Launch Event: Accelerate Your AI Initiatives with Zero Trust
閉じる アプリやデータへのシームレスで安全なアクセスをユーザーに提供
安全なクラウド アプリの構築と実行からクラウドへのゼロトラスト接続、データ センターやクラウドのワークロードの保護まで、幅広く実現
IoT/OTデバイスにゼロトラスト接続を提供し、OTシステムへの安全なリモート アクセスを確保
ゼロトラストのサイト間接続を実現し、B2Bアプリへの安全なアクセスをパートナーに提供
Zscalerの価値観、リーダーシップ原則、働き方
Zpedia / シャドーAIとは
シャドーAIとは シャドーAIとは、組織の技術部門の正式な承認を得ずに高度なAIツールやAIアプリケーションを導入することを指します。問題解決にあたり、部門長や個人が標準的なポリシーを逸脱する形でChatGPTを利用するなど、手っ取り早い手段を求めることで起こり、結果的にデータ プライバシーやコンプライアンス上のリスクを招きます。
要旨 • シャドーAIとは、従業員が組織のIT部門やセキュリティ部門からの正式な承認を得ずにAIツールを使用することを指します。
• 従業員は、承認されたツールが使用できない場合や十分でない場合に、迅速な解決策を得たり、効率を高めたりするためにシャドーAIを使用します。
• シャドーAIは、セキュリティ上の問題、データ プライバシーの侵害、法律や組織のポリシーの違反につながる可能性があります。
• シャドーAIを検出するには、ソフトウェアの使用状況の監査、ネットワーク アクティビティーの監視、承認されていないツールのアクセス ログの確認を行います。
• NIST AI RMFやEU AI法などの規制では、組織がシャドーITを含むすべてのAIの使用を監視、制御することが求められています。
「シャドーAI」という用語の由来 「シャドーAI」という用語は、より広範な概念であるシャドーIT
時間の経過とともに、「シャドーAI」は隠れたアルゴリズムや未承認のAIシステムだけにとどまらず、より広範な概念を指すようになりました。これは、主にリアルタイムでの問題解決や生産性向上のために、善意のイノベーターが確立されたプロセスを回避する傾向を浮き彫りにしています。結果として効率性の向上や画期的な進歩がもたらされる可能性がある一方、潜在的なセキュリティ リスク、可視性と制御の制限といった代償も伴います。
シャドーAIの一般的な例 組織はシャドーAIがどれほど一般的に利用されているかを認識していない可能性があります。多くの場合、より迅速な課題解決のために、個々の従業員または部門全体が以下のような隠れたソリューションを利用しています。
未承認の予測分析ツール: 一部の部門は、顧客の傾向を予測するAIツール プラグインを、IT部門に通知することなく導入しています。密かに導入されたチャットボット: 部門長が自作または無料のチャットボット サービスを試し、意図せず機密情報を漏洩させることがあります。個人データの分析スプレッドシート: 熱心な従業員は、確立されたアクセス制御を無視して、標準のスプレッドシート上で高度なAIマクロを活用します。未検証のクラウド サービス: 多くの従業員が正式な承認を受けていない外部プラットフォーム(シャドーITに該当)にデータをアップロードし、日常的なタスクを新たにAIで遂行しています。関連コンテンツ AIセキュリティ ポスチャー管理(AI-SPM)とは
記事を読む シャドーAIに伴うリスクと課題 隠れたAIシステムの導入は魅力的であるものの、組織が対処しなければならない重大な脅威を伴います。データの漏洩やシステムへの不正アクセスなど、速やかに特定しなければ大きな問題となり得るさまざまな落とし穴が潜んでいます。
潜在的な データ侵害 : 未承認のAIプロジェクトは、個人を特定できる情報(PII)、ペイメント カード業界(PCI)データ、または保護対象医療情報(PHI)の意図せぬ漏洩につながるおそれがあります。コンプライアンス上の問題: データ収集が規制されていない場合、データ プライバシー規制の違反や法的リスクを招きます。セキュリティ対策のギャップ: 正規のシステムと接続されていない、または未知のソリューションは通常、標準プロトコルに従っていないため、シャドーの使用によるリスクが高まります。データ管理の混乱: 未承認のAIアプリケーションで大量の情報を処理すると、オーナーシップが不明瞭になり、効果的な情報セキュリティ対策の妨げになる可能性があります。コンプライアンスおよび規制に関連するリスク シャドーAIは、責任あるテクノロジーの使用のために確立された制御を回避することで、新たなコンプライアンス上の課題をもたらします。従業員が未承認のAIツールを導入する場合、NIST AIリスク管理フレームワーク、EU AI法、またはより広範なデータ プライバシー法などのフレームワークで定められた重要な確認を回避してしまいがちです。この可視性の欠如は、違反につながるほか、監査で問題を指摘される可能性を高め、高額な罰金や監視不足に関する調査を受けるリスクをもたらします。
