CISOs、AI可視性ギャップに対処

Dale Hoakは、数十年にわたってCISOに親しみのある質問を自分自身に投げかけていました：自分は何を見落としているのか？

より具体的には、Hoakはソフトウェア企業RegScaleのCISOで、同社のAI展開に関して何を見落としているかもしれないと思考していました。

「ビジネスはAIを使用する際に非常に高速に進んでいたため、最初はいくつかの可視性ギャップがありました」と彼は言います。

Hoakは、彼の監視機能がその企業の最新のAI使用に関連するすべてのリスクと脅威を特定するのに十分強力ではないと信じていました。そこで彼は既存のツールを再配置し、エンタープライズAI使用を監視するためにインテリジェンスを使用する製品を含む新しいツールに投資して、必要な可視性を得ました。このプロセスには約6か月かかりました。

「時間をかけてログ、SIEM、AIツールを使用して何を見るべきか理解し、現在はギャップがカバーされていると感じています」と彼は述べています。

それでも、彼は懸念を抱き続けています。

さらに、CISOの48%がAIシステムの保護における課題としてAI使用への可視性の限定を挙げており、このスペースでの2番目に大きな課題となっています。（内部専門知識の不足は50%に引用され、第1位に来ました。）

数多くのブラインドスポット

コンサルティング企業ThoughtworksのグローバルCISO、Nitin Rainaは、そのような可視性ギャップを生み出す複数のシナリオを強調しています。1つはシャドウAIです。

「最初は12～18か月前、人々が[無認可バージョンの] ChatGPTやGeminiを使用したり、独自のニッチなAIツールを購入したりしているのが見られました。それは遅くなりましたが、それはまだリスクの1つです」とRainaは言います。

もう1つは、会社で既に使用されている製品のソフトウェアメーカーによるAI機能の導入です。「私たちが使用しているベンダーがAI機能を追加していて、時々その完全な可視性がない」と彼は言い、彼のセキュリティチームがそれらのベンダーがデータとAI関連の脆弱性をどのように処理しているかを理解するための仕事にもかかわらず。

プロバイダーによって提供されるモデルもブラインドスポットを生成します、とRainaは追加し、CISOは一般的に何らかのレビューを行うことができますが、モデルへのディープダイブを実行して、結果を受け入れられないレベルに歪める可能性のある問題があるかどうか、またはデータをそれがすべき場所以外に送信するかどうかを判断することはできません。

さらに別のものは、Rainaが言う、エージェントAIであり、そのリスクには幻覚またはプロンプト注入、および失敗が含まれます。それらの速度による自律的なアクション従来のセキュリティツールで検出するのが難しい。

多くの人々は、AIの周りのセキュリティ状況をクラウドの初期段階と比較しており、その時点でCISOは同様にシャドウ展開、未知のリスク、および可視性の課題を経験しました。

現在の課題はより重要であると、IANS Researchのシニアリサーチディレクター、Nick Kakolowskiは言っています。経営幹部は競争上の利点のためにAIを使用するレースで遅れることを恐れており、より多くのリスクを取る意思があるため、彼は言っています。それは迅速なAI実装と通常の調達チャネル外での展開につながりました。その結果、「ブラインドスポットはどこにでもあります。」

CISOはまた、第4者AI システムへの完全な可視性とその使用が伴うリスクがないことがよくあります。

従業員がいくつかのAIエンジンで得ている結果の精度についても同様です。「誰も完全にはAIの結果を評価し、AIによって作成されるコンテンツの品質を評価する方法を理解していません」とKakolowskiは言っています。「AIの出力の品質と信頼性を評価することはできませんし、それを効果的に行うために人々を装備する方法も知りません。」

AI生成コードについても同様に、AIを使用することの容易さのおかげで、開発チーム外でますます作成されています。「彼らはバイブコーディングを使用しており、CISOはそのAI生成コードが統合されている場所を知らないかもしれません」とKakolowskiは言っています。

CISOはまた、AIエージェントが他のエージェントにアクセス特権を付与するかどうかを知らないかもしれません。彼らはワークフローを実行する際に、別のブラインドスポットを作成します。

また、セキュリティ幹部は彼らの組織のAI機能の倫理的含意について暗くされているかもしれません。「CISOはリスクの倫理的側面にあるものに引き込まれることが多く、この倫理的AIの問題は彼らの1つとして浮上し始めています」とKakolowskiは追加しています。

