ブログ | CTO オフィス

パブリック クラウドから学んだ教訓を踏まえて AI を許可し、導入するかどうか

サム・ビスビーのサムネイル
サム・ビスビー
2023年4月6日公開

競合他社よりも優れたデータ運用能力は、企業にとっての勝利の優位性であることが証明されているため、ChatGPT と生成 AI に関する絶え間ない議論が、すぐにでも「狙いを定めて発射できる」製品のリリースと、資金提供を受ける初期のスタートアップの波へと急速に高まっています。 これらの機能は、安全かつ正確に、客観性を持って動作し、拡張できる場合、桁違いの進歩となります。 これは、誇大宣伝と技術的優位性の両面でパブリック クラウドの初期の頃のように感じられますが、今回は飛躍がはるかに大きいため、より困難になるでしょう。

Amazon Web Services (AWS) は 2004 年に SQS をリリースし、続いて 2006 年に S3 と EC2 をリリースしました。 これらをパブリック クラウドのタイムラインの始まり、または広く利用可能になった時期と認めるなら、今までにパブリック クラウドを導入していない企業は 20 年間の機会費用を受け入れてきたことになります。 2006 年当時、パブリック クラウドは規制対象の企業にとっておそらくリスクが大きすぎましたが、2016 年や 2026 年にはどうでしょうか? 金融機関、政府機関、その他従来リスクを嫌う組織が、applicationsとデータの一部またはすべてにパブリック クラウドを導入するのを目にしてきました。 データの運用化と基盤となるテクノロジーの拡張を同時に学習する人にとってのメリットは非常に大きいため、導入を開始していない人は失った優位性を取り戻すには遅すぎる可能性があります。 

パブリック クラウドとは異なり、企業が競争力を維持したい場合、AI などの機能を評価して導入するまでに何十年もかかることはありません。AI のタイムラインは ChatGPT から始まるわけではないため、これは企業にとっての懸念事項です。 この分野は急速に進歩しており、その機能は、短期的には代替技術から利用できるものよりも桁違いに進んでいるようです。 ChatGPT のような使い慣れたユーザー インターフェースを備えた会話型 AI により、パブリック クラウドのように専門知識を必要とせず、より多様なグループの人々による迅速な導入が可能になりました。 新しく導入した人たちはそれが革新的だと信じているが、この分野に精通している人たちは他の進歩を指摘し、なぜこれほど多くの人が突然注目しているのか不思議に思っている。

競合他社より先に導入した企業は、テクノロジーが成果を上げれば圧倒的な優位性を得ることができ、導入曲線の早い段階で失敗した場合でも(失敗しないということではありません)、寛大な処置が与えられるでしょう。 「この分野はまだ発展の初期段階にあり、私たち全員が学んでいるところですが、ここ <ACME> は、この刺激的で競争の激しい分野でリーダーであり続けます...」ジェネレーティブ AI はおそらくプレスリリースを書き、市場は煙を上げるクレーターをすぐに忘れ、私たちが慣れ親しんできた多くの消費者安全やデータ侵害の見出しのように、次のイテレーションに報いるでしょう。

パブリック クラウドと同様に、法務、IT、セキュリティ、コンプライアンスに関する懸念に関係なく、導入が行われます。 先駆者にとっては、AI は直接的に導入され、プロセスや製品に組み込まれます。 これにより、「様子見」の企業による間接的な導入が促進されます。なぜなら、企業は、知っているかどうかにかかわらず、AI が組み込まれたソフトウェアまたは SaaS を使用することになり、まだ入力されていない場合は、そのデータがこれらのシステムに入力されることになるからです。 テクノロジー企業がリスクを迅速に受け入れ、導入後に結果を評価するなど、その一部は明白ですが、セキュリティ プログラムが管理するのがより難しいリスクは、金融や保険の分野ですでに見られるような、水面下での AI のapplicationsです。 侵害分析では、サードパーティのリスク管理が、特に GDPR や HIPAA などの適用範囲に含まれない規制の少ないデータ分類については、下流のデータ使用とサブサービス プロバイダーを水面下で適切にインベントリ化できないという証拠が引き続き見られ、そのため、セキュリティ プログラムもベンダー サプライ チェーンでの AI の使用について認識または理解していない可能性があります。

