AIの失敗への道は、善意とずさんな導入によって舗装されています。多くの人々が、AI変革の時代に組織が relevancy を維持しようと急ぐ中で、今日もその道を築くために懸命に働いています。
CISOやビジネスリスク担当役員は、経営陣が難しいバランスを取るのを支援する任務を負っています。彼らは、安全性やレジリエンスの低いAIを構築するリスクと、十分な速さで動けないリスクを天秤にかけなければなりません。その性質上、セキュリティチーム自身も、AIの高度な分析力や生成能力を活用して、自分たちの業務をより安全かつレジリエントに変革するよう、企業アプリケーション以上のプレッシャーにさらされています。
ジェニファー・ユーウバンクは、この困難な課題に精通しています。元CIAデジタル・イノベーション副長官として、ユーウバンクは2019年からCIA自身のAI主導のデジタル変革を率いました。
この取り組みには大規模な組織変革が必要であり、CIAはサイバーセキュリティの再考を迫られました。ユーウバンクは、CIAがデータ管理と分析戦略を更新・集約し、商業界でGenAIが注目される以前から世界で最も高度なGenAI主導のインテリジェンス・プラットフォームを展開し、膨大なデータのリアルタイム分析を推進するのを支援しました。
Dark Readingは最近、2024年に退職しコンサルタントとしてのキャリアを始めたユーウバンクに、CISOがCIAの変革から学べる教訓について話を聞きました。
CIAのAI変革の総括
ユーウバンクがその職に就いたとき、CIAは岐路に立たされていました。GenAIはまだ一般に浸透していませんでしたが、スパイ機関の上層部はその重要性を予見していました。同時に、CIAはデータの洪水に溺れており、その分析能力を急速に拡大する必要がありました。
「スパイのリクルートや情報収集の仕事は、デジタル時代において非常に困難になっています」とユーウバンクは言います。情報将校が行うすべてのこと—移動や誰と話すか—は、資産をリクルートしたり秘密情報を収集したりする際に追跡されていると彼女は説明します。
「そのすべてが、どこかで何かによって感知され、記録されています」と彼女は言います。「この課題の規模がわかるでしょう。」
CIAがそのデータから価値を得るためには、急増する情報源からのすべてのシグナルをほぼリアルタイムでふるい分ける能力が必要でした。
「私は早い段階で、AIを正しく導入しなければならないと考えていました」とユーウバンクは言います。「そうでなければ、組織として失敗し、すぐに時代遅れになり、悪者が勝つことになるでしょう。」
AIを正しく導入するには、デジタルインフラとインテリジェンスを、非常に縦割りだった技術分野全体でより良く連携させる必要がありました。高度な攻撃に対抗しつつ、AIの進歩は最初からサイバー・レジリエントでなければならないと経営陣は直感的に理解していました。これが、ユーウバンクが率いることになったデジタル・イノベーション総局(DDI)設立につながりました。
CISOのための7つの教訓
CIAは民間企業とは異なる組織ですが、ユーウバンクのチームが直面した課題や突破口の多くは、スパイの世界だけでなく商業組織にも共通するものです。CIAは文化変革の摩擦を乗り越え、技術的負債の現実に対処し、スキルギャップに対応しなければなりませんでした。また、すべての業務にセキュリティを組み込む方法も見つける必要がありました。
教訓1:組織文化が鍵
ユーウバンクは、AIにおける最大の課題は技術的知識ではないと早い段階で述べました。どんなに優秀な技術者が揃っていても、全員が密接に協力し、経営陣がビジネス目標に集中していなければ、組織は崩壊する可能性があります。
「最大の課題は技術ではなく、組織的なものであることが明らかになりました」とユーウバンクは言います。デジタル総局が設立される前、CIAには本当に変革的な技術イニシアチブを実現する「筋肉の記憶」がありませんでした。技術の縦割り、予算、人員配置の方法は「非常に硬直的」だったと彼女は言います。
