Lina Dabit, Executive Director & Field CISO, Optiv Canada

Shadow AI: 組織が無視できないガバナンスのギャップ

AIの旅程のこの段階で、ビジネスリーダーは広くAIガバナンスの重要性を認識しています。しかし、組織がポリシーとガイドラインを開発するスピードは、従業員がAIを日常の仕事に採用して統合するスピードに比べて遅れています。組織がガバナンスフレームワークが「完了」するのを待ってAIを有効にすることを待っている場合、組織は厳しい現実に直面する必要があります。明確なルールがなければ、従業員は自分で境界を定義します。その決定は、組織の標準、リスク許容度、または規制上の義務と直接対立する可能性があります。このガバナンスのギャップにより、Shadow AIが多くの組織内のデフォルトの運用モデルとなっています。広範囲にわたる拡大する問題Shadow AIは、個々の貢献者が周辺で実験することだけに限定されません。組織全体、リーダーシップを含むすべてのレベルに及んでいます。AIが日常のワークフローに埋め込まれるにつれて、上級の意思決定者も正式な承認プロセスをバイパスしてその利点を活用しています。実際、最近の研究によると、68%のセキュリティリーダー、CISOを含む、がワークフローに承認されていないAIを何らかの形で組み込んでいることを認めています。同時に、79%のITリーダーが報告しているように、組織がAIツールと共有する企業データから既にマイナスの結果を経験していることを報告しています。分析家は、この問題が悪化することを予測しています。ガートナーは、2030年までに40%以上の組織が承認されていないAIツールの使用によるセキュリティまたはコンプライアンスのインシデントに直面することを予測しています。拡大するリスクの表面Shadow AIは、以下のような幅広いリスクをもたらします： データの管理権の喪失と潜在的なデータ漏洩 セキュリティの脆弱性と攻撃表面の拡大 コンプライアンスと規制への露出 AIの使用状況の可視性の欠如 知的財産の喪失 評判の損害 不正確または偏った出力 これらのリスクの重要な要因は、AIシステムがデータをどのように処理するかについての根本的な誤解です。多くの従業員は、「無料」のツール、特にログイン資格情報が不要なツールを使用することで匿名性または保護が提供されることを前提としています。実際、これらのツールはユーザーの入力に依存してモデルをトレーニングして改善し、場合によってはデータを第三者と共有します。そのデータには、個人を特定できる情報（PII）、医療または法的データ、財務記録、知的財産、その他の機密のビジネス情報など、非常に機密性の高い情報が含まれる場合があります。さらに心配なことに、認識は常に行動を変えるわけではありません。調査によると、38%の従業員が組織の承認なしにAIツールと機密情報を共有していることを認めています。Shadow AIが続く理由Shadow AIに対処するには、組織はまずその根本原因を理解する必要があります。ほとんどの場合、従業員は悪意を持って行動しているわけではありません。彼らは環境に合理的に対応しています。彼らはより迅速に動かされ、より少ないリソースでより多くのことを行い、より優れた成果を出すよう圧力を受けています。AIはそれらすべてを可能にします。Shadow AIは、組織のシステムが期待と一致しないときに現れます。共通の要因には以下が含まれます： 職場でのAIツールの厳格な禁止 承認されたツールが機能的に劣る、またはユーザーフレンドリーではない 厳しい締め切りに対処する圧力 遅い、または複雑な調達プロセス 不明確な、または不存在のポリシー 限定的なトレーニング、またはガイダンス 個人的な判断への過信、またはリスクの軽視 Shadow AIの核心は、トレードオフです。認識されたリスクよりも生産性の向上が優先される場合、従業員は常に速度と効率を選択します。イノベーションを阻害せずにAIを管理する従業員はすでにAIを使用しています。事実を無視したり、行動を遅らせたりすることは、政策と実践のギャップを拡大させるだけです。組織は、コントロールから有効化へのアプローチを変える必要があります。これは、明確で実用的なガイドラインを確立することから始まります。ガイドラインは完全に成熟していなくても、方向性を提供し、曖昧さを減らし、受け入れられる使用に関する共通の理解を生み出します。しかし、ポリシーだけでは不十分です。組織は可視性も必要です。これには、従業員が安全にツールの使用状況を報告できる信頼に基づいたメカニズムを構築する必要があります。Shadow AIの恩赦期間、または匿名の報告などのアプローチは、罰則を直ちに課すことなく、重要な洞察を浮き彫りにすることができます。同時に、組織は責任を維持する必要があります。データの露出が重大、または過失の場合、結果は依然として必要かもしれません。目標は、リスクを完全に排除することではなく、賢明に管理することです。Shadowから戦略へShadow AIは、イノベーションの進み方がそれを包含するために設計された組織構造よりも速いことを示す信号です。組織は待つことができません。ガバナンスを確立することは、リスクを軽減し、可視性を回復するために重要です。しかし、ガバナンスだけでは不十分です。明確なガイドラインは、従業員がAIを安全に、効果的に使用できるようにする有効化、教育、そしてアクセス可能な代替案と組み合わせる必要があります。目標は、AIの採用を制限することではありません。AIを形作ることです。組織がそのバランスをとると、Shadow...