AIがあなたのGRC戦略をどう変えるか

Rob Schultz / Shutterstock

企業がサイバーセキュリティをGRC（ガバナンス、リスク＆コンプライアンス）プロセスに統合する中で、既存のプログラムの見直しが必要です。これにより、生成AIやエージェントAIの利用拡大とリスクを考慮し、企業がコンプライアンスを維持できるようにします。

AIに伴うリスクは定量化が難しいものの、最新のデータが手がかりを与えてくれます。セキュリティベンダーCheck Pointの「AI Security Report 2025」（データ提供でダウンロード可）によれば、企業デバイスからGenAIサービスへのリクエストのうち80件に1件が、機密データ漏洩の高リスクを伴っていました。

CISOは、企業のイノベーション要求に対応しつつ、AIのリスクを考慮したAI活用の安全確保という特有の課題に直面しています。

AIとGRCの交差点

ガバナンス、リスク＆コンプライアンス（GRC）は、Open Compliance and Ethics Group（OCEG）が2000年代初頭に開発した概念で、重要な能力群を定義するためのものです。それ以来、GRCはコンプライアンス重視のルールやチェックリストから、より包括的なリスクマネジメント手法へと進化してきました。プライバシー要件の高まり、規制強化、デジタルトランスフォーメーションの推進、経営層へのフォーカスがこの変化を後押ししています。

同時に、サイバーセキュリティは企業リスクの中核となりました。AIの普及が進む今、この新たなリスクカテゴリもGRCフレームワークに組み込む必要があります。しかし業界調査によると、そこに至るまでにはまだ道のりがあるようです。Lenovoの「CIO Playbook 2025」（データ提供でダウンロード可）によれば、AI-GRCの包括的な方針を導入している企業はわずか24％にとどまっています。にもかかわらず、調査対象者にとってAIガバナンスとコンプライアンスは最優先事項となっています。

AI導入をリスク意識のもとで進めるために、AuditBoardのCISOであるRich Marcus氏は、企業全体でリスクマネジメントの幅広い受容を促進することを同業者に勧めています。「AIリスクをうまく管理するには、協調的な姿勢を持ち、全員が一丸となって取り組む必要があることを従業員に伝えることが本当に重要です」。このアプローチは、企業内でAIがどのように、どこで使われているかの透明性向上にも役立ちます。

オーストラリア証券投資委員会（ASIC）のCISOであるJamie Norton氏は次のように指摘します。「今や、どんな製品にも何らかの形でAIが組み込まれています。しかし、すべてのAI形態を網羅するガバナンスフォーラムは存在しません」。そのためNorton氏は、CISOが戦略的かつ戦術的なアプローチを開発することを推奨しています。具体的には：

• さまざまな種類のAIツールを定義すること、
• 相対的なリスクを把握すること、
• 生産性やイノベーションにおける潜在的なメリットを評価すること。

小規模なAIツールへの対応には、Norton氏によれば、セキュア・バイ・デザインのアプローチや、シャドーAIの検出、リスクベースのAIインベントリや分類などの戦術的な施策が実用的です。CISOは、非効率的または実行不可能なプロセスを作らずに、最も影響の大きいリスクにリソースを集中できます。「すべてを遅らせて何も進まなくするのが目的ではありません。むしろ、リスク評価によってAIの承認または却下につながる、比較的スリムなプロセスです」とNorton氏は説明します。

最終的には、セキュリティ責任者がガバナンスとリスクを使い、より広範なGRCフレームワークの一部としてAIをセキュリティの観点から捉えることが求められます。「今やCISOが『イエス』か『ノー』を言う時代ではありません。むしろ、特定の施策に伴うリスクを透明化し、企業や経営陣にそのリスクについて決定を委ねることが重要なのです。」

AI向けフレームワークの拡張

Check PointのAIテクノロジー担当VP、Dan Karpati氏は、AI関連リスクを企業のリスクポートフォリオ内の独立したカテゴリとして定義し、GRCの柱に統合すべきだと提案しています。同氏のコンセプトでは、次の4つの柱が挙げられています：

• エンタープライズリスクマネジメント：AI分野でのリスク許容度を定義し、AIガバナンス委員会を設置する。
• モデルリスクマネジメント：モデルの逸脱、バイアス、敵対的テストを監視する。
• オペレーショナルリスクマネジメント：AI障害時の緊急対応計画や人間監督者の訓練を含む。
• ITリスクマネジメント：AIシステムの定期監査、コンプライアンスチェック、ガバナンスフレームワーク、ビジネス目標との整合性を含む。

これらのリスクを管理するため、CISOは例えばNIST AIリスクマネジメントフレームワーク（またはCOSOやCOBITなど他のフレームワーク）を活用し、その基本原則をAIに適用できます。たとえば、確率的な結果、データ依存性、不透明な意思決定、自律性、急速な進化などに関するものです。比較的新しいベンチマークであるISO/IEC 42001は、AIのモニタリングとコントロールのための構造化された枠組みを提供し、AIライフサイクル全体にわたるガバナンスとリスク管理の実践を定着させることを目的としています。

これらのフレームワークを調整することで、AIリスクに関する議論を深め、AI分野のリスク許容度を企業全体のリスク許容度に合わせ、全事業部門で堅牢なAIガバナンスを根付かせることができます。「ゼロから新たに仕組みを作るのではなく、セキュリティ責任者はAIリスクを具体的なビジネスインパクトに結びつけることができます」とKarpati氏は述べています。

AIリスクは他の潜在的リスクにも紐付けることができます。例えば：

• 詐欺や誤った意思決定による財務損失、
• データ漏洩による評判の失墜、
• バイアスのある結果とそれに伴う顧客満足度の低下、
• レガシーシステムとの統合不良による業務停止、
• 法的・規制上の罰則。

AI関連事象の発生確率を評価し、財務損失を推定し、リスク指標を算出するために、CISOはFAIRなどのフレームワークを活用できます。

AuditBoardのCISOであるMarcus氏は、セキュリティ責任者に対し、業界ネットワークを活用し、他社の同僚とも情報交換することを勧めています。「実際にどのようなリスクが現れているか、他社がどのように守られていたかを知ることは有益です。そうすることで、業界全体のレジリエンスを高めるための重要なコントロールや手順を共同で開発できます。」

新たなガバナンス方針の策定

しかしCISOは、リスクの定義やコンプライアンス管理だけでなく、新たなガバナンス方針の策定も必要であるとMarcus氏は強調します。「効果的なガバナンスには、AIの許容利用に関する方針が必要です。評価プロセスの最初の成果の1つは、自社の行動規範を策定することです」。社内利用のAIツールを分類するため、Marcus氏は信号機システムを提案しています。具体的には：

• 「緑」のツールは審査・承認済み、
• 「黄」のツールは追加評価が必要、
• 「赤」のツールは必要な保護措置がなく、使用禁止。

Marcus氏は、CISOとそのチームが事前に指針を定め、企業に重要なポイントを啓発し、基準に合わないものを排除することでチームの自己管理を支援することも勧めています。

ASICのCISOであるNorton氏は、AIの魅力的な表層が誰でも利用可能になった今、セキュリティチームはその裏側に目を向ける必要があると警告します。「CISOとして、イノベーションを妨げたくはありませんが、無防備なまま突き進んでデータを失わないよう、ガードレールを設ける必要があります」と同氏は述べています。（fm）

ITセキュリティに関する他の興味深い記事も読みたいですか？無料ニュースレターでは、セキュリティ責任者や専門家が知っておくべき情報を、あなたの受信箱に直接お届けします。