CASBとは?基本から導入メリット、注意ポイントなどをわかりやすく解説
- CASB
- クラウド
- セキュリティ
- ../../../article/2024/03/casb.html
シャドーAIとは、企業のIT部門が把握していない状態で、従業員が独自の判断で生成AIなどのAIツールを業務に利用する行為。たとえば、ChatGPTのような公開AIに顧客情報を入力するケースが該当し、情報漏洩などのセキュリティリスクの恐れがある。
シャドーAIとは、企業が定めたルールやガバナンスの外で、従業員が生成AIなどのAIを活用したツールやシステムを業務に利用することです。シャドーAIでは入力データの統制が効かないため、情報漏洩や誤出力、コンプライアンス上の問題を引き起こす可能性があり、企業にとって深刻な課題となっています。
シャドーITは、未承認のクラウドストレージや個人のデバイスなどを業務に利用する行為全般を指します。一方シャドーAIは、生成AIツールの無断利用に特化した概念であり、リスクの性質も大きく異なります。
| シャドーIT | シャドーAI | |
|---|---|---|
| 概念 | IT部門の承認・管理なしに、ソフトウェアやデバイスを業務利用すること | IT部門の承認・管理なしに、生成AIツールを業務利用すること |
| 対象ツール(例) | 個人用ファイル共有サービス、未承認のチャットツール | ChatGPT等の公開生成AIツール、AIコーディング支援 |
| 主なリスク | 不正アクセスや未管理デバイスからの情報漏えい | 機密情報の外部送信、誤情報の利用 |
シャドーAIの代表的なリスクには次の5つがあります。
生成AIに入力した機密情報がAIの学習データとして利用される恐れがあります。これにより、顧客情報や機密データの漏えいにつながる恐れがあります。
個人情報や機密データを無断でAI処理すると、個人情報保護法やGDPRなどの規制に抵触するリスクがあります。コンプライアンス違反が発覚すれば、高額な罰金や訴訟問題に発展し、企業の社会的信用を大きく失墜させかねません。
未承認のAIツールがマルウェア感染の入り口となるケースや、AIの脆弱性を突く攻撃を受ける危険性が潜んでいます。悪意のある指示を紛れ込ませる「プロンプトインジェクション」など、AI特有の新たなサイバー攻撃の対象となります。
AIは事実と異なる内容をもっともらしく出力する「ハルシネーション」を起こすことがあります。誤情報を顧客対応や法務書類に用いると、意思決定ミスやブランド毀損につながります。
企業のノウハウが外部に流出してしまい、独自の知的財産権を喪失するリスクが生じます。逆に、AIが生成した他者の著作物に酷似したコンテンツを無断で使用することで、著作権侵害を問われる可能性もあります。
悪気なくシャドーAIを行ってしまっているケースが多々存在します。例えば以下のような使い方をしていませんか?
シャドーAIへの対策は、単にツール利用を全面禁止にするのではなく、可視化と統制を前提に安全な利用環境を整備することが重要です。
CASBなどの可視化ツールを活用し、どのAIサービスが社内で利用されているかを把握します。あわせてDLPを用いることで、プロンプト内の機密情報を検知し、外部送信を制御できます。
厳しすぎるルールは業務効率を下げ、かえって隠れたシャドーAIを誘発する要因になります。利用してよいデータの分類や新しいツールの申請プロセスを明確化し、柔軟かつ継続的に改善できるガバナンスを構築します。
従業員を安全な利用環境へ誘導するためには、法人向けAIツールの提供が不可欠です。承認済みツール(アローリスト)を提示し、正規の手段で業務利用できる環境を整備します。
機密情報を入力しない「プロンプト衛生」や、出力内容のファクトチェックを徹底する教育が重要です。ツールの危険性だけでなく、正しい使い方を継続的に周知することが求められます。