経営幹部がシャドーAI対策を骨抜きにしている

上級意思決定者の3人に2人近くが、リスクを承知の上で未承認のAIツールを使用していると回答しています。この事実は、ITおよびセキュリティ部門のリーダーを難しい立場に追い込んでいます。

シャドーITは長らくCISOにとって大きな悩みの種でしたが、実は最大の問題は経営幹部層による未承認AIへの渇望から生じているのかもしれません。

MicrosoftのソリューションパートナーであるTrustedTechが実施した調査によると、上級意思決定者の3人に2人近くが未承認のAIツールを使用していると認めており、これは一般従業員の31%と比べてはるかに高い割合です。

従業員の4人に3人がセキュリティやデータプライバシー上のリスクを認識しているにもかかわらず、シャドーAIの利用は上級幹部の間で広く浸透しています。

TrustedTechは白書の中で次のように述べています。「シャドーAIの利用者の多くは、リスクを知らないわけではありません。それでも意図的にこれらのツールを使うことを選んでいるのです。これはトレーニングの問題ではなく、組織文化やインセンティブ、代替手段の問題です」

多くの場合、この問題は承認済みツールの不足が原因になっていると同レポートは指摘しています。

「従業員がシャドーAIを使うのは、勤務先が提供するツールが主流のAIツールより劣っているか、そもそも何も承認されていないからです」とレポートは述べています。「承認済みツールが本当に使う価値のあるものにならない限り、この状況は変わりません」

権限をめぐる問題

CEOをはじめとする経営幹部によるシャドーAIの利用は、CISOやCIOなどIT部門のリーダーにとって大きな問題を引き起こしかねません。なぜなら、彼らにはそれを止めるだけの権限がない場合があるからです。

また、従業員や経営幹部が使いたいと望むAIツールを提供すること自体も、ITリーダーにとって大きな課題となっています。

TrustedTechのテクノロジー担当バイスプレジデントであるAndy Nolan氏によると、ガバナンスは経営トップが模範を示して初めて機能するものであるため、経営幹部がシャドーAIを利用するとCISOは非常に難しい立場に置かれるといいます。

「上級リーダーが承認済みのAIツールやポリシーを回避すれば、スピードのほうがセキュリティやコンプライアンスより重要だという暗黙のメッセージを発信することになります」と同氏は付け加えます。「従業員はそうした振る舞いに気づくものであり、そうなると、経営陣自身が守っていない基準を組織の他のメンバーに求めることは、はるかに難しくなります」

もう一つの大きな問題は、経営幹部が財務データや戦略計画、知的財産、顧客情報といった極めて機微な情報を扱うことが多い点だと同氏は指摘します。

とはいえ、CISOやCIOがあらゆる場面で「AI警察」の役割を担うことでこの問題を解決することもできない、とNolan氏は言います。彼らの本来の役割は、事業が安全に革新を進められるよう支援することだからです。

「そのためには、経営陣の足並みを揃え、明確なガバナンスを敷き、人々が実際に使いたいと思えるような安全なAIツールを提供する必要があります」と同氏は付け加えます。「経営陣がそうしたソリューションを積極的に採用すれば、組織の他のメンバーもほぼ間違いなくそれに続くでしょう」

リスクだけで見返りがない状況

経営幹部によるシャドーAIの利用は、CISOやCIOを不可能な立場に追い込んでいる、とAI調達サービスを手がけるIvaluaのCISOであるAmit Maloo氏も同意します。CISOやCIOはリスクエクスポージャーについて責任を問われる立場にありながら、問題そのものを把握する術がない、と同氏は述べます。

「上級リーダーがガバナンスの効いていないAIツールを使ってビジネス上の意思決定を行った場合、その意思決定には財務上のコミットメントや契約審査、データ共有といった結果が伴います」と同氏は付け加えます。「しかし、そこには監査証跡も、権限管理の仕組みも、何が起きたのか、なぜそうなったのかを再構築する手段も存在しません」

