Ofer Kleinは、動的SaaSセキュリティを提供するRecoのCEO兼共同創業者である。
生成AIは静かにSaaSエコシステムの一部となっている。Zoom、Slack、Microsoft 365、Salesforceなどのプラットフォームには現在AIアシスタントが搭載されている。これらのツールを使用して、会議の要約作成や定型タスクの実行などが可能だ。最近の調査によると、米国企業の95%が現在生成AIを使用している。これは昨年からの大幅な増加だ。しかし、このAI機能の急速な普及はセキュリティリーダーたちに懸念を抱かせている。十分な管理が行われていなければ、機密情報が漏洩したり、不適切な方法で使用されたりする可能性があるからだ。
シャドーAIとその広範なリスク
従業員がITの知識や承認なしにAIアプリを使用する場合、これはシャドーAIと呼ばれる。これは非公認のクラウドアプリというシャドーIT問題に似ているが、今度はAIサービスが対象となっている。AIプラットフォームの無断使用により、組織はデータプライバシーの問題、コンプライアンス違反、さらには誤情報リスクにも知らず知らずのうちにさらされる可能性がある。
そして、これらのリスクが現実に起きている事例も見られる。
サムスンのエンジニアが誤って機密コードをChatGPTに漏洩させ、同社は一時的に企業デバイスでの生成AI使用を禁止した。プライバシーと主権に関する問題も浮上している。イタリアの規制当局はプライバシー違反を理由にChatGPTを一時的に禁止し、複数の国(およびNASAや海軍などの米国機関)はDeepSeekのデータ取扱いに関する国家安全保障上の懸念から、同サービスをブロックまたは禁止している。
全体的な懸念の一部は、DeepSeekのプライバシーポリシーがユーザーデータを中国のサーバーに送信することを許可している点にある。中国の法律の下では、政府はそのデータに自由にアクセスできる。同時に、DeepSeekには安全管理が欠けている。Ciscoの調査によると、有害なプロンプトをブロックできず、他のAIモデルよりもサイバー犯罪者に悪用されやすいことが判明している。セキュリティ研究者たちは、サイバー犯罪者がDeepSeekを使用してマルウェアを生成し、不正行為対策をバイパスしている事例も観察している。
なぜ「単純に禁止する」が実質的な解決策にならないのか
これらのリスクを目の当たりにして、一部の組織は人気のAIツールをブロックすることを選択するが、全面的な禁止は効果の薄い手段であり、めったに機能しない。生成AIは現在多くのアプリケーションに組み込まれており、完全に無効化することは困難だ。
さらに、従業員はしばしば禁止措置を回避し、米国の労働者の半数以上がITの承認なしに職場で生成AIツールを使用している。このシャドーAIの使用は、セキュリティチームの可視性と制御を低下させる。AIを禁止することで、イノベーションと競争力も阻害される可能性がある。禁止するのではなく、セキュリティリーダーはガバナンスに焦点を当て、AIの効率性と洞察をリスクなく活用するための安全なAI使用を可能にすべきだ。
SaaS AIガバナンスの導入
SaaS AIガバナンスは、誰もが好きなことをできるようにするのではなく、AIツールが企業のセキュリティニーズ、法的義務、倫理基準を満たす方法で使用されることを保証する。データが常にサードパーティサービスに送信される世界では、このようなガバナンスはデータの行き先を追跡するために必要だ。目標はAIの使用を完全に停止することではなく、安全に使用できるようにすることである。
利点を失うことなくリスクに対処するために、セキュリティリーダーはSaaS AIガバナンス計画を議題に加えるべきだ。以下に、始めるためのいくつかの実行可能なステップを示す:
1. AI使用状況の棚卸し
使用中のAI強化アプリケーション、機能、統合をすべて特定するために、環境の徹底的な監査を実施する。各AIツール、その機能、使用チーム、扱うデータを一覧にした集中インベントリを構築する。
2. 使用ポリシーの定義
AI許容使用ポリシーを確立する。標準的なIT使用ポリシーと同様に、承認されたAIツール(および禁止されているもの)、AIシステムに入力できるデータの種類、新しいAIソリューションの審査/承認プロセスを明記する必要がある。
3. データアクセスの監視
AIツールが導入されたら、その活動を監視し、最小権限アクセスを強制するための技術的管理を実施する。AI統合が必要最小限のデータにのみアクセスできるようにする。SaaSプラットフォームが提供する管理コンソールやログ(またはSaaSセキュリティプラットフォームの使用を検討)を使用して、AI統合とデータフローを監視する。
4. 従業員教育
非公認AIツールのリスクと安全なAI実践の重要性について従業員を教育する。AIプラットフォームと共有してよいもの(例:公開チャットボットに専有コードや個人データを入れない)について、スタッフを訓練する。従業員は新しいAI使用ポリシーとその背景にある理由を理解する必要がある。
5. レビューと適応
SaaS環境内の新しいAIサービスや機能を定期的にスキャンし、ベンダーのAIオファリングの更新を評価する。さらに、AI脅威や脆弱性(データ漏洩インシデントなど)について常に情報を得て、それに応じてポリシーを更新する。
ブロックではなくガバナンスの時代
歓迎されるかどうかに関わらず、生成AIは新しいSaaSエコシステムの一部となっており、今後もなくなることはない。だからこそ、すべてのCISOはSaaS AIガバナンスをやるべきことリストに入れるべきだ。セキュリティリーダーはもはやこれらのツールを無視したり、従業員が使用しないことを期待したりすることはできない。同時に、AIを完全に禁止することは、逆効果になる可能性のある強引なアプローチだ。
AIを安全かつ責任を持って使用するには、事前に管理を行う。企業がAIの利点を活用しながら過度のリスクを負わないよう、境界を確立する。AIの使用を透明にし、明確なルールを確立し、スマートな管理を実施することで、企業はAIを大きなリスクから適切に管理された資産へと変えることができる。
Forbes Technology Councilは、一流のCIO、CTO、テクノロジーエグゼクティブのための招待制コミュニティです。私は資格がありますか?
