GenAIの広がる影が企業データを危険にさらしている

生成AI（GenAI）ソリューションは、もはや企業従業員が単に「試している」だけのものではありません。それらは、急速なペースで日常業務に採用され、統合されています。あるレポートによると、過去1年間で組織の40%が日々のワークフローでGenAIを使用していると報告しており、80%以上がユーザーがこれらのツールを週単位で利用していると報告しています。

しかし、AIの採用が進む一方で、可視性と制御はそれに追いついていません。GenAIがメール受信箱、コードエディタ、コラボレーションスイート、仮想アシスタントなどに組み込まれるにつれ、プロンプト、アップロード、コピー＆ペースト操作を通じて、ますます大量の機密データにアクセスするようになっています。これらはすべて、従来の制御をすり抜ける可能性が高いものです。

その結果、シャドウデータのプールが拡大しています。ビジネスに不可欠な情報が、SaaS、クラウド、オンプレミスサービスを横断して流れていますが、可視性、ガバナンス、保持に関する保護策は限られています。AIソリューションを用いて持続可能かつ安全に革新を起こすためには、現代の企業がこの「採用と制御のギャップ」を理解し、シャドウデータが制御不能になる前にそれに対処する方法を学ぶことが極めて重要です。

GenAIの広く、不透明な影

シャドウデータの中核的な課題は、コンテキストの欠如に起因します。シャドウITの課題が保存状態のファイル、承認済みアプリケーション、既知の出口ポイントに限定されるのに対し、AIによって生み出されるシャドウデータの境界ははるかに曖昧です。チームは未知のツールを発見して保護するだけでなく、メールプラットフォーム、クラウドストレージソリューション、CRMなど、承認済みアプリケーションに統合されたAIモデルも監視する必要があります。これは、これまで使用・監視してきた「安全な」ソリューションを覆し、脅威の対象範囲を広げます。

GenAIはまた、機密データが企業アーキテクチャを流れる方法も変えます。従来のSaaSソリューションのようなアプリケーションおよびファイルベースのワークフローとは異なり、GenAIは継続的で会話型のレイヤーで動作し、ユーザーがより良い結果を得るためにコンテキストを共有することを促します。これにより、ユーザーはソースコードの断片、顧客記録、内部文書などを含む可能性のある日常的なコピー＆ペースト操作やアップロードを行うようになり、これらはすべて、それぞれの機密レベルに応じた適切なデータ共有ガバナンスを欠いています。

さらに、GenAIの採用は、明確で中央集権的なパターンに従わないことがよくあります。企業データのユーザーは一人として全く同じではなく、最適化されたワークフローと時間節約の自動化を求める彼らの追求は、多数のAIソリューションを活用することにつながり、それがさらに断片化されたデータパスを生み出します。これを企業全体の従業員に掛け合わせると、その影は信じられないほど広がります。

GenAIをブロックしてもうまくいかない理由

これらの脅威に直面し、多くの組織の第一反応は、GenAIツールへのアクセスを全面的にブロックする、あるいは厳しく制限することです。これは理解できるアプローチですが、企業が期待するほど効果的でないことがよくあります。いわば、GenAIという魔法のランプの精が瓶から出てしまったら、それを再び瓶に戻すのは非常に困難です。多くの従業員は、日々のワークフローを効率化するためにこれらのツールを使用し、GenAIをタスクの計画と実行に深く組み込んでいます。

上からアクセスが制限されても、使用は止まらない可能性が高く、単に見えないところに移動するだけです。従業員が個人または管理外のアカウントに切り替えた場合、企業はどのデータがアプリケーションによって共有・保持されているかについて、すべての可視性を失います。実際、あるレポートでは、従業員の44%がすでにポリシーやガイドラインに反する方法でAIを使用したことがあるとされ、別の調査では、未承認のAIツールを使用する従業員の75%が、それらに潜在的に機密性の高い情報を共有したことを認めています。善意のスタッフが知らずに保護策を回避し、機密データが管理された環境から離れ、不明確な制御を持つシステムに入る機会を作り出すと、重大なインサイダーリスクが生じ、組織に年間平均1,950万ドルのコストがかかる可能性があります。ユーザーの活動を管理外のブラウザ、個人のクラウドアカウント、ニッチなAIツールにさらに追いやることで、企業はセキュリティチームが決して目にすることのない脅威ベクトルをさらに作り出してしまいます。