ChatGPT の使いやすさとパフォーマンスが注目を集めていることを考えると、従業員が会社の独自情報や機密情報をChatGPT に送信する可能性は 100% に近づいています。 おめでとうございます。従業員にそうしないように依頼していたとしても、あなたの会社は生成 AI を導入しました。 この気持ちは、エンジニアリング部門の誰かがクレジットカードを使ってチームの新しいapplicationをパブリック クラウドにデプロイし、市場投入までの時間の短縮、革新的なアプローチ、最先端のテクノロジーの採用に対してビジネス部門から報酬を受け取ったときに感じたのと同じである可能性が高いため、よく知られているはずです。 今日のほとんどの環境では、テクノロジー チームにパブリック クラウドを使用しないように依頼することは、従業員に日常業務で Google 検索を使用しないように依頼するのとよく似ています。

ここで、セキュリティ部門は導入に先んじて、リスクに適した道筋に沿って導入を導き、第三者や規制当局が独自のアプローチを規定する前に、セキュリティ部門の専門知識を活用して、同業者がリスクに適した投資理論、成熟モデル、ロードマップを作成できるように支援する必要があります。 NIST の人工知能リスク管理フレームワーク (AI RMF 1.0)の詳細に踏み込んで、現在のプラクティスとのギャップ分析を実行する前に、セキュリティ チームが社内および同僚と検討すべきスターター会話の例をいくつか示します。

  1. 約束された価値のうち、どれだけが実現されているか、どれだけが理想か、あるいは実現不可能かをどのように判断するのでしょうか。 実験や製品開発、あるいはより大きな投資レベルに投資する前に、どのような特性を確認する必要があるでしょうか?
  2. 競合他社が当社より先に採用する可能性はどれくらいでしょうか? 彼らが成功した場合、後続の採用が私たちがギャップを埋める唯一の方法でしょうか、それとも彼らは克服できないほどの優位性を獲得することになるのでしょうか?
  3. この決定は一方通行でしょうか、それとも双方向でしょうか? 採用に関連する既知のリスクはありますか? 実際に採用して新たなリスクを発見した場合、どのような重大な影響があるでしょうか?
  4. このテクノロジーを社内でどの程度所有し、データとシステムに対して積極的な制御を維持できるでしょうか? 必要な才能はあるのか、あるいは合理的に獲得できるのか? このテクノロジーについてはサードパーティのサービスプロバイダーに頼る方が安全でしょうか?

これらの質問のどれにも、ChatGPT や AI について言及されていません。これらは、BYOD (個人所有デバイスの持ち込み)、パブリック クラウド、コンテナー、機械学習、最終的には AI など、採用前に初期のテクノロジーを評価するための、リスクベースのセキュリティ プログラムにとって一般的に妥当な会話のきっかけとなります。これは、多くのチームがパブリック クラウドで採用したアプローチではありませんでした。そのため、組織内で直接的および間接的にパブリック クラウドがどれだけ使用されているかに気付いたとき、チームは不意を突かれ、気づかずにいました。 脅威アクターは、ほとんどの消費者よりも早くパブリック クラウドの特性を学習して悪用したため、適応に時間がかかりませんでした。すべてのテクノロジーは二重に使用できます。

テクノロジーの方向性と採用を予測するのは困難または不可能ですが、それが加速し続けることは予測可能です。 AI の現在のバージョンまたは近い将来のバージョンが壁にぶつかって進歩が止まったり、AI がより大きな技術的規模やコスト上の理由で実行不可能であることが判明したりした場合、AI は既に企業にとって使用可能かつ投資可能な状態になっているでしょう。 AI が壁にぶつからなければ、販売、マーケティング、ヘルスケア、金融の分野ですでに見られるように、AI は期待される投資となり、データ、製品、ビジネスとやり取りする手段となるでしょう。 したがって、セキュリティ チームがこのテクノロジーに対処するためにデータ セキュリティとサードパーティのリスク管理プラクティスをどのように進化させるかに取り組まなければならないのは、将来の現実ではなく現在の現実です。 パブリック クラウドがクラウド セキュリティよりも先に進んでしまったときの経験を再び味わうことがないように、すでに拡大している採用に追いつき、さらに先へ進む必要があります。