ChatGPTやMidjourneyなど、タスクを自動化して効率を改善するWebベースのアプリケーションが数多く台頭し、人工知能(AI)アプリケーションの具体的な成果が見られ始めたのはごく最近のことです。
最新のテクノロジーの進化と歩調を合わせている企業は、イノベーションを加速させて時代を先取りするために、これらのユースケースにも注目しています。
このようなWebベースのアプリケーションやAI対応ソフトウェアは、今やこの新時代に不可欠な要素になっており、消費者の間だけでなくビジネスの世界でも急速に普及し続けていくことになりそうです。このことを念頭に置くと、それらを活用した事業や業務部門の強化を目指している企業は、そうしたサードパーティーアプリケーションを使用することの意味合いを検討する必要があります。これらのアプリケーションは、セキュリティ侵害やユーザーデータの漏えいなどの課題や潜在的なリスクをもたらします。
火遊びか、マジックの達人か
ほとんどの人は、火の付いた剣を飲み込んだり、本に火を付けたりするといった、火を使った何らかのマジックを見たことがあると思います。素人目には火遊びのように見えますが、マジシャンは火を使うマジックに伴う危険を理解し、猛練習を積んだ上で演じています。そのため、誰でも優れたマジシャンになれるわけではありません。
同様に、パブリックインターネット上でのAI対応アプリケーションの使用に関するリスク選好度は、企業によって異なります。AI対応アプリケーションの使用は、企業にさまざまな恩恵をもたらすだけでなく、ほとんどの技術労働者に知識を提供したり、新たなアイデアを生み出したりすることもできます。しかし、ユーザー行動や外部リスク、既存の技術スタックによるリスク緩和方法といったサイバーセキュリティの要因を考慮する必要があるでしょう。
「やけど」をする原因の1つとして、ユーザー行動に対する不理解があります。AI対応アプリケーションの使用が会社のネットワークやデバイスにリスクを及ぼすことがありますが、ユーザー行動はその大きな要因になります。従業員は、弱いパスワードを使用したり、安全でないネットワーク上で機密情報にアクセスしたりするといったリスクの高い行動をしがちであると言っても過言ではありません。AI対応アプリケーションの場合、従業員が回答を得るために会社の機密情報をプロンプトに入力する可能性があります。セキュリティトレーニングプロバイダーの
KnowBe4社がセキュリティ文化に関する調査を実施したところ、シンガポールの会社員の53%が「セキュリティ文化」という言葉を理解していないことがわかりました。これは、デジタルトランスフォーメーションやイノベーションを先取りしている国にとって、かなりゾッとする数字です。ただし、公平のために付言しておくと、人に関するリスクは事業拠点の場所に関係なく、パブリックインターネット上に常に存在するでしょう。
パブリックAI対応アプリケーションに対する漸進的アプローチ
こうしたWebベースのAI対応アプリケーションの使用に関して、技術リーダーの間に意見の一致は見られていません。当然のアプローチとして、従業員が会社のネットワークやデバイスでそれらを使用することの全面的な禁止が考えられます。しかし、AI対応アプリケーションがもたらす価値の利用を目指している企業の場合、それらの使用に向けて漸進的アプローチの採用を選ぶことができます。
その方法の1つは、セキュアアクセスサービスエッジ(SASE)などの現在のセキュリティフレームワークを利用してセキュリティポリシーを適用し、ユーザーまたは企業リソースが存在するすべての場所にセキュリティサービスを展開することです。SASEを4分で理解するのに役立つブログ記事がありますので、まだの方はお読みください。
SASEのコンポーネントであるセキュアWebゲートウェイ(SWG)は、Webベースのアプリケーションやコンテンツなどの監視およびアクセス制御を可能にするセキュリティサービスです。SWGは、ユーザーがパブリックインターネットにアクセスするためのセキュアなゲートウェイを提供し、悪意のあるコンテンツをブロックすると同時に機密データへの不正アクセスを防止します。SWGによるリスク管理に関しては、高圧的アプローチと漸進的アプローチという2つのオプションが考えられます。高圧的アプローチ:ユーザー行動を制限し、外部脅威のリスクを最小限に抑えるための厳格なポリシーとルールを適用します。これは、会社のネットワークやデバイス全体にわたってアプリケーションやコンテンツへのアクセスを完全にブロックすることを意味します。このアプローチを取る企業は、夜も安心して眠ることができますが、制限的であり、現在のAI革命から取り残される可能性もあります。漸進的アプローチ:リスク管理体制と強力なセキュリティ文化が確立した企業は、このアプローチの採用を検討できます。企業の進化と成長に従って、セキュリティポリシーやセキュリティルールを時間をかけて慎重に実施しながら、機密情報に関わるWebベースのアプリケーションの特定機能を点検し、アクセスを制限することができます。このアプローチの方が柔軟ですが、外部リスクの緩和効果が低い可能性もあります。いずれにしても、強力なセキュリティ文化を組織やチーム全体に根付かせることが不可欠です。従業員に対するセキュリティハイジーンの教育は、社内のサイバーセキュリティ専門家あるいはサードパーティーのトレーニングプロバイダーを利用して一連のセキュリティトレーニングを実施すれば、容易に行うことができます。AI対応アプリケーションの真の可能性を実現するにはまだ初期段階にあるため、事細かな厳しいルールはありません。しかし、そうしたツールを使用するにしても、リスク管理とイノベーションをうまく両立させなければなりません。また、この先の変化に適応し、潜在的な脅威を軽減しながらテクノロジーの力を利用する方法を見いだす用意があることも必要です。
次に取るべきアクションは?
より強力なセキュリティ文化を植え付け、SASEを利用して事業を保護しながらイノベーションを実現するにはどうすればよいかを積極的に学ぶことです。それにはまず弊社にご相談ください。
この記事のようなトピックについてさらに知りたい方は、2023年5月11日に開催のInnovation Unleashedにご登録ください。また、サイバーセキュリティ意識向上トレーニングに今すぐお申し込みください。「ヒューマンファイアウォール」の構築に向けた貴重なアプローチが学べます。