WinWireのCTO Vineet Aroraとセキュリティ企業Prompt SecurityのCEO兼共同創設者Itamar Golanの調査によると、企業内で従業員が無許可で使用するシャドーAIアプリが急増している。
主な調査結果は以下の通り
- 1日あたり50の新規AIアプリを検出
- 既に12,000以上のAIアプリを分類済み
- 検出されたアプリの約40%が入力データで学習する設定
- ChatGPTアカウントの73.8%が非企業アカウント
- Google Geminiアカウントの94.4%が非企業アカウント
- 従業員の55%が未承認AIツールを職場で使用
具体的な事例として、ニューヨークの金融機関では、セキュリティ責任者が10個未満と想定していた使用AIツール数が、10日間の監査で65個の未承認ソリューションが発見された。
Software AGの最新調査では
- ナレッジワーカーの75%がAIツールを使用
- 46%が企業による禁止があっても使用を継続すると回答
- 営業・マーケティング・価格予測担当マネージャーは平均22個のカスタマイズボットを使用
2025年2月17日時点での報告によると、この問題は特にEU AI法の施行を控える中で深刻化している。
from:Shadow AI: How unapproved AI apps are compromising security, and what you can do about it
【編集部解説】
シャドーAIがもたらす新たなセキュリティリスクと対策
企業のデジタルトランスフォーメーションが加速する中、シャドーAIという新たな課題が浮上してきています。これは、従業員が企業のIT部門や経営陣の承認なしに、独自にAIツールを導入・使用する現象を指します。
このトレンドが急速に広がっている背景には、ChatGPTやGoogle Geminiなどの生成AIツールの爆発的な普及があります。これらのツールは、わずか1年で1億人以上のユーザーを獲得し、職場での利用も急増しています。
特に注目すべきは、従業員の55%が未承認のAIツールを職場で使用しているという調査結果です。この数字は2027年までに75%まで上昇すると予測されており、企業のセキュリティ担当者にとって深刻な懸念事項となっています。
シャドーAIがもたらす具体的なリスク
シャドーAIの危険性は、従来のシャドーITとは異なる次元にあります。AIモデルは入力されたデータを学習し、その情報が他者のプロンプトに対する応答に影響を与える可能性があるためです。
実際に、ある大手電機メーカーでは、従業員が社外のAIツールにソースコードを入力したことで、機密情報が漏洩する事態が発生しました。このような事例は、シャドーAIの潜在的なリスクを如実に示しています。
企業に求められる対応策
シャドーAIへの対策として、単純な使用禁止は逆効果となる可能性が高いことが指摘されています。代わりに、以下のようなアプローチが推奨されています
- 包括的なAIガバナンスポリシーの策定
- 承認済みAIツールのホワイトリスト作成
- 従業員向けの教育・トレーニングプログラムの実施
- セキュアな企業向けAIソリューションの導入
今後の展望
EUのAI法をはじめとする規制強化の流れの中で、企業はシャドーAIのリスク管理をより真剣に考える必要があります。一方で、AIがもたらす生産性向上の恩恵も無視できません。
重要なのは、セキュリティとイノベーションのバランスを取ることです。企業は従業員のAI活用ニーズに応えつつ、データセキュリティを確保する方法を模索していく必要があります。
このような取り組みは、単なるリスク管理にとどまらず、企業のデジタル競争力を左右する重要な経営課題となっていくでしょう。
【用語解説】
シャドーAI:企業のIT部門や経営陣の承認を得ずに、従業員が独自に導入・使用するAIツールやアプリケーションのこと。
EU AI法:欧州連合が制定を進めている、AIシステムの開発・利用に関する包括的な規制法。
【参考リンク】
ChatGPT Enterprise(外部)
企業向けに高度なセキュリティと管理機能を備えたChatGPTの法人版サービス
Microsoft 365 Copilot(外部)
Microsoft 365に統合された企業向けAIアシスタント
Google Gemini(外部)
Googleが提供する最新の生成AI。企業向けセキュリティ機能を搭載