ソートリーダー
November 18, 2025
Shadow AI を照らす
業界横断的に、従業員は日常業務を変革するために、人工知能(AI)ツールを利用することが増えています。マーケティングプロフェッショナルがChatGPTを使用してキャンペーンを起草したり、ソフトウェアエンジニアが生成ツールを使用してコードを書いたり、AIはほぼすべてのビジネスアスペクトに静かに統合されています。実際、MITのProject NANDAによると、90%以上の組織で、従業員は日常業務をサポートするために個人用チャットボットアカウントを使用していますが、ITの管理なしで使用していることが多いです。しかし、会社の40%のみが、大規模言語モデル(LLM)ツールの公式サブスクリプションを持っています。この、公認されたAIの使用と秘密のAIの使用の間の断絶は、新しいセキュリティの盲点を開いた:Shadow AI。管理なしで、機密データは外部モデルの共有、出力は不正確または偏ったものになり、コンプライアンスチームは情報がどのように処理されているかを把握することができなくなります。従業員が承認されたチャネル外のツールを使用し続けるにつれて、組織はAIの管理戦略を再考する必要があります。そうでない場合、これらのリスクは継続的に表面化し続けることになります。CIOにとって、AIツールを完全に禁止することは解決策ではありません。なぜなら、それが競争力に影響を及ぼす可能性があるからです。代わりに、革新と責任あるリスク管理のバランスをとる、適応可能なガードレールに焦点を当てる必要があります。AI関連のリスクを先んじて予測するために、組織は責任ある採用を促進するAIポリシーを確立する必要があります。これらのガイドラインは、従業員が合理的にAIを使用することを奨励する必要があります。また、策定されたポリシーは、会社の価値観とリスク許容度と一致している必要があります。成功したプログラムを達成するには、組織は、AIの使用を検出または追跡しない、時代遅れのガバナンスモデルやレガシーツールを超えて進む必要があります。AIポリシーの確立は重要なステップですが、実際の課題は、それらが実用的で、執行可能で、各ビジネスの革新的なビジョンやコンプライアンスのニーズと一致していることを確認することです。進歩を妨げないようにする必要があります。以下は、組織が取ることができる4つのステップです。1. 最適なフレームワークを決定する企業はゼロから始める必要はありません。いくつかの主要機関はすでにフレームワークを開発しており、これらは貴重な参考点を提供しています。経済協力開発機構(OECD)、国立標準技術研究所(NIST)、ISO/IECからのリソースは、AIを安全に効果的に管理するためのガイダンスを提供します。さらに、政府機関も介入し始めています。欧州連合(EU)からの新しい規制は、透明性、説明責任、ガバナンスについての期待を設定しています。これらのリソースは、企業が責任あるAIの採用を促進するための独自のフレームワークを構築し、洗練するための強固な基盤を提供するでしょう。2. AIの可視性を高める組織が効果的なAIリスク管理への道を歩み始めるにつれて、セキュリティリーダーが、実際にビジネス全体でAIがどのように使用されているかを理解することが不可欠です。彼らは、機能全体のアクティビティに関する可視性を提供するツールに投資する必要があります。これらのツールは、ユーザーの行動を監視およびアクセスし、生成AIが使用されている場所を特定する際に、石を投げることもありません。この洞察は、Shadow AIの使用を特定し、リーダーがリスクを評価して対処する上で、非常に重要です。3. AI評議会を設立する可視性が確立されると、セキュリティリーダーは、これを使用して新しいポリシーを情報に基づいて決定できます。AIの使用はビジネス全体に影響を及ぼすため、意思決定プロセスをシロにすべきではありません。CISOは、セキュリティ、法務、IT、Cスイートの主要ステークホルダーを集めたAI評議会を設立することを検討する必要があります。実際、Gartnerによると、55%の組織はすでにAIボードを設立しており、54%がAI戦略と実装を監督するAI責任者または専任のAIリーダーを任命しています。 これらのクロスファンクショナルグループは、承認されたものや承認されていないものを問わず、ビジネス環境に浸透し始めているAIツールによってもたらされるリスクと機会を評価できます。次に、彼らはビジネスのニーズとリスクのバランスをとる新しいポリシーを共同で形作ることができます。たとえば、評議会が承認なしで使用されているセキュリティ上の懸念がある人気のあるAIツールを特定した場合、該当アプリケーションの使用を禁止することをお勧めし、より安全な代替ツールを承認することができます。これらのポリシーは、コンプライアンス基準を満たすセキュリティコントロールと承認されたAIプラットフォームへの投資によって強化される必要があります。新しい進歩が市場に出てくるにつれて、評議会は従業員がツールを提案して検証するための正式なプロセスを導入することもできます。これにより、組織はAI戦略を適応し、コンプライアンスを維持することができます。4. AI教育を強化する従業員をAIの周りに教育し、関与させることは、組織全体の買い込みを確保し、Shadow AIの使用を抑えるためのもう1つの重要なステップになります。適切なガバナンスモデルが整備されていても、従業員がそれらを理解し、受け入れる方法によって成功が左右されます。Pew Researchの調査によると、仕事中のトレーニングを受けた労働者(51%)のうち、AIの使用に関連するトレーニングを受けた人はわずか24%でした。組織は、従業員が利用できる機会や機能を理解できるように、AIトレーニングプログラムを確実に整備する必要があります。スキル向上により、従業員はキャリアで成長し、役割でより満足感を得ることができます。 AIトレーニングプログラムは、基本的な使用法やコンプライアンスを超えて、チームがAIのより広い背景と、それがビジネスのエコシステムでどのように機能するかを理解するのに役立ちます。カバーするトピックには、責任あるAIの使用がなぜ重要か、ビジネスと顧客を保護するためのポリシーが存在すること、データの取り扱いやプライバシーのリスクを特定する方法が含まれます。従業員が正しい知識を身につけている場合、彼らは安全に革新する上で、積極的なパートナーになることができます。責任あるAIの未来を形作るShadow AIはすぐに消えることはありません。生成技術が日常のワークフローにさらに統合されるにつれて、組織が直面する課題は激化するだけです。リーダーは、Shadow AIを制御不能な脅威として扱うか、適切に管理された場合に効率と生産性を最大化する機会として認識するかという選択に直面します。AIポリシーまたはボードを開発することは、一度きりの行為ではありません。AIが急速に進化するように、組織の戦略も進化する必要があります。AIは、より賢明な決定を導き、革新を加速し、すべての機能の生産性を高めるのに役立ちます。しかし、利益を維持するには、従業員が利用可能なツールと、それらを責任ある方法で使用する方法を理解する必要があります。成功する者は、変化に適応し、変化を追うのではなく、ポリシーを積極的に洗練して変化に先んじるでしょう。