AI規制が急速に進化するなか、シャドーAIを見逃せば、組織は大きな損失を被ることになります。特に、規制されていないツールが機密データを悪用したり偏った結果を生成したりした場合、コンプライアンス違反はクライアントやパートナーの信頼を損なう可能性があります。可視性の不足やポリシーの不一致によって繰り返しインシデントが発生すれば、連鎖的な規制措置のきっかけとなり、イノベーションが組織にとって持続的なコンプライアンス リスクに変わってしまいます。
組織内のシャドーAIを特定する手順 シャドーAIの使用は認識しにくい場合もありますが、状況を明らかにするために実行可能な方法はあります。具体的には以下のとおりです。
包括的な監査: 許可されていないクラウド サービスやAIソフトウェアがないか確認し、すべてのツールと統合をマッピングします。環境の継続的な監視: リアルタイムの分析を活用し、データ収集や使用パターンの異常を検出します。従業員からの聞き取り: 各部門や個人から話を聞き、未承認の実験や隠れたAIアプリケーションの存在を明らかにします。アクセス ログの確認: ユーザー権限やアクセス制御を関連付けて、未承認の接続が存在しないことを確認します。検出のためのツールと技術 シャドーAIに関連するリスクが自社の業務に影響を及ぼす可能性が疑われる場合は、以下のような高度な検出方法が大きな効果を発揮します。
自動検出ソリューション: 専用のソフトウェア ツールでネットワークをスキャンし、登録されていないAIシステムを検出します。 エンドポイント セキュリティ エージェント: 軽量ソリューションにより、デバイス上で実行されているシャドーITを特定します。 一元化されたログ管理とSIEM: エコシステム全体のログを収集し、シャドーITや不適切なAI利用と一致するパターンを明らかにします。 脆弱性評価: 定期的なスキャンにより、新規または既存のAIにおける設定ミスを特定します。 データ セキュリティ ポスチャー管理(DSPM): 機密データをマッピング、監視し、シャドーAIシステムや不適切に利用されているAIシステムからの漏洩を迅速に検出します。 AIセキュリティ ポスチャー管理(AI-SPM): AIモデルと構成を追跡し、未承認の展開や危険なアクセス パターンを明らかにします。 シャドーAIを検出し、リスクを最小化する方法の詳細は、生成AIのユーザー エクスペリエンスを保護、最適化するための6つのステップをまとめたチェックリストをダウンロード
よくある質問 シャドーAIと従来のシャドーITの違いは何ですか?
シャドーAIは、特に未承認のAIモデルやツールの使用を指します。一方、シャドーITは、より広義に未承認のテクノロジー全般を指します。シャドーAIは、偶発的なデータ漏洩や検証されていないアルゴリズムの偏りなど、特有のリスクをもたらします。
シャドーAIアプリケーションに機密データを保存する場合、どのようなリスクがありますか?
暗号化の欠如、不明確なデータ保持ポリシー、規制違反、機密情報や専有情報の意図せぬ漏洩などのリスクがあります。許可されていないAIツールは、組織のポリシーや法で定められたセキュリティ基準を満たしていない可能性があります。
イノベーションを制限することなくシャドーAIの使用を抑制するには、どのようなポリシーを導入すればよいですか?
監視と権限委譲のバランスを取るには、新しいAIツールの提案と安全な評価を促す明確なガイドラインを整備するとともに、定期的なフィードバック ループや迅速な承認プロセスを確立することが効果的です。
シャドーAIとは何ですか?
<p><span>シャドーAIとは、組織の技術部門の正式な承認を得ずに高度なAIツールやAIアプリケーションを導入することを指します。問題解決にあたり、部門長や個人が標準的なポリシーの範囲を超えてChatGPTを利用するなどの手っ取り早い手段を求めることで起こり、結果としてデータ プライバシーやコンプライアンス上のリスクを招きます。</span></p>
組織におけるシャドーAIとは何ですか?
