パブリック クラウドの教訓を活かしてAIの許容と導入を決める
競合他社よりもデータの運用能力が優れていることが、ビジネスに有利であることは証明されています。そのため、ChatGPTや生成AIについて絶え間なく論じられているようなことが、「撃ってから考える」ような製品リリースや初期のスタートアップの資金調達の波にすぐに発展しています。これらの機能がうまく働き、安全かつ正確に、客観性なども伴って拡張されれば、それは桁違いの進歩となります。この状況は、刺激的な宣伝と技術的な優位性の両方の点で、パブリック クラウドの初期に似ていますが、今回は飛躍がはるかに大きいため、より困難なものになるでしょう。
Amazon Web Services(AWS)は2004年にSQSを、続いて2006年にS3とEC2の提供を開始しました。これらをパブリック クラウドの年表の開始点、つまり、広く使用できるようになった時点とするなら、いまだにパブリック クラウドを採用していない企業は、20年分の機会の損失を被っていることになります。パブリック クラウドは、2006年の時点では規制対象の企業にとっておそらくリスクが高すぎましたが、2016年や2026年ではどうでしょうか?私たちは、金融機関や政府機関など、従来からリスク回避傾向にある組織が、アプリケーションとデータの一部またはすべてにパブリック クラウドを採用しているのを見てきました。データの運用と基盤となるテクノロジの拡張方法を同時に学ぶことができるなど、そのメリットは大きく、導入を始めていない企業にとって、逃したメリットを埋めるには遅すぎるかもしれません。
パブリック クラウドとは異なり、AIの年表はChatGPTから始まったわけではないので、企業が競争力を維持したいのであれば(これが企業にとって懸念事項ですが)、AIのような機能の評価と採用に何十年もかけている時間はありません。この分野の動きはあまりに速く、その機能は、代替技術から短期的に得られる可能性のあるものより、桁違いに進んでいるように見えます。ChatGPTのような使い慣れたユーザー インターフェイスを備えた会話型AIは、パブリック クラウドが過去も現在もそうであるような専門的な知識を必要とせず、より多様な人々がより迅速に導入することを可能にしました。新たに導入した人々はそれが革新的だと信じていますが、この分野に精通した人々は、なぜこれほど多くの人が突然注目したのかを不思議に思い、他の進歩を指摘しています。
競合他社に先駆けて導入した企業は、もしも技術が成果を収めれば圧倒的な優位に立つことができます。また、導入曲線の早い段階で失敗した場合も(その可能性は高いですが)、寛容な対応を期待できます。「この分野は進化の初期段階にあり、誰もが学んでいる途中ですが、このにおいて当社はこのエキサイティングで競争の激しい分野でリーダーであり続けています…」といったプレス リリースをおそらく生成AIが作成し、市場は煙を吐く噴火口をすぐに忘れ、私たちが見慣れた消費者の安全性やデータ侵害を訴える多くの見出しのように、次の見出しをもてはやすでしょう。
パブリック クラウドと同様に、法務、IT、セキュリティ、コンプライアンスの面で懸念があっても導入は進むでしょう。先陣を切る企業の導入では、自社のプロセスや製品にAIが直接組み込まれます。これが、「様子見」の企業にとって間接的な導入を進めることになります。彼らがそれに気付いているかどうかはわかりませんが、AIが組み込まれたソフトウェアやSaaSを使用することになり、それらのシステムに彼らのデータがまだ取り込まれていないのであれば、取り込まれます。リスクを直ちに受け入れ、導入後に結果を評価するテクノロジ企業のような場合、リスクは明らかですが、金融業界や保険業界で既に見られている水面下でのAIの利用をセキュリティ プログラムで管理することはより困難でしょう。特に、GDPRやHIPAAなどの規制対象に含まれない、規制の緩いデータ分類については、第三者のリスク管理では、ダウンストリームのデータ使用と水面下のサブサービス プロバイダを適切に調べることができないという証拠が侵害分析で次々と明らかになっており、セキュリティ プログラムでは、ベンダーのサプライ チェーンにおけるAIの使用を把握できていない、または認識できていない可能性が高いです。
