無許可AI利用「シャドーAI」対策を万全にするために自問すべき“4つの質問”:「シャドーAI」のリスクと対策【後編】
「シャドーAI」の防止策が有効に機能しているかどうかを測る際に、指標となる4つの質問がある。これらに明確に答えることができるならば、シャドーAIによるリスクを確実に軽減できる。どのような質問なのか。
画像やテキストを自動生成するAI(人工知能)技術「生成AI」ツールを、従業員がIT部門の許可なしに使うことを「シャドーAI」と呼ぶ。シャドーAIの防止策を講じることは企業にとって急務だ。自社のAIガバナンスを点検し、強化するために役立つ「4つの質問」とはどのようなものなのか。
シャドーAIのリスク管理に不可欠な4つの質問
併せて読みたいお薦め記事
連載:「シャドーAI」のリスクと対策
AIとセキュリティ
企業がシャドーAIの防止策を講じるに当たり、以下の問いに対して明確に答えることができれば、シャドーAIによるさまざまなリスクを管理し、ガバナンスを強化する体制が整っていると言える。
質問1.従業員はシャドーAIのリスクを十分に理解しているか
シャドーAIの背景には、「リスクをよく知らなかった」や「生成AIツールを使っても問題ないと勘違いしていた」といった無知や誤解がある。企業は定期的な教育や日頃の社内コミュニケーションを通じて、従業員にAIツールの正しい申請方法や利用方法を伝えることで、シャドーAIによる問題発生の予防が可能になる。
質問2.シャドーAIを防止するためのポリシーとガバナンス体制はあるか
生成AIツールの無許可利用を防ぐには、まず「無許可とは何か」を明確に定義する必要がある。その上で、承認された生成AIツールと使用方法を明示したガイドラインを整備すれば、従業員はルールを守りつつも生成AIツールの恩恵を享受できる。
質問3.自社のどこにシャドーAIが存在する可能性があるか
将来に向けた対策を講じていても、すでに社内にシャドーAIが入り込んでいる可能性は否定できない。そのため、実際に未承認の生成AIツールが使用されている可能性がある箇所を洗い出す必要がある。反復業務や定型作業を抱える部門は、シャドーAIの温床となりやすいため、重点的な確認が求められる。
質問4.ネットワークの監視と制御は十分にできているか
シャドーAIを防ぐには、ネットワークとセキュリティの監視体制が不可欠だ。特定の生成AIツールのブロック、トラフィック監視、ワークフローの監査といった対策を通じて、ガバナンス方針の実行と責任の明確化を図ることができる。
シャドーAIの今後と、企業に求められる対策
AI技術は進化が早く、エンドユーザーにさまざまな便利機能を提供するので、今後、シャドーAIのリスクはさらに高まると考えられる。一方で、生成AIツールの利用を検出するツールやデータ損失防止(DLP:Data Loss Prevention)ツールが普及し、技術面でシャドーAIに対抗しやすくなる可能性がある。DLPツールは、生成AIツールと機密情報が共有されているかどうかを監視する他、必要に応じて情報送信をブロックする機能を持つ。
AIセキュリティに関するガイドラインやフレームワーク(行動指針)もある。例えば、米国立標準技術研究所(NIST)はAIツール利用時のリスクを管理するためのフレームワーク「AI Risk Management Framework」(AI RMF)を策定している。このフレームワークは官民連携で開発され、AIツールの安全な設計や運用を推進するためのものだ。国際標準化機構(ISO)は、AIシステムの管理に関する国際規格「ISO/IEC 42001」を発行している。
AI技術関連の法規制を把握することも大切だ。欧州連合(EU)は、2025年2月から「AI法」(Artificial Intelligence Act)を段階的に施行している。AI法は、一部AIツールの使用を禁止したり、AIツールの利用に際してコンプライアンス(法令順守)を義務付けたりする。一方、米国ではAIツールの利用に対する規制緩和の動きもある。
AI技術はまだ発展途上にある。シャドーAIを完全に排除することは難しいが、適切なツールやガバナンス、従業員の意識向上によって、安全で法令を順守した生成AIツールの利用は十分に可能だと言える。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。