サイバー防御分野でAI導入が急増、大きなガバナンスの空白が浮き彫りに

Dive Brief

SANS Instituteによるレポートは、セキュリティ部門の上級リーダー層と現場の実務担当者の間に大きな認識の隔たりがあることを示しています。

Image

Dive Brief:

  • 企業のセキュリティチームはかつてないペースでAIをセキュリティプログラムに組み込んでいますが、その拡大を支えるべきガバナンスポリシーには大きな空白が存在すると、SANS Instituteが月曜日に発表したレポートで明らかにしています。
  • セキュリティ実務担当者の10人に4人が、自社にAI導入に関する正式なポリシーが存在しないと回答しました。 また、実務担当者の6割以上が、AIモデルがどこで使われているか、どのような情報が晒されているかを把握できていないと回答しています。 
  • セキュリティ実務担当者の約75%が企業のAIに関するガバナンス業務に何らかの形で関わっている一方、半数以上がAI監査のための確立された枠組みが存在しないと回答したことも、このレポートで明らかになりました。

Dive Insight:

今回のSANSのレポートは、顧客データなどの機密情報を保護するためのガードレール整備よりもはるかに速いペースでAI導入が進んでいるという、セキュリティおよびコーポレートガバナンスの専門家の間で広く共有されている懸念を裏付けるものです。 

SANS Instituteの認定インストラクターであり、本レポートの著者でもあるマット・ブロミリー氏によれば、大きな認識のズレは、セキュリティ部門のリーダー層と、実際にセキュリティプログラムの主要業務を担う現場の実務担当者との間に存在するといいます。 

セキュリティ部門のリーダーの半数が正式なAIリスク管理プログラムを保有していると回答した一方で、実務担当者で同じプログラムの存在を認識していたのはわずか36%にとどまりました。 

「この14ポイントのギャップは、認識の問題です」と、ブロミリー氏はCybersecurity Diveに語っています。

同じプログラムに属するセキュリティ部門のリーダー層は、実際にガバナンスが機能していると信じています。しかしブロミリー氏によれば、「ツールを実際に運用している人たちには」、現場で使われている正当なガードレールが見えていないといいます。 

本レポートは、世界中のサイバーセキュリティおよびIT実務担当者536人を対象とした調査に基づいています。SANSによると、この調査には、最高情報セキュリティ責任者(CISO)、最高セキュリティ責任者(CSO)、セキュリティ担当バイスプレジデントを含む上級セキュリティリーダー57人を対象とした専用モジュールも含まれています。 

S&Pはこれまでにも、セキュリティガバナンスの強化を怠った企業は信用格付けが低下するリスクにさらされる可能性があると警告していました。 

本レポートでは、AI導入が特定のセキュリティ業務の実践方法をどのように変えつつあるかについても、いくつかの点が示されています。例えば、実務担当者の10人に6人が自組織のレッドチーム演習にAIを活用していると回答しており、これは1年前の調査時点でのわずか3分の1という数字から大きく増加しています。

翻訳元: https://www.cybersecuritydive.com/news/ai-adoption-cyber-defense-governance-gap/825179/

ソース: cybersecuritydive.com