生成型AIツールがビジネス環境で普及するにつれ、新たなサイバーセキュリティリスク、すなわちシャドーAIが顕在化しています。従来のシャドーITとは異なり、シャドーAIとは、職場全体でAIツールが承認されていない形で、かつしばしば隠蔽されて使用されることを指します。これにはChatGPT、コードアシスタント、SaaSプラットフォームに組み込まれたAIなどが含まれます。.
SaaSセキュリティ企業AppOmniのAIディレクター、メリッサ・ルッツィ氏によると、シャドーAIはシャドーITよりも大きなリスクをもたらすとのことです。これらのツールは、企業の機密データに深くアクセスできる場合が多く、侵害された場合、深刻な影響を及ぼしかねません。シャドーAIをさらに危険なものにしているのは、その不可視性です。多くの生成AIツールは、承認されたアプリケーションに組み込まれているか、サードパーティのプラットフォームを介してアクセスされます。CASB(クラウドアクセスセキュリティブローカー)などの従来のセキュリティシステムでは、これらを検知できない可能性があります。.
ルッツィ氏は、これらのツールは多くの場合、基本的なガバナンスやセキュリティ管理が欠如していると警告しています。これらのツールは、個人情報や健康関連データに誤ってアクセスしたり、漏洩したりする可能性があり、企業は主要なデータ保護法に違反するリスクにさらされます。これらの法には、EUのGDPR、カリフォルニア州のCCPAとCPRA、米国のHIPAAなどが含まれます。シャドーAIは、データの最小化、目的の限定、機密情報の適切な保護など、重要なプライバシー原則を容易に侵害する可能性があります。放置すると、規制違反による訴訟、罰金、あるいはブランドイメージの低下につながる可能性があります。.
これらのリスクに対処するには、企業は積極的な対策を講じる必要があります。ルッツィ氏は、アプリの構成をスキャンし、不正なAIの使用を検出する高度なSaaSセキュリティツールの導入を推奨しています。従業員のトレーニングも不可欠です。従業員は、承認されていないAIの使用の危険性を理解し、明確な社内ポリシーに従う必要があります。AIが日常のワークフローにますます深く浸透するにつれ、企業は新たな脅威に先手を打つ必要があります。シャドーAIの管理はもはやオプションではありません。これは、データを保護し、コンプライアンスを維持し、今日のAIを活用したデジタル環境における信頼を確保するために不可欠なステップです。.
ソース:
https://www.technewsworld.com/story/beyond-chatgpt-shadow-ai-risks-lurk-in-saas-tools-179806.html
