非公認AI使用のリスクを軽減する

ケイラ・ウイリアムズ[*]

セキュリティ部門およびIT部門の幹部は、従業員が会社の承認なし、または会社が知らないうちにダウンロードしてインストールした技術である「シャドウ IT」の問題に長い間取り組んできた。ガートナー社は、2027 年までに従業員の75% がシャドウ IT を使用すると予測している。これは、企業が未知のリスクから保護できないため、データセキュリティに様々な悪影響を及ぼす可能性がある。

同様の状況が人工知能技術でも生じている。多くの役割につく従業員や部門の従業員が、しばしばセキュリティや IT 部門の知らないうちや同意なしに、生産性を向上させ、効率を高め、タスクを完了するために、これらのツールを試行している。AIの不正使用は1件でも多くのセキュリティリスクにつながる可能性があるため、企業は、ITチームがどのようにすれば従業員が自社が選好するAI技術にアクセスできるようにし、同時にサイバーセキュリティ災害のリスクを最小限に抑えられるかを見極める必要がある。

認可されていないAI使用のリスク

認可されていない AI に関連するリスクは、いくつかの異なる形をとる可能性がある。これらの危険の一部は、認可されているかどうかに関係なく、すべての AI ツールに関連している。AI が提供する情報の完全性には疑問が生じることがある。現在、AI ベースの技術には規則や標準が存在しないため、そのようなツールから得られる結果は完全には信頼できるものではなく、正確ではない可能性がある。AI ツールのトレーニングにどのような情報が使用されたかによっては、データにも偏りが見られることがある。

もう一つの問題は情報漏洩である。これらのツールは、しばしば、独自のデータについて訓練され、そのようなデータがいったん公に出されると、通常はそれを回収する方法はない。情報の漏洩は、GDPR、CCPA のプライバシー要件、および知的財産法に違反する可能性があり、それを認識していない企業リーダーがさらなるリスクにさらされることになる。

AI を使用するためのベストプラクティス

AI 技術とそのアプリケーションが急速に発展しているため、組織には従業員間の AI の使用を規制する 2つの選択肢がある。選択肢の 1 つは、AI を全社的に禁止し、技術的な制限をどのように設けるかを検討することである。全面禁止は良いアイデアのように思えるかもしれないが、従業員はおそらくそれを回避する方法を見つけるか、それとも仕事をより良く、より速く行うのに役立つと信じているツールの使用を禁止され、仕事をすることができないと感じるかのどちらかである。

もう一つの方法は、経営革新を可能にするソリューションを、責任を持って開発することである。しかし、利用可能な外部の規制やガイダンスはほとんどなく、企業が参照するための設定された基準もまだない。さらに、一般的に技術は、政治家や規制当局が要求事項を変更するよりもはるかに速く発展している。

組織全体の AI 使用戦略の優れた出発点は、貴社組織の使用事例に実装する価値のある AI ツールを理解することに重点を置くことである。AI ベースのツールに関連するプロバイダーからデモを入手し、それらの使用事例と実装の容易さを比較する。必要なソリューションを特定したら、従業員がそれをどのように使用するかについての指針を確立する。

貴社組織の IT および警戒姿勢がどの程度成熟しているかによっては、これらのツールの使用方法を明確にすることが困難になる場合がありうる。おそらく、脆弱性を軽減し、ハッカーが重要なシステムにアクセスする可能性を防ぐために、ユーザーがラップトップで管理者権限を持つことを禁止する厳しい制限が設けられているか、機密データの転送を防ぐためにデータ損失防止 (DLP) などのソリューションを実装している可能性があることもある。AI の使用に対して同様のルールとサポート プロセスを設定することは、非常に有益である。プライバシー、説明責任、公平性、透明性、セキュリティなどの要素を含めることを検討する。

もうひとつの重要なベストプラクティスは、スタッフを教育することである。サイバーセキュリティと同様に、知識豊富なチームが 誤ったAI の使用や、ビジネス リスクに対する防御の最前線を確立する。あなたがAI 用に作成した使用ガイドラインをスタッフがよく理解しているかどうかを確認する。安全であることが証明されており、ビジネス ニーズに対応するAI ツールの使用を許可し、スタッフに設定した規則を遵守させることで、企業は潜在的なセキュリティリスクを軽減しつつ、従業員を支援することができる。

トピックス
サイバー、新興リスク、リスクマネジメント、セキュリティ、技術

注意事項：本翻訳は“Reducing the Risk of Unauthorized AI Use ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/01/23/reducing-the-risk-of-unauthorized-ai-use ) February 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ケイラ・ウイリアムズは、セキュリティ データ分析会社デヴォ・テクノロジー社最高情報セキュリティ責任者。