AI技術の急速な進歩により、社内でも生成AIなどを活用する企業が増えてきました。一方、生成AIの活用に伴い、個人情報や機密情報の漏えいといったセキュリティ上の懸念も増大しています。
多くの企業がAIに対する十分なセキュリティ対策を実施できておらず、いわば「野放図」な状態となっているのが現状です。AIセキュリティ対策に頭を悩ませている情シス担当者も少なくないでしょう。
本記事では、AIとセキュリティに関する現状について調査レポートを基に紹介するとともに、まだ「野放図」になっている企業のAIに関する向き合い方について解説します。
①92%の日本企業がAIで拡大するサイバー脅威に対応できる成熟度を備えていない。
②97%の日本企業が新たな脅威の理解、迅速なサイバー攻撃への対応体制の確立に苦戦。
③社内AI利用の実態を把握し、情シス主導でのガイドライン制定や全社教育が重要。
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
はじめに、AIとセキュリティに関する現状について、Accentureの調査レポートを参考に解説します。
AIの台頭により、サイバー攻撃はかつてないほどのスピードと規模で企業を脅かしています。日本における調査結果では、92%の企業がAIで拡大するサイバー脅威に対応できる成熟度を備えておらず、82%の組織が重要なデータやインフラを保護するAIセキュリティ対策がなされていないと回答しています。
急速なAIの導入やデータ活用の強化など、多くの企業がDX推進としてビジネス変革に向けた取組みを行っています。しかし、AI導入やビジネス変革のスピードにセキュリティ対策が十分に追いついておらず、ビジネス変革の取組みにセキュリティを組み込んでいる企業はわずか25%となっています。
AI開発とセキュリティ投資のバランスを取っている組織も割合も42%と半数以下であることから、AI導入スピードに対してセキュリティ対策が後回しになっている現状がうかがえます。
AIの普及に伴い企業はセキュリティ強化を迫られている一方、セキュリティ体制を十分に整備できていないのが現状です。日本では84%の企業がビジネス変革目標に見合うサイバーセキュリティ戦略の策定・運用に苦慮しています。
また、97%の企業が新たな脅威の理解、迅速なサイバー攻撃への対応といったレジリエンスの確立に苦戦していることから、不十分なセキュリティ体制のままAI導入を推進している状況となっています。
前述の調査結果のとおり、多くの企業がAIに対するセキュリティ対策が不十分であり、いわば「野放図」な状態であるといえます。それでは、情シス部門はこの「野放図」なAI運用に対してどのように向き合っていけばよいでしょうか。
ここでは、情シス担当者が取るべき4つの具体的なアクションについて解説します。
「野放図」な状態を脱する第一歩は、現状把握です。どの部署が・どのようなAIを・何の業務で利用しているかを把握することが重要となります。プロキシサーバのアクセスログ解析などを通じて、社内からのAIサービス利用実態を徹底的に可視化しましょう。
利用目的や入力されている情報の種類を把握し、どこに大きなリスクが潜んでいるかを洗い出すことが対策の出発点となります。
AIの社内利用を全面的に禁止するのは、事業部門からの反発を招き、シャドーITを生む温床となるため現実的ではありません。そこで情シス部門が主導し、明確なAI利用ガイドラインを策定することが重要です。
ガイドラインでは、例えば以下のような安全に使うための具体的な事項を示すことが重要です。
・会社の機密情報や個人情報は絶対に入力しない
・AIの生成物は必ず人間がファクトチェックし、鵜呑みにしない
・著作権を侵害するような利用は行わない など
誰にでも理解できる具体的なルールを定めて全社に周知徹底することで、秩序あるAI活用につながります。
ガイドラインで利用を制限するだけでは業務効率化の機会損失につながりかねないため、安全な利用環境を提供することが重要です。例えば、入力したデータが外部のモデル学習に使われない安全な法人向けサービスなどを会社として契約し、社内公式ツールとして全社に提供することで、従業員に安全な利用環境を提供できます。
それにより、「野放図」なAI利用を抑制し、情シス部門が社内のAI活用をリードすることができるでしょう。
AI技術とそれに伴うリスクは、日々著しいスピードで進化しています。情シス担当者は、最新のAIセキュリティ動向や新たな脆弱性、各国の法規制の動きなどを常にウォッチし続けることが必要です。
加えて、重要となるのが従業員教育です。得られた最新知識を基に、従業員に対して定期的なAIリテラシー教育や注意喚起を継続的に実施することが不可欠となります。最終的にデータ入力などを行うのは「人」である以上、従業員一人ひとりのセキュリティ意識を高めることが本質的なセキュリティ対策となるでしょう。
AIの急速な普及により、多くの企業がAIセキュリティ対策に課題を抱えています。AIセキュリティ問題は、顧客情報や企業の機密情報の漏えいといった甚大なリスクにつながるため、情シス部門を中心に企業全体での対策が欠かせません。
社内のAI利用の実態を洗い出し、具体的なAI利用のガイドラインを設けることが重要です。
また、AIの最新動向を継続的にキャッチし、情シス部門主導で全社的なAIリテラシーの底上げを図る啓蒙・教育活動も大事なポイントとなるでしょう。
(TEXT:まにほ、編集:藤冨啓之)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
本特集はこちら
30秒で理解!フォローして『1日1記事』インプットしよう!
