概要
新たなレポートは、企業がAIガバナンス方針を優先すべき理由について、新しい証拠を提示している。
Dive Brief:
- セキュリティ企業Netskopeが火曜日に公開したレポートによると、企業によるAIの場当たり的な導入は重大なセキュリティリスクを構成する。
- 多くの従業員は、適切なセキュリティ上のガードレールが欠け、組織のITチームの管轄外にある個人アカウントを通じてAIツールを使い続けており、ハッカーがそれらのツールを操作して企業ネットワークに侵入する機会を生み出している。
- 「AIによって駆動される新たな脅威と、従来からのセキュリティ上の懸念が組み合わさることで、2026年に向けて進化する脅威環境が定義される」とNetskopeはレポートで述べた。
Dive Insight:
シャドーAIは何年も前から既知の問題だが、AIを業務フローに取り込もうと急ぐ組織にとって、依然として根強い課題であり続けている。
Netskopeのレポートによると、生成AIプラットフォームを利用している人のほぼ半数(47%)は、企業が監督していない個人アカウントを通じて利用している。同レポートは、2024年10月から2025年10月までのクラウドセキュリティ分析に基づく。監視されていないAI利用は、ハッカーが悪用し得る企業のセキュリティ防御の隙を生み出す。
「相当数の従業員が、ChatGPT、Google Gemini、Copilotといったツールに依存しており、組織に紐づかない認証情報を使っている」とNetskopeは述べた。
このデータは、個人によるAI利用の傾向について複雑な状況を示している。一方で、個人のAIアプリを利用する人の割合(47%)は、前年の78%から大幅に低下した。同様に、会社承認のアカウントを利用する人の割合は25%から62%へ増加した。他方で、個人アカウントと企業アカウントを行き来する人の割合は、前年比で4%から9%へわずかに増加した。この結果は、企業が「利用者が望む利便性や機能の水準を提供するために、まだ取り組むべきことがある」ことを示しているとNetskopeは述べた。
企業環境における個人のAI利用は、複数のリスクを生み出す。その中には、規制遵守の不備や、外部AIサービスと社内サーバー間の保護されていないAPI接続が含まれる。データ露出は、精査されていないAI利用の最も一般的な結果の一つであり、Netskopeは「利用者が機微データをAIアプリに送信するインシデントの件数」が前年比で倍増していることを確認したと述べ、平均的な企業では月あたり223件の同種インシデントが発生しているという。
セキュリティ専門家は、組織がシャドーAI利用を取り締まり、こうしたインシデントを防ぐ最善の方法は、AIガバナンスのプロセス導入を優先することだと述べている。
「管理された[AI]アカウントへの移行は心強い」とNetskopeは述べたが、「同時に、従業員の行動がガバナンスをいかに速く追い越し得るかを浮き彫りにしている」とも指摘した。同社は、組織に対し、「より明確なポリシー、より良いプロビジョニング、そしてAIツールが従業員全体で実際にどのように使われているかについての継続的な可視性」を実装するよう推奨した。
翻訳元: https://www.cybersecuritydive.com/news/shadow-ai-security-risks-netskope/808860/