「これは、組織を横断的に連携させ、文化的な硬直性を打破するための取り組みでした。それは悪意や敵意からではなく、単に組織が時間とともに進化する過程で生じたものです」と彼女は言います。
その点で、彼女はこの取り組みのための経営陣の切り札でした。技術インサイダーを起用するのではなく、CIAの現場で培ったリーダーシップスキルを活用したのです。ユーウバンクは以前、世界各地でさまざまなリーダー職を務め、4度にわたり駐在員事務所長も経験しています。
「私は諜報の世界からデジタル技術のリーダーになりましたが、それは私たちのディレクターが、最も困難な任務に整合性をもたらし、敵を理解し、彼らの能力を把握し、それを我々の計画に重ねて、より緊急に技術適応を推進するために意図的に選んだことでした」と彼女は言います。
教訓2:AIがミッションを推進するなら、信頼できるものでなければならない
ユーウバンクのデジタルイノベーションの取り組みで最も変革的だったのは、サイバーセキュリティの位置づけを組織内で見直したことです。以前はセキュリティ部門に置かれていましたが、彼女はCISOの役割を自分の総局の指揮下に置くよう働きかけ、サイバーセキュリティがデジタル機能に完全に組み込まれるよう意識改革を促しました。
これは重要なことで、CISOがあらゆる段階の議論に関与し、サイバー脅威インテリジェンスのイノベーションを推進しつつ、それを分析するAI機能の安全性と信頼性を確保する必要があったからです。CISO、CIO、チーフデータオフィサーからなるブレーンを作ることで、迅速かつリスクを考慮した意思決定が容易になりました。
「私たちのデジタルC-suiteは大きな前進でした」と彼女は言います。「CISOが、システムやプログラムの議論・設計段階から席についており、最後に呼ばれるのではなくなったのです」と彼女は言います。
民間企業のリーダーもこの教訓を心に刻み、サイバーセキュリティをAI技術導入の基盤に組み込むべきだとユーウバンクは言います。敵対者がAIを悪用した場合の被害は甚大だと彼女は言います。
「サイバーセキュリティのガードレールなしにAIシステムが急速に導入されている組織の将来を私は懸念しています。新しい機能を開発する際にサイバーセキュリティが議論に加わっていない場合の結果を心配しています」と彼女は言います。「セキュリティなしで進めてはいけません。」
教訓3:意図的な教育プログラムが技術文化の壁を越える
技術文化の縦割りを打破する最も効果的な方法の一つは、教育を通じて技術者同士が同じ言語で話せるようにすることだったとユーウバンクは言います。彼女の変革推進の一環として、総局内の全員にクロスドメインのデジタル知識を認定するクラスの受講を義務付けました。
博士号を持つデータサイエンティストでも、ネットワーク設計やデータ転送、クラウドコンピューティング、あるいはサイバーセキュリティがそれらをどう考えるかについて考えたことがないかもしれません、とユーウバンクは説明します。彼女のチームは「デジタル大学」、つまり何千人もの技術者に各分野の基礎知識を教え、すべてがどのように連携しているかを理解させるカリキュラムを作りました。
「全員がすべての専門家になるわけではありませんが、デジタル技術スタック全体で共通の用語を持てるようになりました」と彼女は言います。
このような意図的で体系的な学習は、サイバーセキュリティや他の技術リーダーが文化の壁を越え、より協力的な環境を育むのに役立ちます。これは常に重要でしたが、AI時代にはさらに重要になるでしょう。
「サイバーセキュリティとAIの未来においては、データに精通したセキュリティ人材が本当に必要になると私は考えています」と彼女は言います。「そしてAIデータの世界では、サイバーセキュリティを十分に理解し、最初からそれを組み込める人材が必要です。なぜなら、あらゆる潜在的な脆弱性が見えてきているからです。」
教訓4:セキュリティ部門がリスクを所有するわけではない
すべての技術者を同じ方向に向かわせることはAIのサイバーリスク管理に不可欠ですが、同様に重要なのは、経営陣にサイバーリスクの変数を完全に把握させることです。変革の過程でユーウバンクの大きな目標の一つは、CIAの上層部にリスクを伝え、誰が本当にリスクを所有しているのか現実を認識させることでした。
