Dive Brief
まだ被害を受けていない組織でも、近い将来AIに関連するインシデントが発生すると予測していることが、新たな調査で明らかになりました。
Dive Brief:
- macOSネットワークを運用する組織の5分の1以上が、AIツールの使用が原因で金銭的損失を被ったり、サイバー攻撃を受けたりしていることが、ネットワーク管理ベンダーのJamfが火曜日に公開したレポートで明らかになりました。
- macOSを基盤とする組織の約6割が、近い将来AIに関連するインシデントが発生すると予測していることも、調査によって判明しました。
- 本レポートは、macOSネットワーク環境を管理する687人のITおよびセキュリティリーダーへのインタビューをもとに作成されており、システム管理者のAI導入における優先事項、直面する主なリスク領域、およびそれらのリスク軽減に向けたJamfの推奨事項についても詳述しています。
Dive Insight:
Jamfのレポートによると、macOSを基盤とする企業はAIを圧倒的な規模で活用しており、約73%がすでに導入済みと回答し、さらに20%が導入を検討中と答えています。しかし、AI導入を監督するネットワーク管理者はさまざまな危険に直面しています。
最大かつ最もよく知られたリスクがシャドーAIです。これは従業員が承認されていない未管理のAIツールを使用することを指します。「使用されているAIシステムをITが把握できていない場合」、その「可視性の欠如がセキュリティとガバナンスを困難にし、場合によっては不可能にする」とJamfは述べています。
エージェント型AIは企業内で普及が進んでいますが、こちらにもリスクが伴います。ITおよびセキュリティリーダーたちは、「データを危険にさらすことなくユーザーが活用できる形で」AIエージェントを展開することに苦心しているとレポートは指摘しています。「適切な権限が与えられている場合、エージェント型AIは不安全または問題のあるコードが追加されたり、必要なコードが削除されたりすることで、コードベースに深刻なリスクをもたらします。」
多種多様なAIベンダーの存在も、調達を担うテクノロジーリーダーにとって問題となっています。「AIの進化スピードを考えると、あらゆるAIツールを審査・展開するのはITチームにとって時間がかかり、非常に難しい作業です」とJamfはレポートの中で述べています。
AIの従量課金モデルも、組織にとって予期せぬ問題を引き起こします。ガバナンスの欠如によりIT管理者が自組織で保有する有料ライセンスの数や、コストに見合った価値を提供しているツールを把握できていないことで、この課題はさらに深刻になっています。
こうした課題に対処するには強固なAIガバナンスが不可欠ですが、ガバナンスは調査回答者の優先事項リストで3位にとどまっています。1位はITマネジメント業務の自動化、2位はAIによる従業員の生産性向上でした。AIセキュリティの改善は5位でした。
AIの導入が進むにつれ、ガバナンスはより喫緊の課題となっていきます。Jamfのデータは、組織のAI活用の深さとAI関連インシデントの発生確率との間に相関関係があることを示しています。AIを探索中の組織ではインシデント発生率が20%未満と最低水準にとどまる一方、AIをワークフローに「深く統合」した組織では27%と最高水準に達しています。
AIリスクへのエクスポージャーを抑制するため、Jamfは組織に対して次の取り組みを推奨しています。定期的な監査によって可視性を高めること、ユーザーガバナンスよりもソフトウェアガバナンスを重視すること(厳格に運用されるデータアクセスポリシーの整備を含む)、可能な限り早期の導入段階からガバナンスを組み込むこと、そして最もスムーズな運用のために可能な限り組み込みツールを活用することです。
翻訳元: https://www.cybersecuritydive.com/news/ai-cybersecurity-incidents-governance-jamf/823026/
