無許可AI利用「シャドーAI」を防ぐには？ 今すぐ実行できる4つの施策：「シャドーAI」のリスクと対策【中編】

従業員がIT部門の許可なしにAIツールを使う「シャドーAI」は、企業にとって深刻なリスクだ。IT部門はどうすればシャドーAIを防げるのか。すぐに実施できる4つの対策を説明する。

[Grant Hatchimonji，TechTarget]

　画像やテキストを自動生成するAI（人工知能）技術「生成AI」ツールは、さまざまな作業を自動化できるという意味で企業に大きなメリットをもたらす。しかし、生成AIツールの利用を巡るリスクもある。その一つは、従業員がIT部門の許可なしに使う「シャドーAI」だ。シャドーAIはデータ流出やコンプライアンス（法令順守）違反につながりかねない。シャドーAIを抑制するには、どうすればいいのか。4つの対策を紹介する。

シャドーAI撲滅のために知りたい「4つの対策」

併せて読みたいお薦め記事

連載：「シャドーAI」のリスクと対策

• 前編：従業員の無断利用が招く「シャドーAI」で発生し得る“とんでもない”4つのリスクとは

AIとセキュリティ

• 「生成AI」活用で見落としがちな盲点とは？　今すぐ始めるセキュリティ対策
• AI時代にセキュリティの負担は増すばかり……優先すべき脅威は？

　企業はシャドーAIのリスクを軽減するために、さまざまな対策を講じることができる。シャドーAIを完全になくすことは難しいが、以下の対策によって悪影響を抑えることが可能だ。

対策1．モニタリング

　ネットワーク監視ツールを使って従業員の行動やネットワークの利用状況をモニタリングすれば、シャドーAIを特定できる。許可されていないツールの利用を検出し、ネットワーク接続を遮断するといった処置が可能だ。ネットワーク監視ツールには、シャドーAIを「いつ」「誰が」「どう使ったか」を明らかにするための監査機能もある。

対策2．AIガバナンスの確立

　企業はAI技術の利用に当たり、過度な制約を避けたいと考える傾向がある。とはいえ、さまざまなリスクを軽減するためのルールづくりは欠かせない。AIガバナンスを構築するときは、許可されているAIツールの一覧、AIツールの利用方法、利用に当たっての責任範囲などを定めて、従業員に指導することが重要だ。特に、AIツールの倫理的利用や機密情報の取り扱いを軸にしたコンプライアンス意識を高める教育に取り組みたい。

対策3．AIのモデルリスク管理（MRM）

　AIツールの中核は、データを分析して回答を生成する「AIモデル」だ。AIモデルは、攻撃を受けて不正な指示が与えられる他、誤った設定などによって偏りのある回答や不正確な回答を生成する恐れがある。そうしたことを避けるための手法として、AIモデルに特化したモデルリスク管理（Model Risk Management：MRM）がある。MRMは、AI技術利用に内在するリスクを明確に定義し、それに対処する管理体制を整備する。企業はMRMによって、リスクの予見と責任の明確化を実現し、安全なAI技術利用に取り組めるようになる。

対策4．従業員教育と部門連携

　他のセキュリティ対策と同様、シャドーAIを防ぐためには、継続的な教育によって、従業員にシャドーAIのリスクを伝えることが不可欠だ。企業はIT部門や法務部門などとの連携を深め、社内で知識を共有しながら、AIガバナンス体制を強化することが求められる。

---

　後編は、シャドーAIの対策を講じる際の注意点を取り上げる。