シャドウAIは、シャドウITの主要な形態の一つとして浮上していることが、1Passwordの新たなレポートで明らかになりました。
未承認のAIツールの使用は、シャドウITの中で2番目に多い形態であり、メールに次いで多いことが、1Passwordの2025年年次レポート(10月30日発表)で判明しました。
全体として、従業員は自社から業務の一環としてAIの利用を広く奨励されており、1Passwordのレポートによると、調査対象となった5000人の従業員のうち73%が、自社がそのような実験を支持していると答えました。
しかし、37%はAIツールを使用する際に必ずしも自社のAIポリシーに従っていないと認めています。さらに悪いことに、27%の従業員が自社で承認されていないAIツールを使用したことがあると認めました。
この数字は一般的なシャドウITよりはまだ低いものの、レポートによれば、従業員の52%がITの承認なしにアプリをダウンロードしたことがあると認めています。
シャドウAIは、1Passwordによって、一般的なシャドウITよりもさらに広範に行われていると説明されています。これらのツールは「機密情報を学習データに取り込んだり、法的・コンプライアンス上の義務に違反したり、完全なマルウェアとして機能する可能性がある」ためです。
今すぐ読む:なぜシャドウAIがCISOにとって次の大きなガバナンス課題なのか
生成AIがイノベーションへの欲求を加速
1Passwordレポートの発表イベントで開催されたCISOラウンドテーブルで、フォーミュラワンレーシングチームOracle Red Bull RacingのCSO、Mark Hazleton氏は、シャドウAIの台頭は、新しいツールを導入する際に多くの従業員が生産性向上を最優先することが一因だと説明しました。
彼は「従業員は仕事を終わらせることに集中しているので、もし私たちが彼らを制限しようとすれば、彼らは必要なことをやる方法を見つけるでしょう」と述べました。
「F1では、誰かが土曜の夜に日曜のレースで1秒短縮できる仕組みを思いついたら、それを前進させることを私たちは望みます」と彼は語りました。
1Passwordのレポートによると、回答者のほぼ半数がAIツールの「シャドウ的」な利用を利便性(45%)のためと正当化し、ほぼ同数がAIを使うことでより生産的だと感じている(43%)と答えました。
Hazleton氏はまた、生成AIツールの登場が、従業員の間でかつてないほどのイノベーションへの欲求を生み出していると指摘しました。
ヘルスケア企業HeadwayのCISO、Susan Chiang氏は「サードパーティ製ソフトウェアの導入は最近大きく拡大しましたが、この拡大が必ずしも潜在的な影響やリスクへの認識の向上を伴っているわけではありません」と付け加えました。
シャドウAI vs. シャドウIT:フリーミアムAIツールがリスクを拡大する仕組み
シャドウAIは、従業員がAIを利用するタスクの多様性により、一般的なシャドウITとは一線を画しています。
1Passwordのレポートによると、これらのタスクは顧客対応の通話メモの書き起こしや要約(回答者の22%がAIをこの目的で使用)から、採用プロセスのパフォーマンスレビュー(16%の従業員がこのようにAIを利用)まで多岐にわたります。
AIツールはさまざまなデータ分析の用途にも活用されており、16%の回答者が自社データの分析、21%が顧客データの分析にAIを使用しています。
Chiang氏は、シャドウAIの台頭は、汎用生成AIツールが初期に採用したモデルと関連していると説明しました。
「生成AIはフリーミアムモデルを再び人気にしました。例えば、無料の大規模言語モデル(LLM)ツールでもすでに多くのことができます」と彼女は述べました。「しかし、多くの従業員は契約やリスクの概念を理解していても、リスク管理ポリシーが無料製品にも適用されるとは必ずしも考えていません。」
ウェブベースのフリーミアムアプリのアプローチは生成AIツールで顕著ですが、Gray MediaのVP兼CISOであるBrian Morris氏は、同じ結論がAIツール以外の多くのシャドウITの実践にも当てはまると述べました。
「シャドウITを使っている従業員の実際の数はおそらく52%よりはるかに多いでしょう。なぜなら、アプリをダウンロードするだけでなく、GrammarlyやMondayのようなウェブアプリを常に使っていて、これらが会社のデータを露出させているからです。しかし、ブラウザ経由で動作するため、彼らはそれらをアプリだと本当に考えていません」とMorris氏は説明しました。
AIガバナンスのベストプラクティス
これらのAIに関する見落としを克服するために、1PasswordのレポートはAIガバナンスのための3段階アプローチを推奨しています:
- 組織で使用されているAIツールの完全なインベントリを維持し、定期的な監査を実施する
- 明確なポリシーを策定し、適切なAI利用を徹底し、ユーザーを安全なツールや行動へ導く
- 会社が承認したAIツールのみが会社データにアクセスできるよう管理策に投資する
CISOラウンドテーブルの中で、HeadwayのChiang氏は、リスクベースのセキュリティチームは最も高いリスクだけでなく、迅速に対応できる低〜中程度のリスクにも時間を割いて、同時に多くの課題に圧倒されないようにすべきだと推奨しました。
「AIに関しては、『千の小さな傷による死』という表現をよく使います。多くの低〜中リスクが投資に値し、教育や意識向上プロセスの導入で簡単に解決できる場合が多いのです」と彼女は説明しました。
1Password 2025年年次レポートは、PureSpectrumによってカナダ、フランス、ドイツ、シンガポール、イギリス、アメリカの5200人のナレッジワーカーを対象にオンライン調査を実施した結果に基づいています。
翻訳元: https://www.infosecurity-magazine.com/news/shadow-ai-employees-use-unapproved/
