AI導入の厳しい現実#
MITの State of AI in Businessレポートによると、組織の40%がエンタープライズ向けLLMサブスクリプションを購入している一方で、90%以上の従業員が日常業務でAIツールを積極的に利用していることが明らかになりました。同様に、Harmonic Securityの調査では、AIによる機密情報のやり取りの45.4%が個人のメールアカウントから行われていることが判明しており、従業員が企業の管理を完全に回避している状況です。
このことから、「シャドーAI経済」の拡大に対する多くの懸念が生まれています。しかし、それは何を意味し、セキュリティやAIガバナンスの担当者はどのようにこれらの課題を克服できるのでしょうか?
AI利用は委員会ではなく従業員が主導している#
企業はAIの利用を、経営層によるトップダウンの指示で進むものと誤って捉えがちです。しかし、それは間違いであることが今や明らかです。多くの場合、従業員がボトムアップで導入を推進しており、しばしば管理の目が届かないまま、ガバナンスの枠組みはトップダウンで定義され続けています。たとえ企業が認可したツールがあっても、従業員は生産性向上により適した新しいツールを好んで利用する傾向があります。
セキュリティ担当者がこの現実を理解し、こうした活動を発見・管理しなければ、企業は重大なリスクにさらされることになります。
遮断が失敗する理由#
多くの組織は「遮断して様子を見る」戦略でこの課題に対処しようとしました。このアプローチは、よく知られたAIプラットフォームへのアクセスを制限し、導入のペースが落ちることを期待するものです。
しかし、現実は異なります。
AIはもはや簡単に遮断できるカテゴリーではありません。CanvaやGrammarlyのような生産性アプリから、AIアシスタントを組み込んだコラボレーションツールまで、AIはほぼすべてのSaaSアプリに組み込まれています。1つのツールを遮断しても、従業員は別のツールに乗り換え、しばしば個人アカウントや自宅のデバイスを利用するため、企業は実際の利用状況を把握できなくなります。
もちろん、すべての企業がそうというわけではありません。先進的なセキュリティやAIガバナンスチームは、従業員が何をどのような用途で使っているのかを積極的に把握しようとしています。彼らは現状を理解し、従業員ができるだけ安全にツールを使えるよう支援しようとしています。
ガバナンスの必須事項としてのシャドーAI発見#
AI資産のインベントリは、規制上の要件であり、単なる「あると便利」なものではありません。EU AI法のような枠組みでは、利用中のAIシステムを可視化することを明確に義務付けています。発見なくしてインベントリは存在せず、インベントリなくしてガバナンスは成り立ちません。シャドーAIはその重要な要素です。
AIツールごとにリスクは異なります。中には秘密裏に自社データで学習するものもあれば、中国のような法域に機密情報を保存し、知的財産のリスクを生むものもあります。規制遵守とビジネス保護のため、セキュリティ担当者はまず、認可済みの企業アカウントから未認可の個人アカウントまで、AI利用の全体像を把握しなければなりません。
この可視性を得て初めて、低リスクの利用ケースと、機密データや規制対象の業務、地理的リスクを伴うケースを分離できます。その上で初めて、データを保護しつつ従業員の生産性も高める、実効性のあるガバナンスポリシーを適用できます。
Harmonic Securityの支援内容#
Harmonic Securityは、従業員によるAI利用に対してインテリジェンスコントロールを提供することで、このアプローチを実現します。これには、シャドーAIの継続的な監視や、各アプリケーションごとのリスク評価が含まれます。
静的なブロックリストに頼るのではなく、Harmonicは認可済み・未認可のAI利用の両方を可視化し、データの機密性、従業員の役割、ツールの性質に基づいてスマートなポリシーを適用します。
つまり、マーケティングチームは特定の情報を特定のツールでコンテンツ作成に利用できる一方、人事や法務チームは機密性の高い従業員情報を個人アカウントで扱うことが制限されます。これは、従業員がデータを共有する際に情報を識別・分類できるモデルによって支えられています。これにより、必要な精度でAIポリシーを適用することが可能になります。
今後の道筋#
シャドーAIは今後も存在し続けます。より多くのSaaSアプリがAIを組み込むにつれ、管理されない利用はさらに拡大するでしょう。今日、発見に取り組まない組織は、明日ガバナンスができなくなるでしょう。
今後の道筋は、遮断するのではなく、賢くガバナンスすることです。シャドーAIの発見は、CISOが機密データを保護し、規制要件を満たし、従業員がAIの生産性向上の恩恵を安全に享受できるようにするための可視性を提供します。
Harmonic Securityは、すでに企業がAIガバナンスの次のステップを踏み出す支援をしています。
CISOにとって、もはや従業員がシャドーAIを使っているかどうかではなく、「それを把握できているかどうか」が問われています。
翻訳元: https://thehackernews.com/2025/09/shadow-ai-discovery-critical-part-of.html