ジェネレーティブAIの採用: ジェネレーティブAIツールのサイバーセキュリティへの影響を分析する

さて、ジェネレーティブAIが今やあらゆる企業やビジネスリーダーの注目を集めていることは間違いない。かつてはフリンジテクノロジーであり、扱うことすら困難で、ましてやマスターすることなどできなかったジェネレーティブAIの扉が、ChatGPTやDALL-Eなどのアプリケーションにより今や広く開けられた。現在、ジェネレーティブAIはあらゆる業界や年齢層で全面的にも採用されており、従業員はこのテクノロジーを活用して仕事に役立てる方法を模索している。

最近の調査によると、29%のZ世代、28%のX世代、27%のミレニアル世代の回答者が日常の仕事でジェネレーティブAIツールを使用している。2022年には、大規模なジェネレーティブAIの採用率は23%だったが、2025年までに46%に倍増することが予想されている。

ジェネレーティブAIは、まだ発展途上のテクノロジーであり、トレーニングされたモデルを使用して、文章や画像、動画、音楽、さらにはソフトウェアコードなどの様々な形式のオリジナルコンテンツを生成する。大量の言語モデル（LLM）と大量のデータセットを使用して、このテクノロジーは人間の仕事とほぼ区別がつかないユニークなコンテンツを瞬時に生成でき、多くの場合、より正確で説得力のあるものとなる。

しかし、ビジネスがジェネレーティブAIを日常の業務をサポートするために使用するにつれて、従業員も急速に採用しているものの、採用のペースと規制の欠如により、重大なサイバーセキュリティと規制コンプライアンスの懸念が生じている。

ある調査によると、一般の人々の80%以上がChatGPTやジェネレーティブAIによって引き起こされるセキュリティリスクについて心配しており、回答者の52%が規制が追いつくまでジェネレーティブAIの開発を停止すべきだと考えている。このような広範な意見は、ビジネス自身によっても反映されており、65%のシニアITリーダーがセキュリティに関する懸念からジェネレーティブAIツールへのフリクションレスなアクセスを認めることをためらっている。

ジェネレーティブAIはまだ未知の未知

ジェネレーティブAIツールはデータを食料としている。ChatGPTやDALL-Eなどのモデルは、インターネット上の外部または公開されているデータでトレーニングされており、しかし、これらのツールを最大限に活用するには、ユーザーが非常に具体的なデータを共有する必要がある。多くの場合、ChatGPTなどのツールにプロンプトを与える際、ユーザーは正確で網羅的な結果を得るために、機密的なビジネス情報を共有することになる。これにより、ビジネスには多くの未知が生じる。機密情報の未承認アクセスまたは意図しない開示のリスクは、公開されているジェネレーティブAIツールを使用する場合に「組み込まれている」ものである。

このリスク自体が必ずしも悪いことではない。問題は、これらのリスクがまだ適切に調査されていないことである。現在までに、広く利用可能なジェネレーティブAIツールを使用することによるビジネスへの影響に関する分析は行われていない。また、ジェネレーティブAIの使用に関するグローバルな法的および規制フレームワークはまだ成熟していない。

規制はまだ進行中

規制当局は、すでにジェネレーティブAIツールを、プライバシー、データセキュリティ、および生成されるデータの完全性の観点から評価している。ただし、発展途上のテクノロジーの場合と同様に、規制フレームワークはまだ数歩遅れている。企業や従業員がこのテクノロジーを幅広く使用している間、規制フレームワークはまだ草案の段階にある。

これにより、現在、企業にとって明らかで現実的なリスクが生じている。これは、まだ十分に重視されていない。幹部は、このプラットフォームが自動化や成長の機会などの実質的なビジネス上の利益をもたらす方法に興味を持っているが、リスクマネージャーは、このテクノロジーがどのように規制されるか、法的影響がどのようなものになるか、企業のデータがどのように危殆化または暴露されるかを尋ねている。多くのツールは、ブラウザとインターネット接続があれば誰でも利用できるため、規制が追いつくまで、企業はジェネレーティブAIの使用に関する独自の「社内ルール」について慎重に検討する必要がある。

ジェネレーティブAIの統治におけるCISOの役割

規制フレームワークがまだ不足しているため、チーフ・インフォメーション・セキュリティ・オフィサー（CISO）は、組織内でのジェネレーティブAIの使用を管理する上で重要な役割を果たす必要がある。彼らは、誰がこのテクノロジーを使用しているか、その目的を理解し、従業員がジェネレーティブAIツールとやり取りするときに企業情報を保護する方法、根本的なテクノロジーのセキュリティリスクを管理する方法、セキュリティのトレードオフとテクノロジーが提供する価値をバランスさせる方法を理解する必要がある。

これは簡単な仕事ではない。潜在的な結果を決定するために、テクノロジーを公式に導入した場合と、従業員が自由に利用可能なツールを使用することを許可した場合の、悪影響と好影響の両方について詳細なリスク評価が行われる必要がある。ジェネレーティブAIアプリケーションの簡単なアクセス性を考えると、CISOは社内ポリシーについて慎重に検討する必要がある。従業員はChatGPTやDALL-Eなどのツールを使用して仕事を簡単にすることを許可されるべきか。あるいは、これらのツールへのアクセスを制限または制御するべきか。内部ガイドラインや使用方法に関するフレームワークが必要である。明らかな問題の1つは、社内使用のガイドラインが作成されても、テクノロジーが進化するペースのため、最終化されるまでに古くなってしまう可能性があることである。

この問題に対処する1つの方法は、ジェネレーティブAIツール自体ではなく、データの分類と保護に焦点を当てることである。データの分類は、データが侵害または漏洩されるのを防ぐ上で常に重要な側面であった。これは、この特定のユースケースにも当てはまる。データに機密性のレベルを割り当てることを伴う。暗号化されるべきか。封じ込められるべきか。通知されるべきか。誰がアクセスを許可されるべきか。どこで共有を許可されるべきか。データの流れに焦点を当てると、ツール自体ではなく、CISOやセキュリティ担当者は、上記のリスクのいくつかを軽減する可能性が大幅に高くなる。

ジェネレーティブAIは、他の新興テクノロジーと同様に、ビジネスにとっては機会とリスクの両方である。自動化や創造的な概念化などの新しい機能を提供する一方で、データセキュリティや知的財産の保護に関する複雑な課題も引き起こす。規制および法的フレームワークがまだ検討中である間、企業は自ら規制を整える必要がある。自社のセキュリティポストを反映したポリシーコントロールを実施し、機会とリスクのバランスを取る必要がある。ジェネレーティブAIはビジネスを前進させるが、ハンドルを握ったままにしなければならない。