シャドウAIが企業セキュリティを脅かす

AI技術が急速に進化する中、組織は新たなセキュリティ上の脅威に直面しています：シャドウAIアプリ。ITやセキュリティの監督なしに従業員が開発したこの非許可アプリケーションは、企業内に広がっており、最近のVentureBeatの記事で強調されたように、多くの場合、気付かれずに存在しています。

VentureBeatによると、これらのアプリの多くは意図的に悪意を持っているわけではありませんが、データ侵害からコンプライアンス違反に至るまで、企業ネットワークに対して重大なリスクをもたらすと説明しています。

シャドウAIアプリは、従業員が日常的な作業を自動化したり、業務を効率化したりするために作られることが多く、企業独自のデータで訓練されたAIモデルを使用しています。

これらのアプリは、OpenAIのChatGPTやGoogle Geminiのような生成AIツールに頻繁に依存していますが、必要な保護措置が欠けているため、セキュリティ上の脅威に非常に弱いです。

プロンプトセキュリティのCEO、イタマール・ゴラン氏によると、「これらのうち約40%は、あなたが提供する任意のデータに対してトレーニングを行うデフォルト設定になっているため、あなたの知的財産が彼らのモデルの一部になり得ます」とVentureBeatが報じています。

シャドウAIの魅力は明白です。厳しい締め切りと複雑な仕事量に直面している従業員たちは、生産性を向上させるためにこれらのツールに頼っています。

WinWireのCTOであるVineet Aroraは、VentureBeatsに対して「部署が公認されていないAIソリューションに飛びつくのは、その直接的な利益があまりにも魅力的だからです」と指摘しています。しかし、これらのツールがもたらすリスクは深刻です。

Golanは、VentureBeatsの報告によれば、「それはまるでツール・ド・フランスでのドーピングのようなもの。人々は長期的な結果を理解せずに優位性を求めます」と、シャドウAIをスポーツでのパフォーマンス向上薬になぞらえています。

それらの利点にもかかわらず、シャドウAIアプリは組織を様々な脆弱性に晒します。それには、偶発的なデータ漏洩と、伝統的なセキュリティ対策では検出できないプロンプトインジェクション攻撃が含まれます。

問題の規模は驚愕的です。ゴラン氏はVentureBeatsに対し、彼の会社が毎日50の新しいAIアプリをカタログに追加しており、現在使用中のものは12,000以上あることを明らかにしました。「津波は止められないが、ボートは作れる」とゴラン氏は助言し、多くの組織が自分たちのネットワーク内でのシャドウAIの使用範囲に対して盲目的であるという事実を示しています。

例えば、ある金融会社は10日間の監査で65の無許可AIツールを発見しました。これは、VentureBeatsが報じたように、セキュリティチームが予想していた10ツール未満よりもはるかに多いです。

シャドウAIの危険性は、規制されたセクターにとって特に深刻です。一度、独自のデータが公開AIモデルに供給されると、その制御が難しくなり、潜在的なコンプライアンス問題につながります。

ゴランは警告します。「今後のEU AI法は、GDPRの罰金をさらに上回る可能性があります」と。アロラはデータ漏洩の脅威と、機密情報を保護することに失敗した組織が直面する可能性のある罰金を強調しました。これはVentureBeatsによって報じられました。

シャドウAIの増大する問題に対処するために、専門家たちは多角的なアプローチを推奨しています。アロラは、組織が集中的なAIガバナンス構造を作成し、定期的な監査を行い、AI駆動の悪用を検出できるAI認識型のセキュリティコントロールを展開することを提案しています。

また、企業は従業員に事前に承認されたAIツールと明確な使用ポリシーを提供するべきです。これにより、未承認のソリューションを使用する誘惑を減らすことができます。