ペリー・カーペンター氏は、人的リスク管理に対応するサイバーセキュリティプラットフォームKnowBe4のチーフ・ヒューマン・リスク・マネジメント・ストラテジストである。
IBMの「2025年データ侵害コスト報告書」は、適切な保護措置なしにAIを導入している組織に警鐘を鳴らしている。この調査は、組織がセキュリティ監視よりもスピードと革新を優先していることを浮き彫りにしており、その結果、侵害コストの高騰と復旧作業の複雑化を招いている。企業がモデルを急いで本番環境に投入する中、ガバナンスフレームワーク、監査、アクセス制御などの基本的な対策が省略されることが多く、新たな攻撃対象領域が生まれ、財務的リスクが増大している。
「今すぐAI導入」の危険性
あらゆる業界で、企業は猛スピードでAIイニシアチブを展開している。特に機密情報を使って訓練されたり、重要インフラと連携したりするAIシステムは、慎重に対処すべき新たな攻撃対象領域を生み出している。しかし、多くの組織が「今すぐ導入」というAIアプローチを採用し、従来のセキュリティ検証を行わないままツールやモデルをプロセスに統合することを急いでいる。経営幹部の約70%が「セキュリティよりも革新が優先される」と報告している。企業が競争力を維持し、迅速に自動化し、新たな効率性を活用したいと考えるため、AIの導入を急ぐことは理解できる。しかし、監視が犠牲になると、脆弱性が増大する。
AIガバナンスにおける広範なギャップ
侵害を受けた組織の約63%が正式なAIガバナンスフレームワークを持っていないか、まだ構築中であり、AIガバナンスフレームワークが後回しにされていることを示している。明確なルールと定期的なレビューがなければ、AIモデルはチェックされないまま運用され、機密データや企業全体がリスクにさらされる。
AIツールは、他の企業システムと同様に厳格な基準で管理する必要がある。これには、最小権限アクセスの適用、使用行動の追跡、認証情報やAPIキーの保護が含まれる。これらの管理が欠如していると、慎重に導入されたソリューションでさえ脆弱性に変わる可能性がある。
悪意ある攻撃、ヒューマンエラー、シャドーAI
侵害の原因を分析すると、95%が人的要因に関連している。これには、設定ミス、認証情報の紛失、意図しないデータ露出などが含まれる。また、従業員やチームがITの管理外でAIツールを実装する「シャドーAI」も含まれ、これが侵害の強力な要因となっている。シャドーAIが広く浸透している環境では、無許可のAI使用が最小限または皆無の環境と比較して、侵害コストが平均67万ドル増加する。
人的エラーは、従業員トレーニング、堅牢な変更管理、継続的なモニタリングなどの積極的な対策によって軽減できる。AI環境では、チェックされていないモデルや文書化されていない統合によってこれらの脆弱性が拡大し、小さな人的エラーが大規模なデータ露出に変わる可能性がある。
安全なAIの未来を描く
監視のないスピードは、待ち受ける財務的大惨事である。これは、他の新しく、刺激的で有望な技術の例でも聞いたことがある。今度はAIの番だ。急いだAI導入、弱いガバナンス、シャドーAIの実践の組み合わせが侵害コストを高めており、規制監視とAIへのビジネス依存が拡大し続けている。
組織がレジリエンスへの移行のために取るべき行動は以下の通りである。
• データ管理、モデル評価、アクセス制御のポリシーを定義するための機能横断的なAIガバナンスチームを結成する。
• 未承認のAI活動、モデルの逸脱、不規則なアクセス行動を検出するための定期的な監査と自動監視を実施する。
• すべてのAIエンドポイントで最小権限手順と継続的な認証を備えたID管理を実装する。
• 侵害コスト、検出時間、無許可のAI行動の減少など、主要なパフォーマンス指標を使用して進捗を追跡し、戦略が生産的であることを確認する。
ヒューマンリスク管理(HRM)の実装
シャドーAIを軽減し、回避可能な違反を最小限に抑えるために、組織はテクノロジー管理を組み込み、セキュリティ意識の高い文化を促進すべきである。組織がAIガバナンスフレームワーク内にヒューマンリスク管理を組み込むことで、見落とされがちな部分をより良く把握できるようになる。これにより、無許可または非公認のAI活動を早期に発見し、ユーザーの無実のエラーや悪意ある悪用によって問題が発生する可能性を低減できる。
堅実なHRM計画に含めるべき要素は以下の通りである。
• ユーザー行動ログ、フィッシングシミュレーション結果、インシデント相関関係を分析して、従業員のモチベーションと習慣を理解し、ターゲットを絞った介入を導くためのリスクプロファイルを開発する。
• AIツールの無許可使用などの高リスク行動に対応して、カスタマイズされたトレーニング、マイクロラーニングモジュール、シミュレーション演習を開始する。
• フィッシングシミュレーション、エンドポイント保護、インシデント対応をHRMと統合し、技術的アラートと人間の行動を相関させて優先的なアクションを取る。
• 安全な行動が報われ、従業員が懸念を報告する自信を持ち、チームワークが効果的な問題解決を推進する環境を構築する。
• 新たな脅威、従業員の役割の変化、セキュリティインシデントに適応するトレーニングを提供し、知識が最新かつ関連性を保つようにする。
脅威アクターがAIの盲点を狙う方法を進化させる中、バランスの取れた革新に取り組む組織はより強くなることができる。人間中心の行動と脆弱性を管理することで、組織はより強靭なセキュリティ態勢、警戒心の高い従業員、そしてスピードと保護が両立するAIを安全に導入するためのロードマップから恩恵を受けることができる。
