AIはすでにあなたのビジネスの中にいる。セキュリティを確保していない場合は、遅れを取っている

あなたが公式に組織全体でAIを導入したかどうかは関係ありません。AIはすでにあなたの組織の中にいます。従業員はChatGPTを使用して文書を作成しており、機密データをオンラインツールにアップロードして分析を速めています。また、コードや顧客サービスなど、さまざまなタスクを短縮するために生成ツールを使用しています。AIはあなたの了承有無に関わらず進行しています。これはCISOにとって深刻な問題です。

部門全体にわたる非公式のAIツールの拡散により、新しい影のITレイヤーが生まれています。これは分散型で、ほとんど見えず、リスクがあります。コンプライアンス違反、データ漏洩、追跡不能な意思決定など、AI使用を無視することによる結果は実在します。しかし、多くの企業はまだポリシーまたはファイアウォールでこれを阻止できると考えています。

しかし、真実はAIを阻止することはできないということです。AIはセキュア化できるだけです。企業がこれを受け入れるほど早く、危険なギャップを埋めることができます。

影のAIが組織に浸透し、セキュリティの盲点となっている

これは以前に見たパターンです。2010年代初頭、クラウドの採用がチームによってこのように進められました。セキュリティチームの承認なしにツールを使用して、より迅速に作業を行うためにです。多くのセキュリティチームは変化に抵抗しようとしたのですが、最終的にはセキュリティ違反、ミスコンフィギュレーション、またはコンプライアンス違反が発生すると、対応することになりました。

今日、同じことがAIで起こっています。私たちの2024年AIセキュリティ報告書によると、組織の過半数がAIを使用して独自のカスタムアプリケーションを開発しています。しかし、モデルがどこにあるか、どのように構成されているか、機密データを公開しているかについての可視性はほとんどありません。

これにより、2つのリスクが生じます。

1. 従業員が機密データにアクセスするためにパブリックツールを使用し、外部システムにデータを公開することなく監視なしでデータを公開すること。
2. 内部チームがセキュリティ制御なしでAIモデルを展開し、脆弱性が悪用され、監査に失敗する可能性のある悪い慣行が生じること。

影のAIはセキュリティ問題だけではなく、ガバナンスの危機ともなり得ます。AIの使用状況を確認できない場合、AIのトレーニング方法、データへのアクセス、生成される出力を管理することはできません。また、AIの決定を追跡できない場合、説明または擁護することができず、規制、評判、または運用上のリスクにさらされることになります。

伝統的なセキュリティツールが不足している理由

ほとんどのセキュリティツールはAIを処理するように設計されていません。モデルアーティファクトを認識できず、AI固有のデータパスをスキャンできず、LLMの相互作用を追跡したり、モデルガバナンスを適用したりできません。存在するツールでも、パズルの狭い部分に焦点を当てており、組織は統合的なビューを持たないポイントソリューションを扱うことになります。

これは問題です。AIセキュリティはあとから考えられるものではなく、クラウド環境の管理、データ保護、DevSecOpsパイプラインの構築に組み込まれる必要があります。そうでない場合、AIが運用の中心となる重要性を低く見積もっており、セキュリティの重要な部分としてビジネスインフラストラクチャに組み込む機会を逃しています。

「それをブロックするだけ」という神話を終わらせる必要がある

「サードパーティのAIツールを使用しない」または「内部での実験を禁止する」というポリシーでこれを解決できるという考えは、魅力的かもしれません。しかし、これは願望思考です。従業員は仕事を速く進めるためにAIツールを使用しています。悪意を持ってではなく、効果的だからです。

AIは力の倍増であり、従業員はそれを使用して期限を守るのを助けたり、労力を減らしたり、問題をより迅速に解決したりするでしょう。

この行動を完全にブロックしようとすることは、効果的ではありません。むしろ、地下に潜むことになります。何かが間違った場合、最悪の状況になり、可視性、ポリシー、対応計画がなくなります。

戦略的に、セキュアに、そして可視的にAIを採用する

賢いアプローチは、AIを積極的に採用することですが、自分の条件で採用することです。これは3つのことから始めます。

1. 従業員に安全で認可されたオプションを提供します。リスクのあるツールの使用を避けるためには、セキュアな代替手段を提供する必要があります。内部のLLM、検証済みのサードパーティツール、またはコアシステムに統合されたAIアシスタントなど、従業員がいる場所で、同じくらい迅速だがはるかにセキュアなツールを提供することが重要です。

2. 明確なポリシーを設定し、施行します。AIガバナンスには具体的で、実行可能で、従業員が理解しやすいポリシーが必要です。どのようなデータがAIツールと共有できますか。どのような赤い線がありますか。内部AIプロジェクトのレビューと承認を誰が担当しますか。ポリシーを公開し、技術的および手続き的な施行メカニズムが整っていることを確認します。

3. 可視性と監視に投資します。見えていないものはセキュア化できないため、影のAIの使用を検出できるツール、公開されたアクセスキーを特定できるツール、モデルを誤って構成した場合を特定できるツール、機密データがトレーニングセットまたは出力に漏洩している可能性を強調できるツールが必要です。AIポストゥア管理は、クラウドセキュリティポストゥア管理と同様に重要になりつつあります。

CISOがこの移行を主導する必要がある

好き嫌い問わず、これはセキュリティリーダーシップにとって決定的な瞬間です。CISOの役割は、インフラストラクチャを保護することだけではありません。安全にイノベーションを促進することです。つまり、組織がAIを使用して迅速に進むのを支援することであり、セキュリティ、プライバシー、コンプライアンスをすべてのステップで組み込むことを意味します。

これは次のことを意味します：

• 取締役会と幹部に対して、AIの実際のリスクと認識されたリスクを教育すること
• セキュリティをAIの展開の早い段階に組み込むために、エンジニアリングと製品チームとのパートナーシップを構築すること
• AIシステムの動作を理解するためのモダンなツールに投資すること
• 責任あるAIの使用がすべての人の役割である文化を構築すること

CISOは部屋でAIの専門家である必要はありませんが、正しい質問を投げかける必要があります。どのモデルを使用していますか。どのデータがそれらに食事を与えていますか。どのようなガードレールが設けられていますか。証明できますか。

結論：何もしないことは最大のリスクである

AIはすでにビジネスの運営方法を変えています。顧客サービスチームがより迅速に返信を書いたり、財務チームが予測を分析したり、開発者がワークフローを加速したりしているように、AIは日常業務に組み込まれています。現実を無視しても、AIの採用を遅くすることはありません。ただ、盲点、データ漏洩、規制違反を招きます。

最も危険な進路は、無策です。CISOおよびセキュリティリーダーは、すでに真実であることを受け入れる必要があります。AIはここにいます。システムの中に、ワークフローの中に、消え去ることはありません。質問は、損害を与える前にそれをセキュア化するかどうかです。

AIを採用するが、セキュリティ第一の姿勢でなければなりません。次に来るものに先んじる唯一の方法です。