出典:Andrey Popov(Alamy ストックフォト経由)
経営層は、サイバー人材不足を補うため、または脅威検知やインシデント対応能力を強化するために、組織内での人工知能(AI)の迅速な導入を推進しています。しかし、その推進は、準備不足による摩擦に直面することもあります。
この課題に対応するため、Deloitteは新たなサイバーAI設計図を公開し、組織にテンプレートを提供しました。この設計図は、AI運用モデル、ガバナンスモデル、リファレンスアーキテクチャで構成されており、組織がAIを活用した環境を設計・構築・運用するのを支援します。これにはエージェンティックAIの導入も含まれます。また、AIの急速な進化により困難となっている人材のスキルアップデートも目指しています。
移行と維持のための設計図
組織にとってAIへの移行だけでなく、新技術の維持も困難であることが証明されています。特に大規模言語モデル(LLM)が機密データで学習され、それが組織間で共有されるため、セキュリティ、特にデータ漏洩に関する懸念が中心となっています。しかし、ユーザーもまた、急激な変化に適応するのに苦労しています。
「場合によっては、クライアントが従業員に『AIのスキルを身につけてきて』と言っても、日常業務でAIを使っていないため、受け身のトレーニングになってしまうことがあります」と、Deloitteのサイバーリスクサービス担当プリンシパル、ナレシュ・パーサウド氏はDark Readingに語ります。「組織が前進するためには、スケジュールやロードマップを設定し、従業員をその旅路に巻き込む必要があります。」
もう一つの課題は、技術が非常に速く進化する分野でどう追いつくかということです。リスクを低減したり、ネットワーク防御を強化したり、ID・アクセス管理を改善するための新しいツールが次々と登場します。しかし、指針を定め、従業員をその方向に導くことは組織にとって難しいとパーサウド氏は述べており、設計図がこうした課題に対応することを強調しています。
「[AIの導入は]人がいなくなることを意味しません。補完や新しいプロセスの導入が行われるのです」と彼は言います。
「方向性を示す」
組織がAIをあらゆる隅々に導入しようと急ぐ中でも、新技術を導入するための計画的なアプローチを取る方法があります。組織は、AI導入による最大のリスクと機会がある分野を特定することから始めることができます。それには人材やスキルの検証も含まれます。
それが、組織全体でAIがどのように活用されるかの方向性を示すことになると、パーサウド氏は述べています。
「クライアントは2つの方向に駆り立てられています」と彼は言います。「AIを導入したいマーケティングや営業部門は、組織間で共有されるデータのようなものをどのように安全に扱うかを考え、小規模言語モデルを作成します。適切なセキュリティガイドラインを設けてスケールさせるのが一つの方向性。もう一つは、サイバー分野の個別領域を選び、どのようにAIを活用するかを決めることです。」
Deloitteの設計図は、特にサイバーセキュリティ分野で働く人々を対象としています。つまり、CISOの下にいるサービスやソリューションの責任者、そしてCISO自身です。この設計図は、これらの役割にある人々が組織を再構築し、期待値を設定するのを支援し、特に予算に関して経営層とのコミュニケーションにも役立ちます。
AIは組織にどれほど有益か?
AIの導入には明確な利点があるとパーサウド氏は述べており、サイバーセキュリティ分野での人材不足や人手不足を補うのに役立つことを強調しています。また、日々新たなAI搭載ツールが登場し、業務を容易にしたり機能性を向上させたりすることを約束する中で、市場での機会損失への恐れも指摘しています。
しかし、組織はまだ既存の技術スタックの支払いが残っているため、すべての新製品を導入する余裕はないと彼は付け加えます。
「願わくば、まず疲弊を軽減することから始まってほしい」と彼は言います。「誰も対応できなかった1万件のインシデント。明らかにAIは人々に恩恵をもたらしますが、組織は慎重なアプローチを取る必要があります。」