シェイ・ソロモン氏、チェック・ポイント・ソフトウェア・テクノロジーズサイバーセキュリティサービス事業開発ディレクター
AIは今や、カスタマーサービスから経営層の意思決定に至るまで、ビジネスのあらゆる側面に組み込まれている。業界全体における運用上のリスクとして、経営幹部にとっての課題は導入ではなく管理である。組織全体にAIを展開しながら、運用面、規制面、評判面でのリスクにさらさないようにするには、どうすればよいのか。
解決策は、AIの全体的な影響を統制する戦略の構築にある。最も効果的なフレームワークは、テクノロジーの進化に対応し、適切なサービスと運用体制によって支えられている。以下、その始め方を紹介する。
1. 戦略を立てる前に可視化を実現する
プロティビティの2026年AIパルス調査によると、大企業の47%、中堅企業の68%が、従業員によるAIツールの使用状況を完全に把握できていないか、シャドーAI(適切な監視なしに導入・使用されるシステム)の事例に対処している。チェック・ポイントでは、当社の調査チームの知見がこれを裏付けている。2025年版「AIセキュリティレポート」では、企業ネットワークの51%以上で毎月AIサービスが使用されていることが判明し、「サイバーセキュリティレポート2026」では、企業のAIツールに入力されるプロンプトの48件に1件が高リスクに分類される可能性があると判断された。
可視性がなければ、ガバナンスの取り組みは不完全なものとなる。したがって、組織の最初のステップはインベントリ管理であるべきだ。社内目的で使用されるもの、顧客向けアプリケーション、その他の意思決定を含め、AI使用状況の完全な把握が必要である。完全なインベントリを確立して初めて、リスク、管理、その他の懸念事項についてユースケースを分類し始めることができる。
2. AI方針を運用可能にする
高レベルのAI原則は優れた出発点だが、それだけでは誰の役にも立たない。実際の管理体制を構築し、実施する必要がある。それらは、データをどのように検証するか、さまざまなAIシステムにどのようなアクセス制御が必要か、AIの意思決定をどのように追跡・記録するか、AIシステムを時間の経過とともにどのようにテストし監視するかを定義すべきである。これらの実用的な適用こそが、ガバナンスを監査し改善できる部分である。
以下は、方針に含めるべき一般的な管理項目である。
• AIシステムに入力されるデータの完全性と系統を保証するためのデータ検証と系統追跡
• 役割と責任に基づいて権限を割り当てるアクセス制御
• 意思決定のログ記録と説明可能性の記録
• AIシステムに関わる障害、情報漏洩、セキュリティインシデントに対処するためのインシデント対応計画
3. 人間による監視が必要な事項を明確化する
リーダーは、自律的なAI使用が適切な場合と、人間による監視が必要な場合を定義しなければならない。たとえば、会議の要約生成、社内メールの下書き作成、コンテンツの修正、日常的なデータの並べ替えや分類といった影響度の低いユースケースは、実行前に誰かがチェックする必要はない。しかし、財務承認やコンプライアンスプロセスなどの影響度の高いユースケースには、人間の判断が必要である。これらの決定を管理体制とガバナンスプロセスに組み込む必要がある。
4. サードパーティのAIリスクを自社のリスクとして捉える
AIをアウトソーシングしたからといって、そのサードパーティがあらゆる結果に責任を負うわけではない。AIパートナーがモデル障害を起こしたり、データを漏洩したり、その他有害な行為を行ったりした場合、組織がそのリスクを負う。ベンダーを選択する前に、AIソリューションをどのように設計・運用しているかを尋ね、監査する権利を確保し、自社のインフラストラクチャにデータを安全に接続していることを確認すべきである。
5. AIをサイバーセキュリティ運用に組み込む
AIをガバナンスのサイロに入れて終わりにすることはできない。組織は、AIを現在のセキュリティおよび運用プロセスに織り込まなければならない。それには、継続的な監視、脅威検知システム、エンタープライズセキュリティ運用との統合が必要である。マネージド検知・対応、セキュリティコンサルティング、インシデント対応サービスは、AI駆動型エコシステムの広範な視点を提供し、問題が発生した場合の迅速な修復を可能にするため、不可欠な機能を提供する。
6. 規制への積極的な対応
AI規制は急速に進展しており、コンプライアンスはまもなく必須要件となる。高リスクのユースケースを特定し、監査証跡を文書化し、規制遵守の責任を早期に指定できなければならない。一部の組織は、進化する規制フレームワークを管理体制に解釈し、規制が施行される前に準備を整えるために、サードパーティのサイバーセキュリティおよびコンプライアンスコンサルティングサービスを利用することを選択している。
とはいえ、AI戦略を規制に適合させるために外部の支援に依存する必要はない。社内で対処するには、法務、IT、セキュリティ、事業部門の代表者で構成される部門横断的なAIコンプライアンス委員会の設置を検討すべきである。米国立標準技術研究所(NIST)のAIリスク管理フレームワークや新しい国際規格ISO/IEC 42001など、公開されているAIガバナンスフレームワークをモデルにしてガバナンスプロセスを構築することを検討すべきである。EU、州司法長官、業界団体からのアラートに登録して規制変更の情報を入手し続けること。最後に、定期的な社内ギャップ評価を実施し、自社のAIユースケースを規制の要件と比較すべきである。
結論
AIは技術的進化以上のものであり、組織がサイバーセキュリティにもたらしてきたのと同じレベルの厳格さと規律を必要とするリーダーシップの課題を表している。組織はまもなく、導入を遅らせることなくAIを統制し、保護し、効果的に拡大できることを実証する必要がある。今後数年間、競争優位性は、イノベーションと管理を組み合わせ、両方を運用可能にする適切なサイバーセキュリティサービスに支えられた企業に与えられるだろう。
