中小企業はどのようにAIガバナンスに対応できるのか？

人工知能(AI)の採用が組織全体で加速するにつれ、セキュリティリーダーは、従業員が日常のワークフローにAIを統合する速度に合わせてガバナンスフレームワークを調整することに苦労しています。

BlumiraのCEO兼共同創業者であるMatt Warnerによると、中小企業(SMB)組織は、AI革新を実現する圧力を受けながら同時にガバナンス、コンプライアンス、セキュリティ管理を維持する必要があります。

「AIの採用は誰も準備ができていないペースで成長しています」とWarnerはeSecurityPlanetとのAIガバナンスと運用セキュリティに関する最近のディスカッションで述べました。

彼はOpenAIとAnthropicの最近の進歩により、大規模言語モデル(LLM)の改善がユーザーの信頼を高め、組織全体での採用を加速させたことに注目しました。

中小企業とAIガバナンスの主要なポイント

• 中小企業は多くの組織が効果的に管理・保護できるより速いペースでAIを採用しています。
• 制限的なAIポリシーは、組織全体でシャドウAIおよびシャドウITリスクを意図的に増加させる可能性があります。
• AIガバナンスは技術リーダーシップによって主導されるべきで、コンプライアンスイニシアチブのみとして扱われるべきではありません。
• 多くの中小企業には、エンタープライズスケールでAIを安全に展開するために必要なスタッフとリソースが不足しています。
• 組織は、小規模で管理されたAI展開と承認されたプラットフォームから始めることで最大の成功を見ています。

中小企業のAIガバナンスの課題と実践的なソリューション

中小企業がAIガバナンスに苦労する理由

組織が直面する核となる課題の1つは、セキュリティ管理と使いやすさのバランスを取ることです。

Warnerは、大企業がすでにSOCでAIエージェントを使用してワークフローを自動化している一方で、多くの小規模組織はAIをスケールで安全に展開するために必要なスタッフとリソースが不足していることを説明しました。

「大規模な郡または小規模組織である場合、数十万のユーザーをサポートするIT担当者は1～2人だけかもしれません」とWarnerは述べました。

「彼らの焦点はより広いです。彼らはAI効率をワークフローに組み込むために座ってそれを構築する時間を必ずしも持っていません。」

Warnerによると、このリソースギャップは、大企業と中小企業およびミッドマーケットスペースの「他の99%」との間の分裂を広げています。

エンタープライズ組織がAIエージェントの構成、Microsoft Sentinelなどのプラットフォーム統合、セキュリティ操作の自動化に専念できる一方で、小規模組織はまだ基本的な運用セキュリティとガバナンスの懸念に焦点を当てていることが多いです。

同時に、AI使用を完全に制限しようとする組織は、意図せずにシャドウAIの問題を作成する可能性があります。

Warnerは、組織が承認された代替案や明確なガイダンスを提供しない場合、従業員は頻繁に制限的なAIポリシーの周りに方法を見つけることに注目しました。

「私たちはシャドウITの昔を見ていますが、今はみんなです」とWarnerは説明しました。「組織が使用可能なソリューションを提供せずに1つのAIプラットフォームをブロックする場合、従業員は別の方法でそれを使用する方法を見つけます。」

可視性からAIガバナンスを開始する

全面的なAI禁止の実装ではなく、Warnerは組織が最初に部門全体で従業員がどのようにAIツールを使用しているかを理解することから始めることを推奨しています。

彼によると、最初の実践的なステップは、承認されたAIプラットフォームを選択し、チームと使用パターンについてオープンに議論することです。

「今日、人々は何をしていますか？彼らはどのAIを使用していますか？彼らはどのような問題を解決しようとしていますか？」とWarnerは述べました。「AIガバナンスを効果的に行う前に、人々がすでにAIをどのように使用しているかを理解する必要があります。」

WarnerはAIプラットフォームをMicrosoft 365やGoogle Workspaceなどの既存の環境に直接統合することは、組織が適切なアクセス管理を欠いている場合、機密データを意図せずに公開する可能性があることを注意しました。