このように、シャドウデータは、AIツールへのアクセス権を持つ無謀な従業員だけの結果ではありません。それは、GenAIのアクセスしやすい設計、コンテキストへの要求、そして全体的な遍在性による構造的な帰結です。そして、企業が自社のシャドウデータがどのように、どこに流れているかについて可視性を取り戻すまで、GenAIの採用は、そのリスクを管理する能力を上回り続けるでしょう。

可視性と保護によるシャドウデータの排除

GenAIソリューションを完全にブロックすることはおそらくうまくいきませんが、企業は以下の3つの核心的な行動を取ることで、AIの革新を支援しつつ、シャドウデータの拡散を抑止することができます。

1. エンドツーエンドの可視性を確立する

企業は、データエコシステムを効果的に保護する前に、自分たちが何を扱っているかを正確に知る必要があります。これは、従業員がどのGenAIアプリケーションを使用しているか（承認済みツールに組み込まれているものも含む）の完全な全体像を描くことから始まります。また、これらのアプリケーションと共有されているデータの種類（財務、知的財産、個人識別情報、医療情報、その他の規制情報）や、データがオンプレミス、SaaS、クラウドネットワークのどこを移動しているかにも及びます。この重要な情報がなければ、セキュリティチームとコンプライアンスチームは、正確で現実の従業員の行動ではなく、仮定を管理することになります。

2. コンテキストを考慮したデータ保護ポリシーを適用する

制御がGenAIの使用方法に適応できない場合、可視性だけでは不十分です。従来の「許可またはブロック」ポリシーは、継続的で会話型のデータ交換を必要とするAIワークフローには硬直しすぎています。これらのソリューションを効果的に保護するためには、チームはユーザー、データ、宛先をリアルタイムで評価するコンテキストを考慮したポリシーを作成する必要があります。これにより、ユーザーの行動に対して現実的で適切な対応を取ることが可能になります。例えば、リスクの高いアップロードをブロックしたり、機密情報が環境から出る前に編集したり、従業員により安全な代替案を試すよう指示したりすることです。これらの自動化されたガードレールは、完全な中断や手動介入よりも、日々のタスクに効果的に組み込むことができ、生産性を阻害することなくGenAIの使用をより安全にします。

3. 一貫したポリシー適用を確保する

企業は、チームが依存するようになったツールを放棄させることなく、仕事が行われる場所であればどこでも、単一で一貫したデータ保護ポリシーのセットを適用しなければなりません。確立されたツールを「破棄して置き換える」べきではありません。それは生産性を著しく妨げるでしょう。代わりに、クラウドストレージ、コラボレーションプラットフォーム、SaaSアプリ、GenAIアシスタントを横断してデータとユーザーを追跡する統一されたポリシーを確立すべきです。この一貫性は、リスクと摩擦の両方を軽減し、セキュリティチームが断片化された制御を管理することを回避させ、従業員が予期しない禁止に直面するのではなく、予測可能なガードレール内で働けるようにします。最終的に、反応的で断片的な対応よりも、積極的で一貫した対応の方がはるかに効果的です。

安全かつ持続可能な採用を支援する

GenAIツールは、組織がそれらをニッチな、あるいは実験的なリスクのように扱うには、あまりにも急速に日常のワークフローに組み込まれてしまいました。それらを無視することも、完全に根絶することもできません。代わりに、企業は、革新的なAIの使用を可能にしながら、データエコシステム全体での機密データの影に潜んだ保護されない移動を回避する前進の道を模索しなければなりません。成功は、採用を抑制することからではなく、データが流れる場所であればどこでも、継続的で、コンテキストに基づき、一貫したデータ保護を通じて、それを安全に可能にすることからもたらされるでしょう。