Techstrong Groupは1月20日(米国時間)、セキュリティブログ「Security Boulevard」の記事「The AI Revolution No One Saw Coming Until It Was Too Late - Security Boulevard」において、生成AIツールの急速な発展と導入に企業ガバナンスが追いついていないと指摘した。
従業員がAIツールを採用する速度は組織がAIを管理する速度より速く、可視性、制御、コンプライアンスに重大なギャップを生じていると警鐘を鳴らした。
AIツール導入の加速
生成AIの草分け的存在のChatGPTが登場してから2年余りが経過した。当初、生成AIを活用する組織は少なかったが、この2年で瞬く間に増加し、近年ではさまざまなSaaS(Software-as-a-Service)に組み込まれている。
今回セキュリティ企業のGripは、2025年版SaaSセキュリティリスクレポートを公開し、加速する生成AIツールの導入と企業ガバナンスについてデータ分析の結果を伝えた(参考:「2025 SaaS Security Risks Report」)。
レポートによると、従業員によるAIツールの使用は日常業務に深く根付き、積極的に使用し、多くの場合、無意識に機密データを共有しているとされる。最もよく使用されるAIツールはMicrosoft、Google、Zoom、Adobeなどが提供するサービスに組み込まれた機能で、分析対象組織の97%以上が使用している。
企業のソフトウェア管理担当者が認識していないAIツールとしては、GitHub(約83%の組織が導入)、Canva(約83%)、Grammarly(約82%)、Notion(約73%)、Jasper(約39%)を挙げている。
ニッチなAIアプリの人気
MicrosoftやGoogleなどが提供する大規模なサービスに関連したAIツールは、多くの場合、組織のレビューを経て採用され管理されている。しかしながら、CanvaやGrammarlyなど、ニッチなアプリはその利用者数の多さに比べ、組織の管理が行き届いていない。
レポートではさらに懸念される問題として、SAML(Security Assertion Markup Language)機能をサポートしていないAIツールの使用を挙げた。これらツールは主に小規模プロジェクトや個々の従業員向けに提供され、組織の管理システムをバイパスする。
従業員が生産性を上げようとこれらツールを使用すると、無意識にリクスを作り出すことになり、組織のセキュリティ体制を脅かすことになる。また、管理されていない隠れたAIツールは脅威アクターの侵入経路となる可能性がある。
AIガバナンスの構築を
Gripは記事の最後で次のように述べている。
AIは単なるツールではなく革命です。しかし、強力なガバナンスがなければ、資産ではなく負債になるリスクがあります。AI導入のスピードは組織を驚かせたかもしれませんが、未来はAIを受け入れつつ、その安全性を確保する技術を習得した人たちのものになります。
AIはこれからの組織の発展に必要不可欠となりつつある。新しいツールの導入は組織にメリットとデメリットをもたらす。そのデメリットとなるセキュリティ上の課題を克服するため、企業にはAI主導のエコシステムを網羅した新しい戦略を構築することが求められている。