ダイブ・ブリーフ
OktaのレポートによりAIセキュリティへの懸念が高まる中、経営幹部と従業員の間で利用ポリシーをめぐる対立が生じている。
初出掲載先
ダイブ・ブリーフ:
- ほぼすべての経営幹部が従業員のAI利用は責任ある行動だと確信しているが、シャドーAIが組織に忍び込んでいることが、水曜日に公開されたOktaの調査で明らかになった。従業員の半数以上が承認なしに個人用AIツールを使用していると回答しており、セキュリティプラットフォームプロバイダーが市場調査会社 約300名のIT経営幹部と500名のナレッジワーカー を対象に、調査会社Apprize360と共同で実施した調査で判明した。
- 従業員は生産性向上を理由に未承認のAIツールを使用しており、内部メッセージ、人事関連情報、機密社内文書へのアクセスをそのツールに許可していると回答している。この慣行はセキュリティリスクを高めており、58%の経営幹部が昨年、自社でAI関連のセキュリティインシデントまたはヒヤリハット事例が発生したと報告によれば述べている。
- AIの利用ポリシーが不明確だったり、個人用AIツールを禁止したりすることが、実際にはシャドーAIの利用を増加させる可能性があると、OktaのAIセキュリティ担当SVP兼GMであるHarish Periがメールで述べた。「従業員とより協力的なアプローチを取ることで、リーダーはチームが使用している未承認ツールに代わる、公認のエンタープライズグレードの代替手段を提供できます。」
ダイブ・インサイト:
経営幹部は、自分たちが設定したAI利用ポリシーは明確かつ一貫していると強く感じている。しかし、Oktaのレポートによると、その認識は従業員には伝わっていない。従業員の半数以上が、自社のポリシーは不明確、見つけにくい、または存在しないと述べている。
特に米国の従業員は、生産性の空白を埋めるために未承認のツールに頼っている。米国在住の従業員の3分の2が未承認のAIを使用しており、約4分の1が定期的に使用していることが報告から判明した。
シャドーAIの利用は通常、悪意からではないとPeriは述べており、締め切りに間に合わせたり特定の問題を解決したりするために、新しいツールやエージェントを試したい従業員の意欲から生じていると説明した。AIツールがどのようなデータにアクセスするか、またその期間について、従業員は通常把握していない。
「リスクは必ずしも意図によるものではなく、従業員が可視性、ガバナンス、または一貫したセキュリティ管理について十分に考慮せずに実験しているために生じています」と彼は述べた。
組織は、生産性向上のために従業員が何を必要としているか、また自社のAIサービスに何が欠けていると感じているかを理解するために、従業員と協力的なアプローチで取り組むべきだ。そこから、AIツールを安全に試用できるセキュアなサンドボックスを提供するガバナンスフレームワークを確立することができる。
「サイバーセキュリティにおける古くからの格言として、見えないものは守れないというものがあります」とPeriは述べた。「どのようなエージェントが存在するか、あるいはそれらが自社環境のどこにいるかを把握していなければ、アクセスポリシーを確実に適用する方法はありません。」
Periは、多くのテクノロジーリーダーがAIガバナンスに対して管理できているという幻想を抱いているが、大半のポリシーは頻繁な更新とセキュリティチェックが必要だと述べた。彼はエンタープライズリーダーに対し、エージェントが何にアクセスできるか、何をする許可が与えられているかを定期的に自問することを推奨している。
「それらの質問に答えられないなら、手探り状態で飛んでいるようなものです」とPeriは述べた。「それが今日、セキュアなエージェント型エンタープライズを運営するための基準です。」
翻訳元: https://www.cybersecuritydive.com/news/shadow-ai-enterprise-data-policies-okta/821344/
