ソートリーダー
企業はAIアプリケーションの過負荷に対処するべきか?
非個人用コンピューティング
技術の開発は、コンピューティングをよりアクセスしやすくするという欲求によって推進されてきた。スマートフォン、タブレット、ラップトップ、ウェアラブルテクノロジーと呼ばれる一般的な傾向は、コンピューターとその機能をより個人用にしている。業界の基盤となる用語を考えてみよう。「パーソナルコンピューター」、またはPC、「i」ポッド、パッド、フォンなど。これらのデバイスはすべて、ユーザーのデジタルエクスペリエンスをストリームライン化し、拡張により彼らの生活を助けるために設計されている。
人工知能(AI)の開発、特に大規模言語モデル(LLM)とエージェントソリューションは、基本的に同じ方向に進んでいる。PCやiPhoneのように、ChatGPTのようなAIツールは、検索、編集、ブレインストーミングなどのコンピューティング活動を一般大衆にアクセスしやすくした。しかし、このアクセス性の向上は、使用量の増加とともにリスクも増加させている。
毒性のあるコネクタや意図しない検索エンジンのインデックス付けを通じて、プライベートAIの使用に対する脅威は、保護することがますます困難になっている。どのツールを誰が使用しているのかという不確実性を加えると、企業は脅威の増大と不十分な保護の完全な嵐に直面する。AIツールの約束とそれを保護する方法の不確実性を考えると、テクノロジーを重視する企業はどうすればよいのか?
非公認AIアプリの成長
2025年には、700万人の日次ユーザーを超え、ChatGPTの使用量は年間で4倍以上に増加した。ただし、これらのユーザーのうち500万人だけが有料のビジネス顧客である。これにより、ユーザーベースの残りの695万人以上は、個人または非公認のビジネスユーザーとなる。この数字は大きく見えるが、ChatGPTは市場にある唯一のAIソリューションではないことを覚えておく必要がある。実際、AIと機械学習の進歩の現代的な爆発により、数百万の新しいモデルとソリューションが、公開と非公開の両方で生成された。
企業にとって、AIソリューションの指数関数的な成長は、「Shadow AI」と呼ばれるサイバー脅威の新しい次元をもたらした。「Shadow IT」という現象と同様に、この概念は、組織の事前の検証と明示的な承認なしに従業員がAIソリューションを使用することによって生じる。つまり、すべてのITとセキュリティの管理を回避し、従業員が機密性の高い作業に潜在的に危険または不確実なソリューションを使用するシナリオが生じる。
Shadow AIの使用は広範囲にわたっており、拡大している。一つの報告書によると、平均して320以上の非公認AIアプリが企業で使用されている。従業員によって使用されるこれらの非公認アプリは、脅威の風景をさらに拡大する。
AI過負荷の固有のリスク
AI過負荷に関連する脅威は多面的であり、不幸にも継続的に拡大している。データポイズニング、プロンプトインジェクション、モデル操作、データスクラピングなどのものは、一般的に知られている。これらのAI操作と悪用の直接的な試みは、機密性の高い企業データと内部システムへのアクセスを悪意のあるアクターに与える可能性がある。企業はこれらのリスクに対して積極的に保護している。
しかし、企業は知っている脅威に対してのみ保護することができる。中世の城塞を守ることを考えてみよう。壁、見張り塔、門、堀などが、城塞を外部の敵や侵入者から守るのに役立つ。ただし、キッチンのスタッフが外壁を迂回する秘密の通路を持っている場合、または大声のガードが近くの酒場で交代の時間について話している場合、どのような脅威でもセキュリティを回避し、内部の壁を突破する可能性がある。
Shadow AIは、企業のデータセキュリティにも同様の影響を与える。非公認のLLMやコパイロットの善意的な使用は、データの保護に災難をもたらす可能性がある。どのようなLLMの使用も、データの保持、プロンプトインジェクション、またはモデルバイアスなどの問題のリスクを高める。これらは、それぞれ独自のセキュリティ対策を必要とする。データ漏洩、コンプライアンス違反、運用上の故障のリスクが高まり、多くの場合、これらのリスクはすでに損害が生じた後にのみ特定される。
AIソリューションへのコントロールの確立
AIの使用が個人レベルと企業レベルで拡大し続けるにつれて、組織はAIソリューションに対するコントロールを確立することが重要である。AIの使用が制御不能なまでに拡大する前に、企業はこれらのソリューションに対するコントロールを確立する必要がある。企業のAIを保護し、非公認のAIリスクに対して保護するには、以下の点が含まれる。
- 包括的な可視性の獲得。 上で述べたように、認識していない脅威に対してデータを保護することはできない。セキュリティは、従業員が使用しているすべてのAIソリューション(公認および非公認)に対するオーバーサイトから始まる。これは容易に言うことができるが、クラウドアクセスセキュリティブローカー(CASB)ソリューションを使用して、従業員のアプリケーションの使用状況に関する継続的な可視性を確立することができる。
- 徹底的なリスク評価の実施。 チームは、すべてのAIソリューションがセキュリティと潜在的なリスクに対して評価されることを保証するために、TPRM努力を実施する必要がある。これらの努力は、CRMまたは生産性プラットフォームなどの公認アプリケーションに埋め込まれた外部LLM機能を含む4次元レベルまで拡大する必要がある。これらの4次元ソリューションは、内部で承認されたアプリケーションと同じセキュリティ基準を満たす必要がある。
- ガバナンスフレームワークの確立。 ソリューション全体と理解に基づいて、組織は一貫したAIガバナンスポリシーフレームワークを開発し、アプリケーションエコシステム全体に展開することができる。データアクセスと同様に、これらのガバナンスポリシーは、従業員がアクセスできるAIソリューションの種類、共有できる情報、日常の使用の透明性を制御するのに役立つ。
- リスク検出の自動化。 AIの採用の指数関数的な成長により、手動でのリスク検出と対応はほぼ不可能になる。ガバナンスポリシーと予想されるユーザーの行動に基づいてこれらのプロセスを自動化することで、異常を事前に特定し、セキュリティ上の影響を制限することができる。
- 従業員の期待の説明。 安全なAIの採用と使用の最も重要な部分は、従業員である。適切なトレーニングを提供し、明確な期待を設定することで、リスクのあるAIの使用を同時に防止し、公認および保護されたソリューションの安全でビジネスを推進する使用を強制することができる。
セキュアなAI採用の維持
これらの種のプロアクティブなセキュリティ対策を確立することで、企業は、公認および「影」にあるAIソリューションの使用方法に関するより包括的な理解を得る。セキュリティにすぐれた影響があり、チームが既存のリスクと脅威ベクターを特定し、それに対処するための措置を講じることができる。
しかし、より重要なのは、これらの企業が長期的なAIの成功を達成することである。技術的な基盤を確立し、AIユーザーの中にセキュリティ第一の文化を創造することで、この多面的アプローチは、将来のAIツールに対する持続可能なモデルを助ける。技術的な支援と適切なトレーニングを提供することで、従業員はAIの利点を享受することができ、同時にその固有のリスクに悩まされることはない。
組織がこれらの変更をできるだけ早く行うと、AIソリューションの将来に最もよく準備される。AIの採用のチェックボックスを単にチェックするのではなく、フロントエンドの作業に取り組むことで、強固な基盤を創造することで、チームはAI駆動の持続可能な成功のために最も良い位置に立つことができる。
