出典:imageBROKER.com via Alamy
医療業界は、ランサムウェアおよびその他の破壊的なサイバー攻撃が不可避的に発生した際の復旧課題をさらに悪化させる、広がるシャドウAIのリスクに先手を打つ必要があります。
医師および臨床医は、1秒短縮することが誰かの生命を救う可能性がある職業において、効率を高めるために認可されていない人工知能(AI)ツールとチャットボットを使用しています。しかし、セキュリティチームが環境でこれらのツールが実行されていることを知らない場合、潜在的に損害を与える脅威を監視することはできません。したがってシャドウAIという用語が存在するのです。
医療専門家が個人デバイス、検証されていないツール、またはパブリックな大規模言語モデル(LLM)を使用する場合、新しい脆弱性を導入し、攻撃面を拡大するリスクがあります。これらの脅威は、データ漏洩、侵害、および極めてセンシティブな保護健康情報が管理されていない環境に入ることにつながる可能性があります。
シャドウAIは、サンホアキンジェネラルホスピタルのチーフメディカルインフォメーションオフィサーであるジョー・イッツォが先手を打ちたいリスクの一つです。彼は先月RSAC 2026カンファレンスの間にこれについて語りました。医療専門家は、投与量、情報検索、医学検索、臨床要約に役立つAIツールを採用しており、イッツォは請求周期アシスタントツールの使用も観察したと述べています。
その多くは危険でも必ずしも悪いわけでもないと、イッツォは追加しました。しかし、それらの検証されていない使用は、影に隠れており、セキュリティ上の課題を悪化させています。認識を高め、AIを安全に使用することは、病院がランサムウェア復旧の途中にあり、すでに十分な混乱に対処している場合に役立つと彼は述べました。
シャドウAIは二重の問題を構成していると、AviatrixのCEOダグ・メリットは述べています。それは単に可視性のギャップを作成するだけでなく、特にAIエージェントの場合、これらのツールが必要とする重大な特権のため、無制限の影響範囲を持つワークロードも作成しています。
AI インフラストラクチャは現在いくつかの場所で十分に強力ではありませんが、シャドウAIは問題を複雑にしていると、メリットはDark Readingに述べています。そして医療向けの環境は「業界のどの環境よりも最もセンシティブなデータを保持している」と彼は言います。
“「AIを使用しろ、AIを使用しろ」”
疲れた医療専門家が成長する圧力の下で働き、負担を軽減しようとするにつれて、シャドウAI活動が加速しています。他の業界と同様に、経営幹部も従業員にAIを使用して生産性を高めるよう促しています。
しかし、一部の専門家はセキュリティチームに通知することなくツールを採用し、資産の可視性を曖昧にしています。これは攻撃面を拡大し、調査時間を遅延させ、バックアップのない復旧不可能なデータを導入することで、ランサムウェア復旧を妨げています。
「人々はAIをもたらしています。私が心配しているのはサイバーセキュリティの態勢です」とメリットは言います。「私自身の従業員にも。私は彼らを追い詰めています。『AIを使用しろ、AIを使用しろ。(しかし)独自のツールをもたらしたいのであれば、当社のドメインセットにそれらを登録してください』と。」
メリットは彼らを責めていません。医療業界の友人との会話を通じて、彼は彼らが行政上の負担を相殺するために、迅速な臨床文書化のために、そして「彼らを壁に追い詰める」他のタスクのためにツールを使用していることを学びました。彼らは追い詰められた状況にあり、患者ケアは依然として最優先事項です。
「これらの人々に、シフトあたり30分から1時間を節約し、患者とより多くの時間を過ごすことができるツールを使用できないと言うようなことを試してください」とメリットは言います。「全く意味がありません。」
AIの誘惑に屈する
グローバル情報技術企業Wolters KluwerによるシャドウAIヘルスケアレポートでは、次のことが判明しました「回答者の41%は、同僚が認可されていないAIツールを使用していることに気づいていました。」回答者の約50%はより速いワークフローのためにそれらを使用したと述べ、3人に1人は「承認されたツールの不足または承認されたツールが必要な機能を欠いている」ことをシャドウAIに目を向けた理由として挙げました。
ベンダーが現在カンファレンス中に医師に直接マーケティングしていることが明らかになったため、誘惑は増加しています。ベンダーは彼らが彼らのツールを使用することができると言うので懸念が生じますが、彼らは具体的に彼らと契約に署名する必要があり、病院のポリシーまたはガバナンスをバイパスします。
「驚いたことに、これらの契約は通常、すべての責任を完全に医師に負わせます。しかし、それは非常に魅力的です」とイッツォは言いました。「特に医師、看護師、臨床スタッフが通常、こうすることを意図的にしているわけではないため。彼らはより効率的になりたいのです。」
代わりに、臨床医とのワークロードについて議論することが重要であり、「どこで改善できるか」を確認することが重要です」と彼は推奨しました。
否定を捨てる
専門家は、人々がシャドウAIの使用を停止しないことに同意しています。「Bring Your Own Deviceはますます蔓延しており、これをかなりシームレスに発生させることができるようになっています」と、The Cyber Health Companyのセオーと創設者のジェレミー・バノンは警告しています。
代わりに、戦略は認識とセキュリティの改善に焦点を当てるべきです。否定はもはや実行可能な状態ではないと、バノンはDark Readingに述べています。
「企業が砂の中に頭を埋めないことが重要です」とバノンは言います。リーダーシップは企業AI計画を作成し、組織のユースケースに対して適切なセキュリティとプライバシーコントロールをデプロイできるベンダーを採用する必要があります。さらに、ツールが導入されるたびに患者がオプトインを持つべきであると、彼は述べました。
組織が従業員が承認されていないツールを使用しないようにするにはどうするかを尋ねることは、「負け戦」であるとメリットは強調します。ツールは生産性が高く、アクセスが容易すぎて停止することができません。「ビジネスの圧力、私が従業員に与えているようなものは非常に激しい」と彼は追加しています。
使用を禁止するのではなく、企業は封じ込めについて心配し、シャドウAIの効果的な検出を確保する必要があると、メリットは推奨しています。組織は、これらのツールが環境で実行されていることを想定し、爆発半径を制限することを優先すべきです。
「AIワークロードをプチプチで包むにはどうすればよいのか。彼らがそこにいることが許可されていますが、彼らが誰と通信しているのか、何が出ていくのかを正確に見ていますか?」メリットは言います。「ワークロードゼロトラストポリシーのスタンスははるかに簡単です。」
翻訳元: https://www.darkreading.com/cyber-risk/shadow-ai-in-healthcare-is-here-to-stay