ChatGPTがその使いやすさとパフォーマンスで注目を集めていることを考えると、従業員があなたの会社の専有情報や機密情報をChatGPTに送信する確率は100%に近づいています。たとえ従業員に導入しないように指示しても、あなたの会社は既に生成AIを導入していることになります。この感じは、エンジニアリング部門の誰かが、市場投入までの時間を短縮し、革新的なアプローチと最先端のテクノロジを採用して、ビジネスの成果を上げようとして、クレジット カードを読み込ませてチームの新しいアプリケーションをパブリック クラウドに導入したときの感じと似ているので、よく知っているはずです。今日のほとんどの環境において、テクノロジ チームにパブリック クラウドを使用しないように指示することは、日常業務でGoogleの検索を使用しないように従業員に指示するようなものです。
この場合、セキュリティ チームは、導入に先手を打ち、第三者機関や規制当局が独自のアプローチを規定しようとする前に、専門分野の知識を活用してリスクに応じた投資目標、成熟度モデル、ロードマップを同僚が策定できるように支援し、リスクに応じた道筋で導入を進める必要があります。NISTの人工知能リスク マネジメント フレームワーク(AI RMF 1.0)を掘り下げ、現在の慣行とのギャップ分析を行う前に、セキュリティ チームがチーム内で、あるいは同僚と最初に検討すべき項目の例をいくつかご紹介します。
- 期待される価値のうち、どの程度が実現されたか、願望に過ぎないのか、実現できそうにないのかをどのようにして判断しますか?実験に投資する前と、製品開発やより大きな投資を行う前に、どのような特性を確認する必要がありますか?
- 競合他社が先に導入する可能性はどの位ありますか?他社が成功した場合、その差を縮めるには、後を追って導入するしかありませんか?それとももはやその会社が得た強みを超えることはできないでしょうか?
- この決定は一方通行ですか?それとも戻ることができますか?導入がもたらす既知のリスクはありますか?導入して新たなリスクが見つかった場合、どのような重大な影響がありますか?
- このテクノロジを社内でどの程度まで所有し、データとシステムを建設的に管理できますか?必要な人材はいますか?または合理的に確保できますか?このテクノロジは、サード パーティのサービス プロバイダを利用する方が安全ですか?
これらの質問はいずれも、ChatGPTやAIに言及していません。これらの質問は、私物端末の業務利用(BYOD)、パブリック クラウド、コンテナ、機械学習、最終的にはAIなどのあらゆる初期技術において、導入前評価を行うリスクベースのセキュリティ プログラムで、一般的かつ合理的な検討の糸口になります。パブリック クラウドの導入では、多くのチームがこのアプローチをとっておらず、自社でパブリック クラウドが直接的または間接的にどれほど使用されているかに気づいたときには、唖然とし、まさに不意打ちを食らいました。脅威アクターは、ほとんどの消費者よりも早くからパブリック クラウドの特性を学び、悪用したため、適応に遅れはありませんでした。あらゆるテクノロジが善用も悪用もされます。
テクノロジの方向性と導入を予測することは難しく、ときに不可能ですが、これらが加速し続けることは予測できます。もし現行のAIまたは近い将来のバージョンアップしたAIが壁にぶつかり進歩を止めても、あるいはAIがより大規模では技術的に実現できないことやコスト面で実現できないことが判明しても、企業にとってAIはすでに利用可能で投資対象となる状態に達しているでしょう。もしAIが壁にぶつからなければ、販売、マーケティング、ヘルスケア、金融の分野ですでに見られるように、AIはおそらく、データ、製品、企業とやり取りするための投資対象や手段として期待される存在になるでしょう。そのためセキュリティ チームは、将来ではなく現在の現実として、このテクノロジに取り組むために、データ セキュリティと第三者リスク管理の慣行をどのように進化させるかという課題に取り組まなければなりません。パブリック クラウドの後をクラウド セキュリティが追いかけた経験を繰り返さないために、セキュリティ チームはすでに拡大している導入に追いつき、その先を行く必要があります。