AIの職場導入が急速に進む一方で、企業の承認を経ずに使われる「シャドーAI」が深刻なリスクをもたらしている。機密情報の漏えいやセキュリティ違反を引き起こす恐れがあり、CISOはその監視と管理が急務だ。本稿では、シャドーAIの実態と企業が取るべき対策について解説する。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
AI(人工知能)は職場を急速に変革しつつあり、生産性やイノベーションを促進する新しいツールやアプローチを従業員が試すことを可能にしている。だが、こうしたAI導入の急増は、正式な承認や監督なしにAIツール、アプリケーション、機能を利用する「シャドーAI」の台頭につながっている。
シャドーAIは、機密データの漏えいや社内ポリシー違反などの重大なリスクをもたらし、企業価値や評判を脅かしかねない。CISO(最高情報セキュリティ責任者)はこれらの問題に対処するため、責任あるイノベーションを奨励し、承認されていないAI利用に伴うリスクを軽減する、従業員のトレーニング、モニタリング、フィルタリングのための堅牢(けんろう)なプログラムを確立しなければならない。
シャドーAIは、以下のようにさまざまな形で現れる。
これらのシャドーITはそれぞれ、監督や統制を維持しようとするCISOに、特有の課題をもたらす。
シャドーAIは、多くの企業が抱えている問題だ。Gartnerの「2025年 Cybersecurity Innovations in AI Risk Management and Use Survey」(2025年のAIのリスク管理と活用におけるサイバーセキュリティイノベーション調査)によると、企業の69%が禁止されているパブリック生成AIツールを従業員が使用している疑いがある、あるいはその証拠を持っていると回答している。
さらに79%が、承認されているパブリック生成AIの誤用を疑っているか、確認している。また52%は、従業員が適切なサイバーセキュリティリスク評価をせずにカスタム生成AIソリューションを構築することを懸念している。
ところが、これらのリスクを認識しながらも、強力な予防対策を講じている企業はごく少数派だ。パブリック生成AIをデフォルトでブロックしている企業は16%、組み込み型のAIまたはカスタム構築されたAIをブロックしている企業は9%にすぎない。このギャップは、より積極的かつ包括的なリスク管理戦略が緊急に必要であることを浮き彫りにしている。
CISOはシャドーAIの価値とリスクのバランスを取るため、承認されていないAI利用(特に、未承認の生成AIツールが関わるケース)の発見とモニタリングに注力すべきだ。効果的なポリシーを策定するには、ユーザーと直接対話し、こうしたAI利用の目的、共有されているデータの種類、開発されているスキルを理解することが不可欠だ。
明確で実践的なガイドラインを策定する必要もある。例えば、以下のような内容を盛り込む。
社内にオープンなAIコミュニティーを構築することで、支援と透明性の文化を醸成でき、従業員にAIのリスキーな使い方と革新的な使い方の両方を報告するよう促せる。
シャドーAIの効果的な管理には、以下のようなセキュリティコントロールの導入も有効である。
これらのツールは、承認されていないAI利用を検知、管理し、強硬な措置によってさらに“アンダーグラウンド化”させるのを防ぐのに役立つ。ポリシーは、ビジネスニーズとリスクの優先順位と整合させ、機密データを扱うシナリオを想定し、企業向けAIライセンスや社内チャットbotの利用といった柔軟な選択肢も提供する必要がある。
最終的には、AIを安全に使用する文化の構築は、専門用語に頼らない実践的な教育と、既存のデータガバナンスリソースの活用にかかっている。シャドーAIをオープンなAI利用に転換することで、CISOは従業員が安全に、責任を持ってイノベーションを起こせるように支援できる。
教育や支援の厚いコミュニティー、スプラッシュページやリアルタイムコーチングのような非遮断的なコントロールを組み合わせたバランスの取れたアプローチは、従業員のリスク認識を向上させ、行動に影響を与えることで、企業が価値ある資産を保護しながら、AIのメリットを享受することができる。
出典:Ensuring Secure Innovation Amid Shadow AI Challenges(Gartner)
※この記事は、2025年6月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.