従業員がAI執筆アシスタントをインストールしたり、IDEにコーディングコパイロットを接続したり、新しいブラウザツールで会議を要約し始めたりする時、それは生産的な従業員が当然すべきことを行っています。つまり、仕事をより速く行う方法を見つけることです。
今日、ほとんどの組織では従業員が毎日3~5つのAIツールを実行しています。これらのほとんどはITによってレビューされていません。かなりの部分がOAuthトークンまたはブラウザセッション経由で企業データに接続しており、従業員が意図していなかった共有ドライブ、メール、内部ドキュメントへのアクセス権を付与しています。セキュリティチームはこれらのいずれについても可視性を持っていないことがほとんどです。
これはシャドウAIギャップであり、急速に拡大しています。ほとんどのセキュリティツールは企業ネットワークを流れるメールとネットワークトラフィックを監視するために構築されています。ブラウザベースのAIツールがクイックログイン承認経由で企業データに接続する場合、企業ネットワークを全く通過しないため、これらのコントロールを完全に回避します。
アダプティブセキュリティの調査によると、現在80%の従業員が職場で未承認の生成AI応用を使用しており、正式なAIガバナンスポリシーを導入している企業はわずか12%です。その結果、従業員がどのように仕事をするかと、セキュリティチームが見ることができるものの間に、ますます大きなギャップが生まれています。
AI採用を安全で可視的で承認された経路へと導くプログラムは、セキュリティチームが必要とする可視性と従業員が必要とするツールの両方を提供します。以下の5つのステップは、それを構築する具体的な方法を示しています。
ステップ1:何が実行されているかの全体像を把握する
セキュリティプログラムが管理できるのは、見ることができるものだけです。最初のステップは、組織全体でどのAIツールが使用されているかを発見することであり、ほとんどのセキュリティチームはその答えが意外なものであることに気づくでしょう。
シャドウAIアクティビティの大部分は3つの領域に集中しています。
-
OAuth接続。ほとんどのAIツールはOAuth経由でGoogle WorkspaceまたはMicrosoft 365へのアクセスをリクエストし、企業データに対する読み取り/書き込み権限を付与します。接続されたサードパーティアプリの四半期ごとの監査では、通常、セキュリティチームがレビューしたことのないツールが数十個浮かび上がります。
-
ブラウザ拡張機能。多くのAIツールはブラウザ拡張機能として実行され、オペレーティングシステムには全く接触しないため、従来のエンドポイント管理ツールは完全に見落とします。ブラウザ管理ソリューションまたは従業員デバイスにインストールされた軽量エージェントを使用することで、組織全体でどの拡張機能がアクティブかをスキャンして特定できます。
-
既に承認されたツール内に含まれるAI機能。Microsoft Copilot、Google Gemini、Salesforce Einsteinは、元のベンダーレビュー後に導入され、多くの場合個別のセキュリティ評価がないままで導入されるAI機能の例です。
簡単な従業員調査も実施する価値があります。従業員がより安全に仕事をするのを支援することに焦点を当てた調査は、率直な回答を得る傾向があります。多くのシャドウツールは、自動化された発見では完全に見逃す調査から浮かび上がります。
このステップの目標は、現在の正確なインベントリです。使用されているすべてのAIツール、誰がそれを使用しているか、およびアクセス権を持つデータを把握することです。
ステップ2:従業員と協働するポリシーを作成する
ほとんどのAI利用規定が停滞する理由は同じです。禁止ツールのリストを従業員に提供するが、承認されたパスがどのように見えるかについてのガイダンスが無いのです。実用的なガイドとして設計されたポリシー、つまり承認されたツールを特定し、新しいツールをリクエストするための明確なプロセスを提供するポリシーが、従業員が良い決定を下すために必要な基盤です。
効果的なAIガバナンスポリシーは5つの要素をカバーしています。
-
承認されたツールの現在のリストと、それらを見つける場所。
-
顧客記録、ソースコード、財務情報を含む、どのカテゴリのデータをAIツールに入力すべきでないかを指定する明確なデータ分類ルール。
-
各承認ツールについて検証されたデータトレーニングオプトアウトステータス。多くのAIツールは、エンタープライズ設定が明示的に構成されていない限り、デフォルトでモデル改善のために企業入力を使用します。機密データを処理するツールについては、オプトアウトが確認されたものに限定すべきです。
-
新しいツールをリクエストするための定義されたプロセスと目標期間。
-
なぜこれらのガイドラインが存在するのかを平易な言葉で説明したもの。
