の生成AIサービス利用にしろ、自社アプリケーション開発における生成AI活用にしろ、リスクを可視化できていない、評価できていないことが課題だ。
従来の対策から一歩、二歩踏み込んだ対策を
利便性やメリットの高いものは、犯罪者にとっても同様の効果がある。AIによって我々の日常や仕事が変わると同時に、AIによってサイバーリスクが大きく変わりはじめている。AIによってサイバー犯罪の精度が向上しスピードも速くなる。つまり、サイバーセキュリティも転換点にきているといえる。
インターネット利用者においては、「疑わしいメールは開かない」といったところから踏み込んだ対策が必要だ。特に、個人情報や金銭が絡むインターネットサービスの利用においては、多要素認証がサービス事業者から提供されているのであれば利用する、提供されていないサービスは利用継続や新規契約を再検討する、公共Wi-Fi利用時には控えるといったアクションを実践することだ。