問題の一端は、承認済みのAI選択肢がユーザーのニーズを満たせていないことにある、とMaloo氏は言います。

「AIポリシーだけでは不十分です。組織はガバナンスと使いやすさを両立させる必要があります」と同氏は付け加えます。「承認済みのAIツールが事業のスピードに追いつかなければ、経営陣を含むあらゆる階層の従業員が自分たちで解決策を見つけ出してしまいます。成功する組織とは、安全な道が最も簡単な道になっているような組織です」

ITリーダーは、ガバナンスを強化するだけではこの問題を解決できない、と同氏は指摘します。「ポリシーや制限はシャドーAIの利用を減速させはしますが、止めることはできません。特に、利用者が懲戒リスクを引き受けられるだけの上級職である場合はなおさらです」とMaloo氏は付け加えます。「CIOにできるのは、必要なシステムやデータへの完全なアクセスをユーザーに提供するツールを用意することに注力し、『高機能だがガバナンスの効いていないツール』と『安全だが機能が限られたツール』のどちらかを選ばざるを得ない状況をなくすことです」

セキュリティより速度を優先

TrustedTechのデータは、従業員監視ソフトウェアベンダーTeramindが発表した6月のレポートとも符合します。同レポートによると、Cレベルの経営幹部の3分の2以上が、AIツール利用においてセキュリティよりも速度を優先しているといいます。これはCiscoのプリンシパルエンジニアであり製品アーキテクトでもあり、Coalition for Secure AIのメンバーでもあるNik Kale氏が指摘するものです。

さらに同レポートによれば、企業内のAI利用の3分の2は、企業がすでにライセンスを保有しているプラットフォームにおいて、個人アカウント経由で行われているといいます。

「人々は同じ製品のガバナンスの効いたバージョンにお金を払いながら、ガバナンスの効いていないバージョンを使っているのです。つまり問題はツールそのものにあるのではありません」と同氏は言います。「承認済みのルートは動きが遅く、調達プロセスに埋もれてしまっているか、実際の業務が行われている現場から切り離されています。締め切りに追われれば、常にスピードが勝つのです」

つまり問題はAIツールそのものではなく、そこに伴う摩擦にある、と同氏は言います。「人々は部屋に鍵がかかっているから正面玄関を避けているのではありません」とKale氏は付け加えます。「正面玄関のほうが時間がかかるから、迂回しているのです」

多くの場合、シャドーAIの利用は企業プロセスにおけるいくつかの欠陥を露呈させている、とITソリューションプロバイダーFuture Tech EnterpriseのチーフテクノロジーイノベーションオフィサーであるMatthew Scavetta氏は付け加えます。

多くの組織は、従業員に利用可能なAIツールを十分に周知できていない、と同氏は言います。また、承認済みアプリケーションに関するトレーニングを提供していない組織も多く、それが結果として使い慣れた製品をユーザーに選ばせる要因になっています。

「人々の問題を迅速に解決しなかったり、安全に使えるツールが何かを周知しなかったりすれば、彼らは必ず抜け道を見つけます」と同氏は付け加えます。「AIツールもそれ以外の物事と何ら変わりはありません」

経営幹部によるシャドーAIの利用は、ITリーダーを極めて厳しい立場に追い込んでいる、と同氏は言います。

「特にCIOは、テックインフルエンサーたちがこれらのツールの可能性を説き続ける中で、実現可能なことに追いつくべきだというプレッシャーを年々強く受けています」とScavetta氏は語ります。「CEOや取締役会のメンバーは絶えずその熱狂に巻き込まれがちです。その一方で、一部の組織がいかに投資対効果を実現できていないかを示す事例研究も続々と出てきています。実現可能なことと実務的に妥当なことのバランスを取る、終わりのないゲームなのです」

翻訳元: https://www.csoonline.com/article/4198007/senior-executives-are-killing-your-shadow-ai-strategy.html

ソース: csoonline.com