「CIAのリーダーシップ全体に、サイバーリスクは彼ら自身のリスクであり、CISOのリスクではないことを理解させるために努力しました」と彼女は言います。「CISOは素晴らしいアイデアや技術的知識、ツール、テレメトリーなどを持っていますが、ビジネスの意思決定はリスクを所有する人々が行うのです。」
これは民間企業でも同様であり、リスクは取締役会や経営陣の課題です。
「CISOの役割は助言することですが、最終的に『このリスクを取るかどうか』『リスクを減らすためにお金を使うかどうか』を決めるのはCEO、CFO、チーフリスクオフィサーなどです」と彼女は言います。
教訓5:AIのレジリエンスは地味な基本に支えられている
クロスファンクショナルなチームがAI変革の実務に取り組む中で、その大部分は最も地味な技術・サイバーの基本に支えられていることがわかりました。「派手さはありませんでした」が、プロセスの近代化やデータ、ガバナンス、倫理フレームワークを正しく整えることが重要だったとユーウバンクは言います。
「それは誰も時間やお金をかけたがらない地味な部分ですが、サイバーセキュリティでもインテリジェンス業務や分析でも、機能を実現するには必要不可欠です」と彼女は言います。「誰もがそれを必要としていましたが、誰も投資したがりませんでした。」
サイバーセキュリティのレジリエンスという観点からは、ID管理やアクセス制御の技術・ガバナンスに注力し、不正アクセス時に被害を最小限に抑える権限やアーキテクチャ設計が求められました。
「楽しくもセクシーでもありませんが、これを正しくやらなければAIリスクは増大し続けます」と彼女は言います。「新しいAIを導入しようとしているすべての企業が、まず一息ついてデータの取得方法、サイバーコントロールの導入方法、敵対者がシステムを操作しようとしているかどうかをどう判断するかを考える必要があります。」
教訓6:敵対的思考が重要
ユーウバンクは、AI変革を急ぐ企業こそ、サイバーリスクを敵対的思考で捉える時間を取るべきだと強調します。これはますます必要なスキルです。
「世界中のあらゆるテレメトリーやコントロールを持っていても、敵が何をできるか、何をしたいかを考えていなければ、パズルのピースが欠けているのです」と彼女は言います。
AIをレジリエントにするには、脆弱性だけでなく意図も考慮するアプローチが必要です。単なる脅威モデリングだけでなく、ロールプレイやテーブルトップ演習で、悪意ある行為者がAIモデルに侵入した際に何を達成しようとするかを考え、そこから技術に逆算していくことが求められます。
「敵になりきって、外部の視点で自分たちのシステムを見るのです」と彼女は言います。「自動化と人間の分析を融合し、敵対的意図をより深く理解することで、新しいサイバー環境に必要な新たな思考法が生まれます。」
教訓7:何もしないより、不完全でも行動を選ぶ
CISOへの最後の教訓は、リスクの所有とサイバーセキュリティリーダーシップの助言的役割の理解に関わります。企業は旅の途中でサイバーリスクを管理しようとすべきですが、セキュリティ分析の麻痺によって前進を止めてはいけません。
「意思決定に十分な情報が揃うことは決してありません—それでも決断し、前に進まなければならないのです」とユーウバンクは言います。CISOの役割は、変革の各段階でAIのレジリエンスについてリーダーに考えさせることですが、関係者全員が行動しないリスクも考慮する必要があります。
「完璧な洞察が欲しいのは、システムを劣化させたり、会社の業務に害を及ぼしたくないからです」と彼女は言います。「しかし、何もしないことにも大きなリスクがあります。CIAでは、何もしないことが最大のリスクになることもあると理解していました。」
翻訳元: https://www.darkreading.com/cyber-risk/7-lessons-securing-ai-transformation-former-cia-digital-guru