私はキャリアの大半を、組織が新しいテクノロジーに対して同じ過ちを繰り返すのを見て過ごしてきた。
私たちはそれができることに興奮する。素早く動く。既存のワークフローに組み込む。そして後になって、通常は何かが壊れた後に、私たちは立ち止まって問う。リスクやガバナンスへの影響を実際に理解していたのか、責任者は本番環境に導入したものに対する訓練を受けていたのか、と。
AIは不快なほど馴染み深い。
過去数年間、私は人工知能について数え切れないほどの会話をしてきた。初期の頃、それらの会話はほぼ完全に可能性についてのものだった。生産性の向上、自動化、競争優位性。そしてほぼすべての議論に、同じ安心感のバージョンが含まれていた。AIは人を置き換えるためにあるのではない、と。
そのセリフはあまりにも頻繁に出てきたため、リハーサル済みのように感じられ始めた。私は、テクノロジー企業の幹部たちがそのマントラでメッセージを統一することの重要性を強調するメモを回覧したのではないかと思った。
最近、トーンが変わってきた。会話はより現実的になっている。一部の役割は変わる。一部は消える。そして真の分岐点は、AIが仕事を置き換えるかどうかではなく、人々が学習し、適応し、機械速度で動作するシステムと並んで働く方法を知っているかどうかだ。
実験から依存するシステムへ
しばらくの間、AIは企業の周辺に存在していた。パイロット。サイドプロジェクト。失敗してもビジネスを道連れにしない限定的な展開。
もはやそうではない。
今日、AIはますます記録システムに組み込まれている。アイデンティティプラットフォーム、セキュリティオペレーション、顧客データパイプライン、財務ワークフロー。それが起こると、リスクプロファイルは完全に変わる。ミスは拡大する。バイアスは伝播する。セキュリティギャップは広がる。
私は以前にこのパターンを見たことがある。ウェブ開発の初期には、スピードと機能性がすべてだった。セキュリティとガバナンスは二次的な懸念事項だった。侵害や障害が組織に関心を持たせるまでは。AIは同様の軌跡をたどっているが、はるかに速いスピードと範囲で。
今回の違いは、AIが単に指示を実行するだけではないことだ。適応する。そして多くの組織は、まるでそうではないかのように人員配置され、構造化されている。
目の前に隠れているスキルギャップ
AIが仕事を排除するかどうかについての議論は不足していない。その枠組みは、より差し迫った問題を見逃している。
AIは、組織が役割や期待を再定義するよりも速く責任を再構築している。セキュリティチームはAI対応環境を保護するよう求められている。プログラムリーダーはAIイニシアチブを責任を持って監督することが期待されている。経営幹部は適応型システムによって影響を受ける結果に対して説明責任を負う。
しばしば欠けているのは、共有された理解のベースラインだ。これらのシステムがどのように動作し、どのように失敗し、リスクが時間の経過とともにどのように管理されるべきかについて。
909Cyberの創設者兼CEOであるデン・ジョーンズ氏が述べたように、「あなたはAIの流れに乗るか、取り残されるかのどちらかだ。多くの人がAIとセキュリティについて話すが、実際には、それがすべて何を意味するのか、そしてさらに重要なことに、それが自分たちのビジネスリスクにとって何を意味するのかを学ぶ必要がある」
その緊張感こそが、スキルギャップを危険なものにしている。AI導入は加速している。リスク理解はそうではない。
私は誰もがパニックになるべきだと言っているわけでも、組織が無謀だと示唆しているわけでもない。それは整合性についてだ。責任は、正式なトレーニング、フレームワーク、役割定義が追いつくよりも速く移行している。
ツールは構造的問題を解決しない
サイバーセキュリティが私たちに何度も教えてくれた教訓の1つは、ツールは構造的ギャップを修正しないということだ。スキルが修正する。
市場で最も先進的なプラットフォームを展開しても、それを使用する人々がその限界、失敗モード、または悪用される可能性を理解していなければ、依然として苦労する可能性がある。AIはその課題を増幅する。
AIを「単なる別のツール」として扱うことは、それが導入する運用上およびセキュリティ上の複雑さを過小評価している。効果的な使用には、プロンプト作成や機能採用以上のものが必要だ。データフロー、モデルの動作、攻撃対象領域、ガバナンス責任の理解が必要だ。
業界が対応を始めている方法
業界の一部は、このギャップを認識し始めている。別のプラットフォームを立ち上げるのではなく、労働力の準備態勢に焦点を当てることによって。
1つの例は、Certified Ethical Hackerプログラムで最もよく知られているEC-Councilだ。同組織は、採用、防御、ガバナンスに焦点を当てた新しい役割別AI認定資格のセットを立ち上げた。一般的なAI認識を超えて、実践的で職務固有の準備態勢に向かっている。
組織は、チームがこれらのスキルを持っていることを確認する必要がある。AIがパイロットモードから日常業務に移行するにつれて、間違えるコストは増加する。「AIは実験からインフラストラクチャに移行しており、労働力もそれとともに移行しなければならない」と、EC-Councilの創設者兼CEOであるジェイ・バヴィシ氏は述べた。
際立っているのは、認定資格そのものの考え方ではなく、その背後にあるフレーミングだ。AI準備態勢は役割によって異なって見える。ベースラインの流暢さは重要だが、セキュリティ実務者、プログラムマネージャー、ガバナンスリーダーが直面するリスクは同じではない。これらの区別を反映したトレーニングは、現実世界の能力に変換される可能性が高い。
そのアプローチは、数年前にサイバーセキュリティで機能したものを反映している。防御者がストレス下でシステムがどのように動作するか、そしてどこで失敗する可能性が最も高いかを理解すると、それらを保護するためのより良い装備が整う。今の違いは、AIシステムが単に指示を実行するだけではないことだ。従来のトレーニングとガバナンスモデルが処理するように構築されたよりも速く、学習し、適応し、拡大する。
リーダーシップはこれを委任できない
AIシステムがより自律的になるにつれて、説明責任は消えない。集中する。
取締役会と経営幹部は、セキュリティインシデント、規制上のエクスポージャー、または運用上の失敗を含むかどうかにかかわらず、AIによって影響を受ける結果に対してますます責任を負っている。その現実は、組織にAI駆動環境におけるリーダーシップ能力がどのようなものかを再考させている。
ガバナンス、リスク管理、倫理的監視は、もはや抽象的な懸念事項ではない。それらは運用上の要件だ。
今後の真の課題
AIは減速していない。それは明らかだ。
組織が焦点を当てる必要がある質問は、ペースを維持するために必要なスキル、フレームワーク、リーダーシップ能力に投資するかどうか、それとも単にAIを構造的シフトではなくショートカットとして扱い続けるかだ。
私の経験では、苦労する組織は慎重に動く組織ではない。次に来るものに対して責任者を準備せずに速く動く組織だ。
