AI の台頭:それを構成するデータについて十分に理解しているか?

出典:Lensw0rld via Alamy Stock Photo

解説

AI の活用を通じて(かなりの)ビジネス上のメリットが引き出せることは確かに明らかである。基本的または労働集約的なタスクを自動化し、コストを削減し、効率を高め、強力なデータ分析を通じて意思決定を強化することなどにより、間違いなく有益な影響をもたらすことができる。それは、顧客体験の向上、イノベーションの増加、より優れたリスク管理、そして営業、マーケティング、オペレーションなどのさまざまな機能にわたるより強力な競争力につながる可能性がある。ここまでは順調だ。しかし、この改善された環境はどのようにして達成されるのだろうか?その答えは、根本的にはデータである。

AI についてはるかに不明確なのは、これらすべての新しい生産性ツールに実際にどのようなデータが注ぎ込まれているかということである。極めて重要なのは、組織が生産性向上を追求する中で、機密性の高い個人データや機密の個人データを AI ツールにリリースしていないことに完全に自信を持てるかということである。さらに、規制当局はこれらの慣行が、現在世界中で運用されているさまざまなデータプライバシーフレームワークに準拠していると見なすだろうか?

どのデータがツールに入力されているかをほとんどまたはまったく知らず、したがってそれがビジネスにどのようなリスクをもたらすかを知らないまま、AI の生産性向上を主張することに、私たちはそれほど快適でいられるだろうか?

最近の調査で、Omdia は IT 意思決定者の上級者にすべてのデータの所在について考えるよう求めた。図 1 に示す結果は示唆に富んでいる。

自分たちのデータの 100% を説明できると確信している回答者はわずか 11% であり、組織は現状のまま AI 領域にデータを流出させる準備が単にできていない。すべての組織データがどこにあり、関連してそれが何であるか、またはどれほど機密性が高いかを知らなければ、組織はそれを(すべて)AI ツールにダウンロードしても、重要なビジネスオペレーションや個人情報を公開しないという確信を持つことはできない。AI がオープンソースまたはパブリックドメインにある場合はさらに悪い。機密データは、そもそも AI プラットフォームに移されているデータセット内にあることを理解していなかったという理由だけで、失われたり明らかにされたりする可能性がある。データを公開し、ビジネスオペレーションに悪影響を与えることは一つのことである。規制の不遵守と不正なデータ損失は、すでに損害を与えている状況をさらに増幅させるだろう。

逆説的に、AI はここで重要な役割を果たすことができ、データの初期位置特定、つまりデータディスカバリーを支援するために介入することができる。慎重に、そして厳密に内部ネットワークの範囲内で使用される場合、AI ツールは、すべての特定されたリポジトリ(オンプレミス、サービスとしてのソフトウェア(SaaS)、クラウド、リモートデバイスなど)にわたって、既知、未知、シャドーデータを含むデータ環境の全体像を追跡するタスクを与えられることができる。長い間忘れられていたリポジトリを検索して、その中に保持されているデータを見つけるために AI データディスカバリーツールを使用できる段階にはまだ達していないが、エンジンにどこを探すべきかを伝えることができる限り、データ環境の最大部分を特定することができる。追跡されたら、各データセットの内容を調査して分類することができ、最終的に、どのデータを運用 AI に供給すべきか、どのデータを供給すべきでないかについて決定を下すことができる。

AI 使用とデータ知識の不一致

上記で概説した明白なリスクにもかかわらず、AI の採用は広範囲に及んでいる。組織は、Microsoft の Copilot や IBM の Watsonx プラットフォームなどの商業的に利用可能なオプションを採用したか、あるいはゼロから独自の社内ツールセットを構築することを好んだ。いずれにせよ、AI は現在、多くの組織がビジネスオペレーションを行う方法を支配しており、コンテンツや分析のために AI に頼ることが急速に標準になりつつある。

必然的に、AI は、プロセス、態勢、防御を改善するために組織のサイバーセキュリティに応用されており、攻撃方法を改善し、侵入の成功手段を強化しようとするサイバー犯罪者集団によって悪意のある目的でも採用されている。

同じ Omdia 調査で、回答者は AI 使用のための特定のサイバーセキュリティ製品またはポリシーを展開したかどうかを尋ねられた。回答は明確かつ明白であった(図 2)。

AI の勢いを考えると、Omdia 調査に回答した人の 90% がサイバーセキュリティの文脈で何らかの形で AI を実装したという事実は予想外ではない。他のインセンティブが必要でなかったとしても、ネットワーク境界で脅威を特定するために AI を使用する機会と、悪意のある行為者が攻撃能力を洗練し改善するために AI を使用する脅威は、おそらく多くのビジネスにわたって採用を促すのに十分である。しかし、それは、サイバーセキュリティツールとしての AI 使用と、AI 環境を支えるデータの理解との間にやや憂慮すべき不一致があることを意味する。

簡単に言えば、Omdia の調査は、特に AI ベンダーによって彼らに説明されたビジネス上のメリットを達成するために使用しているデータの十分な知識なしに、インフラストラクチャ AI を展開している組織が多すぎることを示している。AI を使用するこの重要な側面を見過ごしたり無視したりすることは本質的にリスクの高い戦略であり、規制当局はその結果としてデータを失ったり不正流用したりした人々を罰するために待っているだろう。

組織の 90% がサイバーセキュリティの能力で AI を使用しているが、すべてのデータを確実に見つけることができると言えるのは約 10% のみであり、それでもおそらく既知のリポジトリに常駐するデータにのみ適用されるだろう。不一致は明白である。運用化はさらに懸念される。

タスクをスピードアップし、全体的な生産性を向上させ、コストを削減しようとしているビジネスに大きな利点を追加できる AI の側面は確かにある。しかし、組織がこれらのツールの知識セットを教育し拡張するために使用されているデータの構成を徹底的に理解できるまで、大量の未知または未識別のデータを AI にリリースする際に取るデータおよびデータプライバシーのリスクを非常に慎重に検討する必要がある。