企業が何らかの製品やソリューションを導入する際、生成AI(人工知能)と無関係ではいられなくなってきた。製品導入や運用でどのような課題が生じるのだろうか。
生成AIで企業が弱体化? その理由
CIO(最高情報責任者)が大規模言語モデル(LLM)に関する技術の浸透に備えて企業のデータ資産を整理する中で、ある共通した不安が表面化してきた。
マサチューセッツ州ケンブリッジで開催されたMIT Sloan CIO Symposiumでは各社のCIOが生成AIに対する不安を明らかにした。
McKinsey and Companyのヤン・シェリー・ブラウン氏(パートナー)は、2024年5月14日、「新たな技術は新たな脆弱(ぜいじゃく)性をもたらし、製品などの採用時にリスクとなる。生成AIモデルの開発と導入のスピードが企業の懸念を強めている」と述べた(注1)。
「生成AIを用いたサードパーティー製品を導入する場合、適切な入力データとアクセス制御がなければ、セキュリティギャップが露呈する結果につながるだろう」(ブラウン氏)
組織内部での行動やプロセスを制御し、望ましくない結果やリスクを防ぐための内部の指針や制約、つまり社内のガードレールとデータガバナンスの強化は(注2)、生成AI戦略を策定する組織にとって重要な課題だ。しかし、生成AIを活用した生産性向上ツールやLLM(大規模言語モデル)対応ソフトウェアの急速な普及は(注3)、最も厳しい管理措置でさえも弱体化させる可能性がある。
セキュリティソフトウェア企業Black Kiteのジェフリー・ウィートマン氏(シニアバイスプレジデント)は、パネルディスカッションで「知らされているかどうかにかかわらず、皆さんのビジネスは全てAIを活用している。皆さんが取引しているベンダーはAIを使っている。ビジネスに何が起こっているのかを把握していなければ、問題の解決は非常に困難になる」(ウィートマン氏)
クラウドと生成AIの共通点は
クラウド領域のベテランにとって、クラウド導入後のセキュリティ問題は身近な課題だ。クラウドの脅威は企業の長年の懸念事項であり(注4)、コストの問題に次ぐ。
大手ホームセンターHome Depotのファヒム・シディッキ氏(エグゼクティブバイスプレジデント兼最高情報責任者)は、パネルディスカッションで「クラウドに移行した結果、クラウド関連の主な課題がサイバーセキュリティの問題だということに気付いた」と述べた。同氏によると、生成AIにも同様のことが言えるという。
「私たちは、ソーシャルエンジニアリングや認証情報の共有、攻撃者が持つさまざまな出入り口に対する考え方を再構築しなければならない。いわばドアや窓だけでなく、天井から飛び込んでくるかもしれないし、壁に穴を開けるかもしれないからだ」(シディッキ氏)
シディッキ氏によると、Home Depotはすでに従来のAI/ML(機械学習)を活用した防御ツールを使ってサイバーオペレーションを強化しているという。しかし、同氏は、未検証の生成AIモデルにセキュリティソリューションを任せるのは時期尚早だと考えている。
その代わりに、シディッキ氏の組織はHome Depotの従業員全体の意識を高め、生成AIの利用を安全に進めるために必要な知識を幹部や従業員に提供しようとしている。
「私たちのサイバーチームには、従業員に対して、すべきこととすべきでないことを伝えて教育し、テストするための専門チームがある。人々が愚かなことをしないように支援する必要がある」(シディッキ氏)
出典:AI raises CIO cyber anxieties(CIO Dive)
注1:Lured by emerging technology, CIOs aim for balance(CIO Dive)
注2:Salesforce bundles AI, data governance tools(CIO Dive)
注3:Employees are using AI at work ― even without CIO approval(CIO Dive)
注4:Costs, not security, worry enterprise leaders most as cloud estates multiply(CIO Dive)
© Industry Dive. All rights reserved.
関連記事
- 生成AIをサイバー防衛に使う どのような効果があるのか
CrowdStrikeは生成AI「Charlotte AI」を発表した。サイバー防衛に役立つという。どのように役立つのだろうか。 - 「生成AIはエナジードリンクだ」 セキュリティベンダーにIDCが苦言
AIはサイバーセキュリティを変える力を持っている。だが、重要なのはAIそのものではない。 - セキュリティ業界で「生成AI」は武器となるか、技術のムダ遣いとなるか
大手のサイバーセキュリティ企業の経営陣は生成AI技術を防御力向上に役立つ「銀の弾丸」のように扱っている。このような見方は正しいのだろうか。