最後の要素は見かけよりも重要です。OAuth接続がデータ露出リスクを伴うことを理解している従業員は、そうした推論をすべてのツール選択に適用します。推論が含まれるとき、ポリシーは教育へと変わります。
ステップ3:新しいツールリクエスト用の高速化パスを作成する
シャドウAIは、公式な承認プロセスがAI製品リリースの速度に追いつけない組織で最も速く成長します。今日ツールが必要で6週間のセキュリティレビューに直面する従業員は、数日以内に回避策を見つけてしまいます。このステップの目標は、こうした障壁を取り除くことです。
-
ほとんどのAIツールリクエストは完全な調達レビューを必要としません。定義された評価基準を持つ構造化されたフォームで、大多数の低リスクツールには十分です。
-
構造化されたフォームと定義された評価基準があれば、より速い意思決定が可能になります。データアクセスが限定されているツールの場合、評価基準が文書化され、一貫して適用されれば、多くの組織はより短い期間での検討が可能と判断しています。
-
評価基準には、データアクセススコープ、ベンダーのセキュリティプラクティス、データトレーニングオプトアウトステータス、コンプライアンス認定、および承認リストに既に同等の機能を持つツールがあるかどうかが含まれるべきです。
承認されたツールリストを公開し、最新に保つセキュリティチームは、通常、シャドウAI使用の大幅な削減を見ます。従業員が適切なツールを見つける場所を知っていれば、彼らはそれを使用します。
ステップ4:監視を共有セーフティレイヤーとして使用する
組織全体のAIツール使用法に対する継続的な可視性は、同時に2つのグループに利益をもたらします。
-
セキュリティチームは、インシデントになる前に露出を特定および対処するために必要なリアルタイムの状況を把握できます。
-
従業員は、自分たちだけでは持ち得ない形の保護を得ます。つまり、使用しているツールが認証情報や企業データを危険にさらしている可能性があることを知らせるシグナルです。
ブラウザネイティブの監視アプローチは、従業員のウェブトラフィックを迂回させたり、日常業務に摩擦を加えたりすることなく、セキュリティチームにAIアクティビティへの可視性を提供します。キャプチャされるシグナルは各従業員のより広いリスクプロフィールに統合され、フィッシングシミュレーション結果やトレーニング完了データと一緒に1箇所に集約されます。
危険な行動が複合するため、この統合ビューが重要です。フィッシングリンクをクリックし、トレーニングをスキップし、機密データへのアクセス権を持つ未承認のAIツールを実行する従業員は、単一の行動から予想されるよりもはるかに高いリスクをもたらします。1箇所でフルピクチャを見ることで、セキュリティチームは最も注意が必要な従業員に焦点を当てられます。
ステップ5:良好なセキュリティ行動を容易にする
安全な選択を最も簡単な選択にするセキュリティプログラムが、従業員が従うものです。AIガバナンスの文脈では、2つのことがそれを実現します。ジャストインタイムコーチングと、ルールの背後にある推論を説明するトレーニングです。
ジャストインタイムコーチングは、従業員が未承認のツールを使用しようとする瞬間に、簡潔で文脈的なプロンプトを提供します。これは四半期ごとのトレーニングモジュールより効果的です。なぜなら、介入が決定の瞬間に発生するからです。よく設計されたプロンプトは、懸念事項を従業員に伝え、承認された代替品を示し、30秒以内に読めるものです。
AIガバナンスポリシーの背後にある推論を説明するトレーニングは、従業員がトレーニング自体の後に発生するツールや脅威を含む、あらゆる状況に適用できる判断力を構築します。AIツールの状況は十分に速く変化しており、トレーニングプログラムが特定のケースすべてを予測することはできません。
OAuth接続が企業Google Workspaceに対して、共有ドライブ全体を第三者ベンダーに露出させ得ることを理解している従業員は、その理解を6ヶ月前には存在しなかったツールに適用します。
チームの仕事方法に基づくセキュリティプログラムの構築
AI採用は、生産的なチームが仕事をうまく行っていることのシグナルです。その勢いの周りに実用的なプログラムを構築し、承認されたツールへの明確なパスとセキュリティチームのリアルタイム可視性を備えた企業は、これに最も上手に対応する傾向があります。
このギャップを埋めるセキュリティチームは、シャドウAI使用が時間とともに有機的に減少することに気づきます。ブラウザネイティブの可視性、承認されたツールへの明確なパス、リスクの瞬間でのジャストインタイムコーチングがそれを実現させるものです。
従業員が効果的で承認されたツール、および新しいツールをレビューするための高速で透明なパスにアクセスできれば、システムを回避する動機はほぼ消え去ります。
アダプティブセキュリティのAIガバナンス製品は、セキュリティチームに、組織全体で実行されているあらゆるAIツールとシャドウアプリへのリアルタイム可視性を提供し、自動化されたポリシーとジャストインタイムの従業員コーチングが組み込まれています。
