リスク評価からAIガバナンスの再構築まで、CISOがシャドウAIのリスクに直面した際に取るべき4つのステップをご紹介します。
シャドウITは過去のもの。シャドウAIが新しいリスクとして浮上しています。利用可能なAIツールの急増、経営陣の新しいテクノロジーへの熱心さ、少ない資源でより多くを実現するよう従業員に促す圧力、発展途上のガバナンス、そしてAIが進化する圧倒的なスピードが、シャドウAIが繁栄する完璧な環境を生み出しています。
「私が話をしたすべてのCISOが何らかの形のシャドウAIを発見している」とGartnerのバイスプレジデント・アナリストであるAndrew Wallsは述べています。
ベンダーは顧客に通知することなく、その製品でAI機能をオンにしています。従業員は、CISOが認識しているかどうかにかかわらず、これらの組み込みAI機能を使用しています。そしてもちろん、従業員は検証されていない、または雇用者によって明確に禁止されているAIツールに頼ってしまっています。
CISOはスタッフレポートまたはAI使用を検出するために設計されたツールを通じてこれらのケースを知ることができます。しかし、シャドウAIの発見は最初のステップに過ぎません。CISOは、それがどのような文脈で使用されているのか、伴うリスク、そして今後ガバナンスをどのように適応させるかを理解する必要があります。
リスク評価
シャドウAIの特定のインスタンスを認識したら、最初のステップは関連するリスクを理解することです。「最初の本能は反応することです。そしてそれはサイバーセキュリティでは決して良いことではありません」とIANS教員でありRose CISO Groupの創設者であるOlivia Roseは述べています。「組織へのリスクのレベルを見て応答する前に、全体的に答えを考える必要があります。」
データはどの程度機密ですか?AIツールプロバイダーはそのデータで何をしていますか?どのように保存されていますか?AIモデルのトレーニングに使用されていますか?「彼らを懸念させるのはシャドウAIのAI部分ではありません。従業員によってAIに提供されているデータです」とWallsは述べています。
そしてCISOにとって究極の質問は:このシャドウAIのインスタンスは侵害につながったのか?
侵害の発見は理想的な結果ではありませんが、CISOは完全に未知の領域にいるわけではありません。たとえ問題の侵害がシャドウAIの使用に由来する場合でも、組織は従うべき定義されたインシデント対応計画を持つべきです。
「私は多くのセキュリティインシデント、重大なインシデント、データ侵害を管理してきました。AIの前でさえも、それらは同じではありません。では、AI侵害にはどのように対処しますか?何が侵害されたか、どのように侵害されたか、どのタイプのデータが侵害されたか、その侵害の法的・規制上の影響によって異なります」と税務、アドバイザリー、会計事務所であるBPMのCISOであるVandy Hamidiは述べています。
データ侵害は顕著な懸念事項ですが、AIの唯一の潜在的な結果ではありません。「AIリスクはデジタルリスクだけではなく、非常に迅速に物理的になる可能性があります」とBalusianの共同創設者兼vCISO、ISACAメンバーであるPablo Ballarinは述べています。シャドウAIの使用は、業務の混乱、無駄なリソース、または安全問題への道を開きますか?これらの質問に答えることも、必要なリスク評価の一部です。
AIが使用されている理由を理解する
CISOがシャドウAIを効果的に管理したいのであれば、それがなぜ常に現れるのかを理解する必要があります。即座の対応はシャドウAIの使用をシャットダウンすることかもしれませんが、対応にはそれ以上のものが必要です。
「私たちの焦点は、彼らがそれを使用している理由を理解し、承認されていないAIツールを使用するリスクについて彼らに教育すること、そして組織内にすでにそれらのニーズを満たすことができるツールがあるかどうかを特定することです。そしてもちろん、使用が承認されていない場合の明確なリマインダーで彼らをリダイレクトすることです」とHamidiは述べています。
従業員がシャドウAIに取り組んでいるのは、それが彼らをより生産的にしているからである可能性が高いです。そのAIを影から光へと引き出すことでビジネスは利益を得ることができますか?従業員が承認されていないツールを使用しているのは、ビジネスによってすでに検証された同様のものが利用可能であることを知らないからですか?