彼は特にSharePointの権限を、AIコパイロットとエージェントを展開する際に組織が意図したより多くの情報を誤って公開する可能性がある領域として強調しました。

Warnerによると、成功した組織は通常、管理された「ウォールドガーデン」環境内でAIを実装することから始めることで小規模に開始し、時間をかけて段階的に採用を拡大しています。

これにより、チームは摩擦点を特定し、ガバナンス管理を検証し、AIシステムが組織データとどのように相互作用するかをより良く理解できます。

中小企業がAIガバナンスを改善するために講じることができる5つの実践的なステップ

中小企業およびミッドマーケット組織の場合、AIガバナンスは複雑なエンタープライズフレームワークまたは大規模なセキュリティチームで始まる必要はありません。Warnerによると、組織は多くの場合、使いやすさとセキュリティ監視のバランスを取る、より小規模で管理された実装から始めることで最大の成功を見ています。

中小企業がAIガバナンスを改善するために講じることができる5つの実践的なステップがあります：

• 従業員がすでに部門全体で使用しているAIツールを特定し、彼らが解決しようとしているビジネス上の問題を理解します。
• 組織全体で複数のパブリックAIサービスの制御されない使用を許可する代わりに、承認されたAIプラットフォームを標準化します。
• AIコパイロットまたはエージェントを統合する前に、Microsoft 365、SharePoint、Google Workspaceなどのプラットフォーム内のデータアクセス権限を確認します。
• 組織全体の使用を拡大する前に、「ウォールドガーデン」環境内で小規模で管理されたAI展開から開始します。
• 技術リーダーシップの所有権を割り当てて、AIガバナンスを監視し、管理を検証し、摩擦を軽減し、AI採用をビジネス目標に合わせます。

これらの基礎となるステップはAIリスクを軽減するのに役立つことができますが、Warnerは長期的なAIガバナンスの成功は最終的に強力な技術リーダーシップに依存していることを強調しました。

AIガバナンスは技術リーダーシップから始まる

WarnerはまたAIガバナンスはコンプライアンスまたはエンジニアリング上の問題のみとして扱われるべきではないことを強調しました。

その代わり、彼はAIガバナンスはCTO、CISO、およびエンジニアリングの責任者を含む技術リーダーシップによって所有および駆動されなければならないと信じています。

「それを純粋にコンプライアンスの問題にすることで、従業員をより効果的にする能力を失うことになります」とWarnerは述べました。「AIガバナンスはビジネスが改善、成長、そしてより速く動きたい方法と一致する必要があります。」

Warnerによると、技術リーダーシップはセキュリティ、ガバナンス、運用効率、およびユーザーのエンパワーメントのバランスを取る最適な立場にあります。

エグゼクティブレベルの技術所有権がない場合、組織は過度に制限的なポリシーを作成する危険性があり、従業員は最終的にそれを回避します。

彼はまた、多くの組織がAIそのものを活用してガバナンス管理を検証し、AIシステムの動作を監視していることに注目しました。

一部の組織は、マルチエージェントAIモデルを使用してデータアクセス境界をテストし、出力を検証し、幻覚率を自動的に測定しています。

「私たちはAIを判断するためにAIを使用している組織を見ています」とWarnerは説明しました。「それは出力を検証し、継続的にガバナンス管理をテストするための最も効果的な方法の1つになりつつあります。」

AI採用はガバナンスを上回っている

AIガバナンスに関する会話は、従来のコンプライアンスの議論を超えて急速に進化し、より広い運用リーダーシップの課題になっています。

組織がAIエージェント、コパイロット、および自動ワークフローをますます採用するにつれて、セキュリティチームはガバナンス、アクセス管理、およびシャドウITに対する長年のアプローチを再考することを余儀なくされています。

特に中小企業およびミッドマーケット組織では、課題はもはやAIを採用するかどうかではなく、すでにリソースが限定的なITおよびセキュリティチームに圧倒されることなく責任を持って実装する方法です。

AI採用が引き続き拡大するにつれて、組織はゼロトラストソリューションを使用してアクセスを制御し、シャドウITおよびシャドウAIリスクを軽減しています。