CISOが明確なビューを持たないかもしれない別の領域：彼らの組織がAI戦略によって導入されたブラインドスポットのラインをどこに引くか。「組織のリスク許容度を推測することは高レベルのブラインドスポットです」とKakolowskiは言い、可視性ギャップを閉じたいCISOは、「組織が合理的対非合理的と考えるもの」を定義することから始める必要があることに注意しました。それはCISOが次のステップを理解するのに役立ちます。」

可視性の獲得

CISOはブラインドスポットを持つことの結果を認識していると言い、データ漏洩と問題のあるAI出力が一般的なものです。

彼らは現在、そのような問題を防ぐために必要な可視性を得るために取り組んでいると、デジタルコンサルティングおよびテクノロジーサービス企業であるSynechronのCISOおよび最高リスク責任者であるAaron Mominは言っています。

「ビジネスはAIを採用するために委任されていますが、この問題は、ビジネスが光速で移動しており、CISOは追いついているばかりです」とMominは追加しています。

他のセキュリティチーフのように、Mominは、整備されたセキュリティ戦略、セキュリティおよびAIフレームワーク、および会社のリスク欲求とリスク許容度の明確な理解に依存しています。彼はまた、彼の組織のAI展開を保護し、可視性を改善するために、人、プロセス、テクノロジーに依存しています。

それでも、彼は従来のセキュリティツール、URL フィルタリングやデータ損失防止（DLP）ソリューションなどがコントロールのレイヤーを提供するが、CISOが必要とするAI使用の包括的なビューを提供していない場合、ブラインドスポットが残される可能性があることを認めています。

「それらは必ずしも十分ではありません。あなたが必要なもの の80％または90％に達することができますが、より高い可視性を得るには、追加のツールを追加する必要があります」とMominは言っています。

しかし、これはCISOにとって別の課題を提示しています。

「これらのツールは成熟している必要があり、拡張される必要があり、完全な可視性を得るためにはより広くする必要があります」とMominは言っています。「現在、一部のベンダーはセキュリティツールで提供されている機能をアップグレードしており、新しいツールが市場に出ています。そして、彼らはあなたに完全な可視性を与え始めています。」

Thoughtworksの Rainaは、彼のセキュリティチームが組織のAI展開、その脆弱性、およびそれらのリスクの完全な画像を持っていることを確認するために、可視性を改善するための多角的なアプローチを推奨しており、可視性を改善するための同様の見方を持っています。そのアプローチは、行政、ガバナンス、およびテクノロジーコントロールの組み合わせを組み合わせたもので、これはセキュリティで長い成功の歴史があります。

しかし、専門家は、AIに関しては、試され、真のその組み合わせは完全な可視性を得るのに十分ではないと言っています。

Pteraのサーベイによると、CISOは完全な可視性を報告せず、シャドウAIもありません。3分の1は、シャドウAIが可能性があると言う良い可視性を持っていると言っていますが、66％は、シャドウAIが既知の問題である限定的な可視性があると言い、1％は可視性がないと言っていました。

完全な可視性は不可能かもしれません。少なくとも現在のところは、イースタンミシガン大学の情報セキュリティおよび応用計算学部の教授および責任者であるJared Oluochは言っています。現在のツールとセキュリティ戦略はブラインドスポットを制限しますが、それらを完全に排除しません。「彼らは負の影響を最小化することができます」と彼は追加しています。

それが目標です、エンターテインメント業界向けの製作ソフトウェア、給与、およびサービスのプロバイダーであるCast ＆ Crewのシニア CISOであるTal Hornsteinは言っています。

他の人のように、Hornsteinは長年のセキュリティ原則に依存し、機密性、整合性、および可用性（CIA）のトライアドを、AIが確立されたガードレール内で機能し、その動作を観察できることを確認するためのアプローチの基礎として引用しています。

Hornsteinはまた、より良い可観測性と実行を提供するための新興テクノロジーを探しています。しかし、彼は現時点ではセキュリティテクノロジーが完全な可視性を実現していないことを認めています。「彼らはまだ完全に成熟していない」と彼は言っています。

それは今のところ十分でなければならない、と彼は、CISOが可視性の課題がAI採用を遅くすることを許可できないと言っています。

「AIは最も素晴らしいテクノロジーであり、それを使用しない人は取り残されます」とHornsteinは言っています。「ですから、CISOとビジネスリーダーとして、AIを阻止するバリアを張らず、組織が望む速度と量で移動できるようにしながらリスク軽減を提供するガードレールを構築することが重要です。」