AIに対してより厳格な立場を取る企業のCISOは、シャドウ使用がどれほど多くのインスタンスで現れるかを管理するのに苦労する可能性があります。
「企業全体が採用曲線で遅い場合、それは実質的にシャドウAIの使用を強制します」とHamidiは述べています。
シャットダウンするか統合するか
シャドウAIによってもたらされるリスクと、それが使用されている理由を理解したら、CISOは他のエンタープライズリーダーと協力して、それをシャットダウンするか、その使用の承認を追求するかを決定することができます。
ツールをシャットダウンする必要がある場合 – 侵害を引き起こした場合、これはほぼ確実に該当します – CISOは、それを実現する方法を見つけ出し、同じユースケースが再度発生するのを防ぐ必要があります。
「再発を防ぐための軽減戦略を検討する必要があります。それが従業員への教育、より一貫性のあるポリシーと利用規約ガイドライン、またはブロッキングやフィルタリングメカニズムのような技術的な修正であるかどうかにかかわらず」とWallsは述べています。
シャドウAIがビジネスにとって潜在的に価値のあるユースケースを表している場合、そのツールはセキュリティチームだけではなく、正式なレビュープロセスを受ける時が来ました。
「私たちのPMOプロセスには、正式な情報セキュリティレビュー、法的レビュー、データプライバシーレビューが含まれています。このツールが理にかなっているかどうかを確認するための投資収益率も含まれています。そしてそれは承認されるか、されないかのいずれかです」とHamidiは共有しています。
AIの使用は、シャドウであるかどうかにかかわらず、一方側にリスク、もう一方側に利益がある微妙なバランスです。シャドウAIは生産性を向上させている正当なビジネスユースケースを持つ可能性がありますが、リスクがその利益を上回る場合、CISOは彼らのエンタープライズを保護する必要があります。そして生産性は打撃を受ける可能性があります。
「彼らが使用しているツールのリスクレベルに応じて、時々それは私たちが負わなければならないコストです」とHamidiは述べています。
AIガバナンスの見直しと更新
発見されたシャドウAIのすべてのインスタンスは、たとえ侵害を引き起こしたとしても、機会です。CISOはシャドウAI管理の継続的なタスクをサポートするためのより多くのリソースを主張することができます。「良い侵害を無駄にしないでください。それを活用してサイバーセキュリティ組織の予算、リソース、サポートを得ることができます」とRoseは述べています。
シャドウAIの結果がブロッキングであるか統合であるかにかかわらず、その発見は従業員教育を必要とします。彼らはすでに彼らが利用できるAIツールが何であるか知っていますか?従業員はシャドウAIと見なされるものが何であるか知っていますか?シャドウAIを使用するリスクについて知っていますか?
その情報は従業員に明確に伝えられるべきです。「何がOKで何がOKでないのかについて明確なガイドラインがない場合、従業員は彼らが最善だと思うことをするつもりです」とWallsは述べています。
明確なコミュニケーションは重要ですが、その伝達方法も同様に重要です。CISOはAIを使用することを恐れる従業員の文化を作成したくありません。代わりに、彼らは企業に従業員が評価のための潜在的なツールを提案するための明確な経路を持つことを促すことができます。
「私がしたくないのは、生産性を向上させるためにAIを使用している人々を罰することです。彼らが正当なビジネス上の理由を持っており、それを使用したい場合、彼らがそれを承認してもらうためのプロセスが整っています」とHamidiは述べています。
罰はシャドウAI管理への最前線の対応ではありませんが、アカウンタビリティは組織でのテクノロジーの使用方法の一部である必要があります。従業員はAIツールの使用の結果を理解する必要があります:承認された場合と承認されていない場合の両方です。彼らはAIツールを責任を持って使用するためのトレーニングと、承認されていないツールに頼り続ける場合に何が起こりうるかの明確な理解が必要です。「繰り返す行動の影響を定義するためにHRチームと協力してください」とRoseは述べています。
AIガバナンスを担当する委員会はアカウンタビリティの文化を構築する必要があります。それはセキュリティチームの責任だけではあり得ません。「その責任がAIに触れるすべての人に明確に割り当てられていない場合、非難ゲームが始まるとき、明らかな責任先がない可能性が非常に高いです。そしてCISOはその砲火の中にいるかもしれません」とWallsは述べています。
現在のところ、AIガバナンスは独自のポリシーセットを必要とするかもしれませんが、Wallsはそのアプローチが時間とともに変わると予想しています。「AIポリシー、AIセキュリティポリシー、生成AIポリシー、エージェントAIポリシーとガイドラインなどを構築してください。これらは今必要ですが、2~3年で他のすべてのテクノロジーガバナンスと統合され、1つのピースになります」と彼は述べています。
AIガバナンスが進化しても、CISOは会話の中心に留まります。シャドウAIはセキュリティリスクであり、近い将来消えることはありません。
「シャドウAIは、ある程度のシャドウITと同様に、完全に回避することはできません。それは管理される必要があります」とHamidiは述べています。
翻訳元: https://www.csoonline.com/article/4143302/the-cisos-guide-to-responding-to-shadow-ai.html
