Zenith Live 2026：安全なAI導入は人々の働き方の理解から始まる

Zscalerが開催したZenith Live 2026カンファレンスで、CNAのチーフAIオフィサーであるGregor Goodman氏と、セキュリティオペレーション副部長のPreston Curry氏に、安全なAI導入に向けた取り組みについてお話を伺う機会がありました。 

両氏の経験は、多くの組織がいまだ学びの途中にある重要な教訓を浮き彫りにしています。AIの活用を単に義務付けるのではなく、現在の人々の働き方を理解するところから始めることが、AIプログラムを成功させる鍵だというものです。 

ゼロトラストアーキテクチャとAI利用の可視化を組み合わせることで、CNAはセキュリティを強化し、ユーザー体験を向上させるとともに、大幅なコスト削減を実現しました。

AI戦略の主なポイント

• AI導入の成功は、組織全体への義務付けではなく、ユーザーのワークフロー理解から始まる
• AIを全面遮断するとシャドーAIリスクが生まれるため、制限的なポリシーだけでなく可視化とガバナンスの方が有効
• ゼロトラストへのモダナイゼーションでセキュリティとユーザー体験の両方が向上し、CNAはレガシーVPNおよびNAC技術の置き換えと100万ドル以上のコスト削減・回避を実現しました。
• AI利用の可視化がセキュリティ判断を改善し、CNAは3万4,000件以上のAIプロンプトを分析してユーザー行動、データリスク、ガバナンス要件を把握しました。
• セキュリティプログラムは摩擦を減らすことで最大の効果を発揮し、信頼を損なうことなくセキュリティ、使いやすさ、イノベーションのバランスを実現できます。

AI戦略の再考 

今回の対話の中で、最も実践的な洞察の一つとして印象に残ったのが、GregorのAI戦略に関する見解です。 

「どうやってAIを活用するか」を問う前に、「現在何をしているのか、そしてAIはそれをより良くするためにどう役立てられるか」を問うべきだと彼は提言しています。 

この考え方が、米海軍やその他の政府機関を支援するために求められる厳格なセキュリティ基準を維持しながら、業務のモダナイゼーションを進めるCNAのアプローチを導いています。

海軍省に奉仕する連邦政府資金による研究開発センター（FFRDC）として、CNAは世界各地で重要な研究・分析活動を支援しています。 

CNAのアナリストたちは軍事施設、艦船、危機管理センターをはじめとする困難な環境で業務にあたることが多く、機密情報への安全なアクセスが不可欠です。

レガシーセキュリティモデルからの脱却

ZscalerのZero Trust Exchangeプラットフォームを導入する前、CNAは従来型VPN、ネットワークアクセス制御（NAC）ソリューション、そして複数のファイアウォールベンダーに依存していました。 

これらの技術は、運用の複雑化、スケーラビリティの課題、接続の不安定さ、リスクの増大といった問題をもたらしていました。

レガシーアーキテクチャにおける一般的な懸念の一つが、ラテラルムーブメントです。 

攻撃者がデバイスを侵害してネットワークレベルのアクセスを得た場合、環境全体を横断して移動する機会を得ることが多くあります。 

ゼロトラストのアプローチは、ユーザーが必要とするアプリケーションやリソースのみへのアクセスに限定することで、このリスクを軽減します。

GregorとPrestonによると、レガシーVPNおよびNAC技術の置き換えにより、ユーザー体験が向上するとともに、運用負荷が軽減されたとのことです。 

ユーザーはアプリケーションへより迅速にアクセスできるようになり、組織はモダナイゼーションの取り組みを通じて総額100万ドル以上のコスト削減・回避を実現しました。

AI利用の実態

機密データを扱う多くの組織と同様、CNAも当初は生成AIに対して非常に制限的なアプローチを採用していました。 

データ漏洩やコンプライアンスへの懸念から、公開されている大規模言語モデル（LLM）のほとんどがブロックされていました。

しかし、チームはすぐに多くのセキュリティリーダーが直面している課題に気づきました。セキュリティが過大な摩擦を生み出すと、ユーザーは抜け道を見つけてしまうのです。

全面的な「全拒否」ポリシーを維持する代わりに、CNAは従業員が実際にAIをどのように使っているかを理解することに注力しました。 

ZscalerのGenerative AI Securityの機能とAIに特化したデータ損失防止（DLP）コントロールを活用することで、組織はユーザーと公開AIツールとのやり取りを可視化できるようになりました。

この可視化は複数の点で価値を発揮しました。 

まず、機密情報が公開AIシステムに入力されるのを防ぐのに役立ちました。 

次に、従業員が日常業務でAIをどのように活用しているかについて、詳細な知見が得られました。 

そして、より広範なガバナンスやインサイダー脅威への取り組みを支援するデータを生成しました。

4か月の期間にわたり、CNAは3万4,000件以上のAIプロンプトを分析しました。これは以前には得られなかった可視性です。

ユーザー体験の最優先

対話を通じて、GregorとPrestonの両氏はクライアントとユーザーの体験の重要性を繰り返し強調していました。 

セキュリティプログラムは、ミッションを阻害するのではなく、それを支援することで成功します。

CNAのAIモニタリングから得られた最も興味深い発見の一つは、多くの従業員が公開LLMを主にリサーチ目的で使用していたということです。 

この知見は、適切なガバナンスコントロールを維持しながらユーザーをより良くサポートするために、専門的な内部AI機能を開発すべきかどうかについての社内議論を促すきっかけとなりました。

承認済みAIツールへの安全なアクセスを可能にすることで、CNAはプロビジョニングにかかる時間を数日、あるいは数週間から数秒にまで短縮しました。 

アナリストはより効率的に業務を行えるようになり、ITチームは例外申請の処理に費やす時間が減り、セキュリティチームは組織のリスクに対する可視性を高めることができました。

セキュリティとイノベーションのバランス 

CNAの経験は、安全なAI導入が単なる技術的な課題ではないことを示しています。 

それは人、プロセス、そして可視性の課題です。 

レガシーインフラをゼロトラストアーキテクチャに置き換え、生産性を制限するのではなく支援するコントロールを実装することで、組織は責任あるAIイノベーションの基盤を構築しました。

AI戦略を検討しているセキュリティリーダーへの教訓は明確です。まず自社の従業員が現在どのように業務を行っているかを理解し、そのワークフローを安全に支援するコントロールを構築することから始めてください。 

セキュリティ、使いやすさ、可視性のバランスを取れた組織は、信頼を損なうことなくイノベーションを加速させることができます。