シャドウ AI: 未来を再構築するが、その代償は?

シャドウ AI がビジネスに与える影響を探ります: リスク、戦略、安全で革新的な未来の探求。企業はこの新たなフロンティアをどのように乗り越えていくのでしょうか?

2023 年 12 月、Amazon は最新のAIベンチャー Q を発表し、ChatGPT のような消費者中心のチャットボットに代わるより安全な代替手段を約束しました。しかし、その興奮も長くは続きませんでした。発表からわずか 3 日後、Amazon Q は論争に巻き込まれました。従業員は、Q が Amazon の厳しい企業基準を満たしていないことが明らかになり、セキュリティとプライバシー対策が不十分であることに懸念を抱いていました。批評家は、同社が「幻覚」を起こし、AWS データセンターの場所、未発表の製品機能、社内割引プログラムなどの機密情報を漏洩する傾向を強調した。 Amazon のエンジニアは、将来の放射性降下物を防ぐために「重大度 2」の緊急事態としてタグ付けされた重大な問題に対処するため、ダメージコントロールモードに強制的に移行しました。

同じ頃、サムスン電子は自社の AI による頭痛に取り組んでいた。機密の内部ソース コードが ChatGPT に侵入し、明らかなセキュリティ脆弱性が明らかになりました。反応は迅速で、生成 AI ツールの全社的な禁止が社内メモを通じて伝えられました。 Samsung の決定は、Google Gemini や Microsoft Copilot などの外部 AI プラットフォームでのデータ管理の難しさを浮き彫りにしており、データの取得と削除の制御は困難です。この動きは、これらの AI サービスをデジタルトロイの木馬とみなしている65% の Samsung 従業員の懸念を反映しています。生産性への禁止措置の影響にもかかわらず、サムスンは毅然とした姿勢を保ち、安全なAI使用環境が確立されるまで、翻訳、文書要約、ソフトウェア開発のための社内AIソリューションを開発することを選択した。

Appleもこの争いに加わり、従業員にChatGPTや類似のAI搭載ツールの使用を禁止した。この禁止措置は、これらのツールが直接の競合相手であるマイクロソフトと提携していることによって部分的に拍車がかかり、アップルの機密データのセキュリティに対する懸念が高まった。この傾向はテクノロジー大手に限ったものではありません。 JPモルガン・チェース、ドイツ銀行、ウェルズ・ファーゴなどの金融大手も、機密の金融情報を第三者の目から守ることを目的として、AIチャットボットの使用を制限した。

しかし、これらの制限により、従業員が効率と時間の節約を求めて仕事で個人のデバイスを使用する「シャドウ AI」の文化が図らずも生まれ、AI の使用における政策と実践の大きなギャップが浮き彫りになりました。

シャドウ AI: 目に見えない脅威

具体的なデータは不足していますが、AI の制限がある企業の多くの個人がそのような回避策を採用していることを告白しています。それについて公にしているのは彼らだけです。このシャドウ AI の使用法は多くの組織で蔓延しており、会社のポリシーに反する、または違反する方法での AI の使用を奨励しており、従業員が隠蔽せざるを得ないと感じている活動となっています。

この問題をさらに深く掘り下げていくと、 企業が職場での genAI の使用を制限しているという多くの話にもかかわらず、 従業員の使用が減っていないようであることを裏付ける最近の研究がいくつか見つかりました。デルによる最近の調査によると、回答者の 91% が生活の中で何らかの形で生成 AI に手を出したことがあり、さらに 71% が特に仕事で使用したことがあると回答しています。

ISACAが実施した調査では、職場での AI の導入と、オーストラリアとニュージーランドでの AI の使用を管理する正式な政策との間に大きなギャップがあることが浮き彫りになっています。これらの地域の従業員の 63% がさまざまなタスクに AI を利用していますが、AI を正式に許可している組織は 36% のみです。調査によると、AI は文書コンテンツの作成 (51%)、生産性の向上 (37%)、反復的なタスクの自動化 (37%)、意思決定の改善 (29%)、および顧客サービス (20%) に適用されています。しかし、AI の使用に関する包括的なポリシーを持っている組織は 11% のみで、21% はポリシーを確立するつもりがありません。

さらに、ISACA の調査では、組織内で AI 関連のトレーニングが不足していることが示されており、全スタッフに AI 関連のトレーニングを提供しているのはわずか 4% で、57% は AI テクノロジーの直接的な影響を受ける従業員に対してもトレーニングを提供していません。この状況は、従業員が正式な承認なしに IT リソースを使用し、組織のセキュリティとガバナンスを危険にさらす可能性があるシャドー IT に関するものと同様の懸念を引き起こします。

リスクと責任の新たなフロンティアをナビゲートする

シャドウ IT が企業に忍び寄ったのと同じように、シャドウ AI はすでに存在しており、組織は GenAI の使用方法を模索しながら、GenAI のスタンスに正面から対峙する必要があります。

専門家は、生産性を大幅に向上させ、時間を節約するため、ガードレールによって従業員が AI ツールを使用することを妨げることはないと考えています。したがって、企業の CIO はこの問題に直面し、組織のリスク許容度に合わせた緩和戦略を模索する必要があります。必然的に、善意を持つ従業員は効率を高めるためにこれらのツールを利用することになるため、企業の技術リーダーはこの傾向に積極的に対処し、効果的に管理することで、組織への潜在的な損害を防ぐことができます。

