企業の将来に向けた最善の策:生成AIのセキュリティー確保
2024年5月6日
読了時間:4分
IBMとAWSの調査:現在の生成AIプロジェクトのうち、セキュリティー対策が講じられているのは25%未満

企業の世界は、信頼が優れたビジネスの通貨であるという考えに基づいて長い間運営されてきました。しかし、AIが企業運営の方法や顧客との関わり方を変革し、再定義していく中で、テクノロジーに対する信頼を構築する必要があります。

AIの進歩によって、人的資本を価値の高い成果物に集中できるようになります。この進化がビジネスの成長に変革をもたらすことは間違いありませんが、ユーザー体験と顧客体験は、安全で責任ある、信頼できるテクノロジー・ソリューションを構築するという組織の取り組みにかかっています。

企業は、ユーザーとやり取りする生成AIが信頼できるかどうかを判断する必要があり、セキュリティーは信頼の基本的な構成要素です。そこで、企業が直面している最大の方策の1つが、AI導入のセキュリティーを確保することです。

 

急いでイノベーションを起こし、セキュリティーは後回し:断絶

本日、IBM Institute for Business Valueは、IBMとAWSの共同執筆による「生成AIのセキュリティー確保:今何が重要か」という調査を発表しました。そこでは、生成AI導入のセキュリティー確保に関する新しいデータ、実践、推奨事項を紹介しています。IBMの調査によると、経営幹部の回答者の82%が、安全で信頼できるAIがビジネスの成功に不可欠であると述べています。これは有望に思えますが、調査対象のリーダーの69%は、生成AIに関しては、セキュリティーよりもイノベーションが優先されると回答しています。

イノベーションとセキュリティーのどちらを優先するかは、選択肢のように思えるかもしれませんが、実際には試験です。組織は、生成AIによって得られる賭け金がこれまで以上に高まっていることは認識していますが、過去の技術的混乱から学んだ教訓を適用していません。ハイブリッドクラウド、アジャイル・ソフトウェア開発、ゼロトラストへの移行と同様に、生成AIのセキュリティーは後から付け足せると考えられています。回答者の50%以上が、生成AIの取り組みに影響を与える予測不可能なリスクについて懸念を抱いており、それによってビジネス中断の可能性が高まることを恐れています。それでも、現在の生成AIプロジェクトのうち、セキュリティーが確保されているのはわずか24%だと報告されています。なぜこのような断絶があるのでしょうか。

セキュリティーに関する優柔不断は、より広範な生成AIについての知識ギャップの指標であると同時に結果でもあるのかもしれません。回答者の半数近く(47%)は、生成AIに関しては、どこにどの程度投資すればよいかわからないと回答しています。チームが新しい機能を試験的に導入しているときも、リーダーはまだ、どの生成AIユースケースが最も理にかなっていて、それを本番環境にどのように拡張するのかを検討しています。

生成AIの保護はガバナンスから始まります

どこから始めればよいかわからないことも、セキュリティー対策の妨げになっている可能性があります。だからこそ、IBMとAWSは協力して、AIの保護を目指す組織向けのアクション・ガイドと実践的な推奨事項を明らかにしました。

生成AIの信頼とセキュリティーを確立するには、ガバナンスを基準として、基本的なことから始める必要があります。実際、回答者の81%が、生成AIには根本的に新しいセキュリティー・ガバナンス・モデルが必要だと回答しています。ガバナンス、リスク、コンプライアンス(GRC)から始めることで、リーダーは、ビジネス目標とブランド価値に沿ったAIアーキテクチャーを保護するための、サイバーセキュリティー戦略の基盤を構築できます。

プロセスを保護するには、まず、そのプロセスがどのように機能すべきか、また期待されるプロセスがどのようなものかを理解して、逸脱を特定できるようにする必要があります。運用上行うよう設計されたことから逸脱するAIは、新たなリスクをもたらして、予期しなかった影響をビジネスに与える可能性があります。そのため、これらの潜在的なリスクを特定して理解することは、組織が独自のコンプライアンスと規制要件に基づいて自らのリスクしきい値を理解するのに役立ちます。

ガバナンスのガードレールが設定されると、組織はAIパイプラインを保護するための戦略をより効果的に確立できるようになります。データ、モデル、それらの用途、およびAIイノベーションを構築して組み込むための基盤となるインフラストラクチャー。ただし、セキュリティーの責任共有モデルは、組織が生成AIをどのように使用するかによって変化する可能性があります。組織が独自のAI運用を開発する際に、ビジネスへの影響のリスクを軽減するために、多くのツール、制御、プロセスを利用できます。

信頼できるAIについて考えるとき、ハルシネーション(幻覚)、倫理、バイアスが最初に思い浮かびますが、組織は、AIパイプラインが信頼自体を危険にさらす脅威ランドスケープに直面していることも認識する必要があります。従来の脅威は新しい意味を持ち、新たな脅威は攻撃的なAI機能を新しい攻撃ベクトルとして使用し、私たちがますます頼りにするようになってきたAI資産やサービスが、新たな脅威によって侵害されようとしています。

信頼とセキュリティーの方程式

セキュリティーは、生成AIのユースケースに信頼と自信をもたらすのに役立ちます。この相乗効果を達成するために、組織はビレッジ・アプローチをとる必要があります。ISやITの利害関係者だけでなく、戦略、製品開発、リスク、サプライチェーン、顧客エンゲージメントにまで話を広げなければなりません。

これらのテクノロジーは変革をもたらすと同時に破壊的であるため、組織のAIと生成AIの資産を管理するには、セキュリティー、テクノロジー、ビジネス・ドメインにまたがる協力が必要です。

テクノロジー・パートナーは重要な役割を果たすことができます。脅威のライフサイクル全体とセキュリティー・エコシステム全体にわたって、テクノロジー・パートナーの広範で深い専門知識を活用することは、非常に貴重な資産となります。実際、IBMの調査によると、調査対象組織の90%以上が、サード・パーティーの製品またはテクノロジー・パートナーを通じて生成AIのセキュリティー・ソリューションを実現しています。生成AIのセキュリティー・ニーズに対応するテクノロジー・パートナーの選定について、調査対象となった組織からは次のような回答が寄せられています。

  • 76%が、確実なROIを達成する魅力的なコスト・ケースの構築を支援してくれるパートナーを求めています。
  • 58%が、全体的な戦略とロードマップに関するガイダンスを求めています。
  • 76%が、トレーニング、知識共有、知識の伝達を促進できるパートナーを求めています。
  • 75%が、変化し続ける法律や規制のコンプライアンスの状況をガイドできるパートナーを選択しています。

この調査から、組織は自社のAIイノベーションにおけるセキュリティーの重要性を認識しているものの、AI革命への最善のアプローチ方法を理解しようとしている段階にあることが明らかになりました。これらの取り組みを導き、助言し、技術的にサポートできる関係を構築することは、信頼できる保護された生成AIにおいて、重要な次のステップです。IBMとAWSは、経営幹部の認識と優先事項に関する重要な洞察を共有することに加えて、生成AIセキュリティー戦略を次のレベルに引き上げるための実践的な推奨事項を含むアクションガイドを用意しました。

 
著者
Dimple Ahluwalia VP & Global Senior Partner, Security Services