ChatGPT がデビューしてから 1 年が経ちましたが、GenAI は CISO にとって恩恵となるのでしょうか、それとも災いとなるのでしょうか?

OpenAI の ChatGPT が今日の日常業務に導入されてから丸 1 年が経ち、その後すぐに Google の Bard やその他の GenAI 製品も導入されました。 「ルンペルシュティルツキン」と言う前に、従業員、請負業者、顧客、パートナーが、ほとんど理解できない大規模な言語モデルを採用した AI エンジンという、新しく見つけた輝かしいものを自慢しているように見えます。

人々は、これらのツールによって得られる知識と精度の向上、そしてそれによって得られる時間の節約に驚いています。彼らはまた、エンジンが手がかりを持たず、時には意味不明な答えや幻覚を返し、時間の無駄であることが判明したことにも驚きましたが、この状態は長くは続きませんでした。

AIエンジンを調査することによる予期せぬ結果は、2023年初頭のサムスンでの事件で明らかになったように、すぐに醜い顔をのぞかせました。この事件では、企業秘密がChatGPTに無計画にアップロードされていたことが発覚しました。この情報は明らかに有益ですが、これらの企業秘密はもはや秘密ではなく、ChatGPT の親会社である OpenAI と共有されており、同様の質問をする人は誰でも (仮に) エンジニアの意見から利益を得ることができる可能性があります。

シャドーAIの急速な台頭は驚くべきことではない

私の意見では、サムスンはこの発見をまさに正しい方法で処理しました。これはひどいことです。二度とこのようなことが起きないようにしなければなりません。企業秘密が守られるように、社内の能力を高める必要があります。

AI エンジンが一般に公開されると、形成されるリスクの川に AI クエリ エンジンという新たな発生源が生まれることは、情報技術の提供とサポートの経験がほとんどない人を含め、誰にとっても明らかでした。シャドー IT に新たな兄弟、シャドー AI が加わりました。

Wiz のデータおよび脅威調査担当ディレクターのアロン・シンデル氏は、シャドー AI の登場はそれほど驚くべきことではないと述べ、5 ～ 10 年前のクラウドと似ている点を挙げた。「誰もがある程度は使っていたが、それを管理するプロセスを持っている人はほとんどいなかった」

「イノベーションを競う中で、開発者やデータサイエンティストは、セキュリティチームの監視なしに新しいAIサービスを環境に導入することで、うっかりシャドーAIを作ってしまうことがよくあります」とシンデル氏はCNBCに語った。「この可視性の欠如により、AIパイプラインのセキュリティを確保し、AIの設定ミスや脆弱性から保護することが難しくなります。不適切なAIセキュリティ制御は重大なリスクにつながる可能性があるため、AIパイプラインのあらゆる部分にセキュリティを組み込むことが重要です。」

GenAI ですべての企業が実行すべき 3 つのこと

解決策はかなり常識的です。 Code42のCISOであるJadee Hanson氏が2023年4月にSamsungの経験について具体的に語った言葉を思い出すだけで十分です。「ChatGPTとAIツールは非常に便利で強力ですが、従業員はChatGPTに入れるのに適切なデータとそうでないデータを理解する必要があり、セキュリティチームは企業がChatGPTに送信しているものを適切に把握する必要があります。」

私は、Imperva のデータ セキュリティ担当 SVP 兼フィールド CTO である Terry Ray 氏と話をしました。同氏は、Shadow AI についての考えを共有し、あらゆる組織がすでに実行しているべき 3 つの重要なポイントを示しました。

· 「万が一に備えて」保存されている「シャドウ」データベースを含む、すべてのデータ ウェアハウスの可視性を確立します。

各データ資産を分類します。これにより、人々は資産の価値を知ることができます。 (時代遅れの資産や価値が大幅に下がった資産を保護するために 100 万ドルを費やすのは理にかなっていますか?)。

· 監視と分析 – データが本来あるべきでない場所に移動していないか監視します。

GenAIのリスク許容度を理解する

同様に、SkyHigh Security のグローバル クラウド脅威リーダーである Rodman Ramezan 氏は、個人のリスク許容度を理解することの重要性を指摘し、大規模言語モデルの驚くほど速いペースでの普及に気付かない人は驚くことになるだろうと警告しています。

彼は、ガードレールだけでは不十分であり、承認された AI インスタンスの使用方法と、承認されていないインスタンスの使用を避ける方法について、ユーザーをトレーニングし、ガイドする必要があると考えています。このトレーニング/ガイダンスは動的に段階的に提供される必要があり、段階的に増加するごとに全体的なセキュリティ体制が向上します。

知的財産、顧客情報、財務予測、市場参入計画など、企業データの保護を担当する CIO は、データを取得することも、追跡することもできます。後者を選択する場合は、インシデントが発生したときにインシデント対応の増加に備えることも必要になる場合があります。前者を選択した場合、サムスンが行っているように、企業全体にわたって検討し、どの製品を自社で生産するかを決定するという困難な課題に直面することになるだろう。

GenAIは避けられないので、その流れを管理する準備をしておきましょう

AI ツールの使用における潜在的なリスクを特定して軽減する方法は、企業内のさまざまな組織と十分に連携し、運用のあらゆる側面と AI の使用経路に関するポリシーと手順を作成することです。これに続いて、従業員/請負業者の教育と実践的な演習を作成して実施する必要性が明らかに生じます。 CISO とその企業は、安全性の差異を擁護、サポート、特定し、潜在的な状況を緩和し、無料で飛行する乗客のためにシートベルトを着用するための推奨事項を作成できます。

レイ氏は、特に採用が真に競争が激しく、「ネットワーク採用」の状況が維持されている時代に、CIO が検討すべき非常にタイムリーな基本事項をいくつか追加しました。この状況では、この分野の新入社員は、利用可能なツールを使用し、AI を活用してツールを完成させながら独自のツールを構築できなければなりません。

結局のところ、AI は良いことに活用されるべき力の増幅装置ですが、この概念を受け入れる際には、AI の認定、ポリシー、手順も受け入れる必要があり、最も重要なのは、AI がどこでどのように使用されるかについて注意を払うことです。企業は特に、自社の「チーズ」、つまり受賞商品の位置を把握し、保護する必要があります。

選択権は CISO にあります。厳重にロックダウンしてチャットボットを完全に禁止し、シャドー AI を防止するための適切な手順をすべて実行しているように見えますが、岩盤に水が浸透するように、ユーザーはそれを悪用する方法を見つけてしまいます。賢明な CISO は、水が安全かつ確実に流れ続けるよう、必要なチャネルを確実に整備することで、大きな恩恵を受けるでしょう。