すべての従業員による AI ツールの操作は、潜在的な脆弱性となる可能性があります。

シャドー IT の歴史は、30,000 人の個人データの公開につながった、セキュリティで保護されていない Amazon S3 バケットに関する悪名高い事件など、重大なデータ侵害によって特徴付けられます。これらの歴史的な前例は、AI 時代における厳格なデータ ガバナンスの必要性を強調する警告の物語として機能します。

シャドウ AI は、いくつかの理由から、シャドウ IT よりも手ごわい課題です。まず、AI ツールの使用が分散化されているということは、データの悪用や漏洩の可能性が従業員の技術的なサブセット (開発者など) に限定されず、組織全体に広がることを意味します。さらに、 AIaaS (AI as a Service) モデルは本質的に、処理するデータから学習するため、二重層のリスクが生じます。つまり、AI ベンダーによる機密データへのアクセスの可能性と、悪意のある行為者が公開されたデータを発見して悪用する能力の強化です。

シャドウ AI に取り組む戦略

EMEAおよびアジアの地域副社長でSASのデジタルトランスフォーメーション責任者であるアミール・ソラビ氏によると、データファーストの考え方を持つテクノロジーリーダーは2024年以降も効率の向上を推進できるようになるという。これは、生成 AI ツールの利点を最大化するには、データがよく整理されていることを条件としており、データ アクセス、衛生状態、ガバナンスを含む堅牢なデータ管理慣行が必要であるためです。

Dell Technologies の Gen AI 兼クラウド エバンジェリスト リーダーである Nick Brackney 氏は、CIO.com への記事の中で、企業がシャドウ AI とうまく戦うために使用すべき「3 つの規範的な方法」を指摘しています。

まず、生成的 AI の使用に関する一元化された戦略を確立し、経営幹部が関与してユースケースを定義し、安全なアクセスを作成し、データを保護します。このアプローチにより、組織全体での適用と拡張が簡素化されますが、成功を確実にするために簡単な勝利を構築および特定するための労力が必要になります。

次に、データを整理し、企業秘密や機密情報など、どの種類のデータをパブリックまたはホスト型のプライベート クラウド AI 製品に配置すべきでないのかを理解します。このような種類のデータについては、完全な制御を可能にするか、会話ログを保持しない AI ソリューションを使用してください。

3 番目に、オンプレミスまたは安全なクラウド ソリューションを通じて AI サービスをデータに取り込んで制御し、ガバナンス、従業員の生産性、安全なデータ アクセスの利点を活用します。このアプローチにより、エンドユーザー エクスペリエンスが向上し、コンプライアンスが確保され、データ漏洩のリスクが軽減されます。

明確なAI 許容使用ポリシーを作成することは、組織に損害を与える可能性がある不適切な AI 慣行を明確にし、データ セキュリティ プロトコルとリスク管理戦略に沿って AI アプリケーションの統合を導くために重要です。このポリシーはベンチマークとして機能し、意思決定者が確立されたガイドラインに照らして組織内の AI ツールの使用状況を評価し、リスクにさらされている可能性を迅速に特定し、必要な是正措置を決定できるようにします。

ペンシルベニア大学ウォートン校のイーサン・モリック教授は、別の示唆に富んだアプローチを提案しています。同氏は、新しいテクノロジーを統合する従来の方法は、中央集権的でペースが遅いため AI には効果がないと考えており、IT 部門が競争力のある社内 AI モデルを開発したり、コンサルタントが具体的なガイダンスを提供したりすることが困難になっていると考えています。 AI 応用の本当の可能性は、自分の仕事の専門家である従業員にあり、組織が AI から真の恩恵を受けるには、従業員 (別名「秘密のサイボーグ」) を AI テクノロジーの使用に参加させる必要があることを示唆しています。

何よりもまず、ブランドは、正式な役割や過去の実績に関係なく、どのレベルの従業員も貴重な AI スキルを保有できる可能性があることを認識する必要があります。 AI に精通した従業員の中に秘密のサイボーグがあることを発見した企業は、クラウドソーシングのプロンプト ライブラリなどの集団学習環境を促進し、AI による失業に対する保証を提供し、AI の使用を促進することで AI に対する不安を軽減する文化を構築する必要があります。日常的なタスクを排除し、より魅力的な仕事を促進する AI。

心理的安全性を確立することは、従業員間のオープンな AI 使用を促進するために重要です。

雇用主は、AI が組織を支援できる重要な機会を特定した場合に、多額の報酬を提供できる必要があります。これには、金銭的インセンティブ、昇進、または柔軟な労働条件が含まれ、ゲーミフィケーションを通じて処理される可能性があります。

今日の組織は、AI による生産性の向上をどのように活用するか、AI の機能を考慮して作業プロセスをどのように再編成するか、データの幻覚や知的財産に関する懸念など、AI の使用に関連する潜在的なリスクを管理する方法を決定するために、迅速に行動する必要があります。これには、包括的な AI ポリシーを作成し、あらゆるレベルの従業員を巻き込んで洞察を活用し、AI 主導のイノベーションに報いる文化を育むための積極的なアプローチが必要です。

ハイテク愛好家や企業が AI 統合の複雑さを乗り越える中、組織や個人のプロジェクト内でこの革新的なテクノロジを責任を持って革新的に活用し、プライバシー、セキュリティ、効率性に対するバランスのとれたアプローチを確保するために、どのような戦略を展開しますか?

AI の卑劣な秘密を発見するには、私の前回の記事をチェックすることを忘れないでください。