シャドーAI問題への対処による安全なイノベーションの確保：Gartner Insights Pickup（410）

AIの職場導入が急速に進む一方で、企業の承認を経ずに使われる「シャドーAI」が深刻なリスクをもたらしている。機密情報の漏えいやセキュリティ違反を引き起こす恐れがあり、CISOはその監視と管理が急務だ。本稿では、シャドーAIの実態と企業が取るべき対策について解説する。

[Andrew Walls, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

シャドーAIの台頭とその脅威

　AI（人工知能）は職場を急速に変革しつつあり、生産性やイノベーションを促進する新しいツールやアプローチを従業員が試すことを可能にしている。だが、こうしたAI導入の急増は、正式な承認や監督なしにAIツール、アプリケーション、機能を利用する「シャドーAI」の台頭につながっている。

　シャドーAIは、機密データの漏えいや社内ポリシー違反などの重大なリスクをもたらし、企業価値や評判を脅かしかねない。CISO（最高情報セキュリティ責任者）はこれらの問題に対処するため、責任あるイノベーションを奨励し、承認されていないAI利用に伴うリスクを軽減する、従業員のトレーニング、モニタリング、フィルタリングのための堅牢（けんろう）なプログラムを確立しなければならない。

シャドーAIの4つの主要な形態

　シャドーAIは、以下のようにさまざまな形で現れる。

• 従業員のシャドーAI：最も広まっている。従業員が生産性向上のため、あるいは業務ニーズとは無関係な個人的プロジェクトのために、生成AIツールを利用する
• 開発者のシャドーAI：企業内のソフトウェア開発者が、承認された企業リポジトリにないオープンソースのAIモデルを試す。既存のサイバーセキュリティ対策をすり抜けている場合が多い
• ITプロバイダーのシャドーAI：企業向けソフトウェアベンダーが十分な告知なしに自社製品に新しいAI機能を組み込み、結果的に顧客企業のアタックサーフェス（攻撃対象領域）を広げてしまう
• サードパーティープロバイダーのシャドーAI：パートナーや契約業者が企業に告知せずに、あるいはセキュリティおよびプライバシー要件を順守せずに、AIツールを利用する

　これらのシャドーITはそれぞれ、監督や統制を維持しようとするCISOに、特有の課題をもたらす。

拡大するシャドーAI：企業が抱える実態

　シャドーAIは、多くの企業が抱えている問題だ。Gartnerの「2025年 Cybersecurity Innovations in AI Risk Management and Use Survey」（2025年のAIのリスク管理と活用におけるサイバーセキュリティイノベーション調査）によると、企業の69％が禁止されているパブリック生成AIツールを従業員が使用している疑いがある、あるいはその証拠を持っていると回答している。

　さらに79％が、承認されているパブリック生成AIの誤用を疑っているか、確認している。また52％は、従業員が適切なサイバーセキュリティリスク評価をせずにカスタム生成AIソリューションを構築することを懸念している。

　ところが、これらのリスクを認識しながらも、強力な予防対策を講じている企業はごく少数派だ。パブリック生成AIをデフォルトでブロックしている企業は16％、組み込み型のAIまたはカスタム構築されたAIをブロックしている企業は9％にすぎない。このギャップは、より積極的かつ包括的なリスク管理戦略が緊急に必要であることを浮き彫りにしている。

CISOの役割：価値とリスクのバランスを取る

　CISOはシャドーAIの価値とリスクのバランスを取るため、承認されていないAI利用（特に、未承認の生成AIツールが関わるケース）の発見とモニタリングに注力すべきだ。効果的なポリシーを策定するには、ユーザーと直接対話し、こうしたAI利用の目的、共有されているデータの種類、開発されているスキルを理解することが不可欠だ。

　明確で実践的なガイドラインを策定する必要もある。例えば、以下のような内容を盛り込む。

• 承認されていないAIとの機密データや規制対象データの共有を制限する
• 可能であれば、データの再利用を拒否する
• AIの出力は検証してから使用する
• 適切な帰属表示を通じて透明性を確保する

　社内にオープンなAIコミュニティーを構築することで、支援と透明性の文化を醸成でき、従業員にAIのリスキーな使い方と革新的な使い方の両方を報告するよう促せる。

テクノロジーを活用したリスク管理

　シャドーAIの効果的な管理には、以下のようなセキュリティコントロールの導入も有効である。

• Webベースのモニタリング
• 情報漏えい防止（DLP）機能
• 最新のAI利用制御技術

　これらのツールは、承認されていないAI利用を検知、管理し、強硬な措置によってさらに“アンダーグラウンド化”させるのを防ぐのに役立つ。ポリシーは、ビジネスニーズとリスクの優先順位と整合させ、機密データを扱うシナリオを想定し、企業向けAIライセンスや社内チャットbotの利用といった柔軟な選択肢も提供する必要がある。

　最終的には、AIを安全に使用する文化の構築は、専門用語に頼らない実践的な教育と、既存のデータガバナンスリソースの活用にかかっている。シャドーAIをオープンなAI利用に転換することで、CISOは従業員が安全に、責任を持ってイノベーションを起こせるように支援できる。

　教育や支援の厚いコミュニティー、スプラッシュページやリアルタイムコーチングのような非遮断的なコントロールを組み合わせたバランスの取れたアプローチは、従業員のリスク認識を向上させ、行動に影響を与えることで、企業が価値ある資産を保護しながら、AIのメリットを享受することができる。

出典：Ensuring Secure Innovation Amid Shadow AI Challenges（Gartner）

※この記事は、2025年6月に執筆されたものです。

筆者　Andrew Walls

Distinguished VP Analyst