<p><span>シャドーAIとは、従業員が組織のIT部門やセキュリティ部門からの正式な承認を得ずにAIツールを使用することを指します。</span></p>
従業員がシャドーAIを使用するのはなぜですか?
<p><span>従業員は、承認されたツールが使用できない場合や十分でない場合に、迅速な解決策を得たり、効率を高めたりするためにシャドーAIを使用します。</span></p>
シャドーAIの主なリスクは何ですか?
<p><span>シャドーAIは、セキュリティ上の問題、データ プライバシーの侵害、法律や組織のポリシーの違反につながる可能性があります。</span></p>
シャドーAIを検出するにはどうすればよいですか?
<p>シャドーAIを検出するには、ソフトウェアの使用状況の監査、ネットワーク アクティビティーの監視、承認されていないツールのアクセス ログの確認を行います。<p> </p><p><br> </p></p>
シャドーAIに関連する規制にはどのようなものがありますか?
<p><span>NIST AI RMFやEU AI法などの規制では、組織が非公式ツールを含むすべてのAIの使用を監視、制御することが求められています。</span></p>
シャドーAIという用語の由来は何ですか?
<div><div><div><div><div><div class="text-darkBlue"><p>「シャドーAI」という用語は、より広範な概念である<a href="https://www.zscaler.com/jp/resources/security-terms-glossary/what-is-shadow-it"><span>シャドーIT</span></a>に並ぶ形で登場しました。シャドーITとは、企業内で承認されていないテクノロジーを導入することを指します。「シャドーAI」は、正式な管理プロセスにおいて認識されていないAIソリューションの導入を指し、この定義にもぴったりと当てはまります。専門家は、シャドーAIの利用について、従業員が自身のデバイスに未承認のソフトウェアをインストールする行為と類似しており、コンプライアンス上の深刻な問題を引き起こす可能性があると指摘しています。</p><p>時間の経過とともに、「シャドーAI」は隠れたアルゴリズムや未承認のAIシステムだけにとどまらず、より広範な概念を指すようになりました。これは、主にリアルタイムでの問題解決や生産性向上のために、善意のイノベーターが確立されたプロセスを回避する傾向を浮き彫りにしています。結果として効率性の向上や画期的な進歩がもたらされる可能性がある一方、潜在的なセキュリティ リスク、可視性と制御の制限といった代償も伴います。</p></div></div></div></div></div><div><div><div><div><div><div class="text-darkBlue"> </div></div></div></div></div></div></div>
シャドーAIの一般的な例
<p>組織はシャドーAIがどれほど一般的に利用されているかを認識していない可能性があります。多くの場合、より迅速な課題解決のために、個々の従業員または部門全体が以下のような隠れたソリューションを利用しています。<ul><li><strong>未承認の予測分析ツール:</strong>一部の部門は、顧客の傾向を予測するAIツール プラグインを、IT部門に通知することなく導入しています。</li><li><strong>密かに導入されたチャットボット:</strong>部門長が自作または無料のチャットボット サービスを試し、意図せず機密情報を漏洩させることがあります。</li><li><strong>個人データの分析スプレッドシート:</strong>熱心な従業員は、確立されたアクセス制御を無視して、標準のスプレッドシート上で高度なAIマクロを活用します。</li><li><strong>未検証のクラウド サービス:</strong>多くの従業員が正式な承認を受けていない外部プラットフォーム(シャドーITに該当)にデータをアップロードし、日常的なタスクを新たにAIで遂行しています。</li></ul></p>
シャドーAIにはどのようなリスクや課題が伴いますか?
<p>隠れたAIシステムの導入は魅力的であるものの、組織が対処しなければならない重大な脅威を伴います。データの漏洩やシステムへの不正アクセスなど、速やかに特定しなければ大きな問題となり得るさまざまな落とし穴が潜んでいます。<ul><li><strong>潜在的な</strong><a href="https://www.zscaler.com/jp/zpedia/what-data-breach"><span><strong>データ侵害</strong></span></a><strong>:</strong>未承認のAIプロジェクトは、個人を特定できる情報(PII)、ペイメント カード業界(PCI)データ、または保護対象医療情報(PHI)の意図せぬ漏洩につながるおそれがあります。</li><li><strong>コンプライアンス上の問題:</strong>データ収集が規制されていない場合、データ プライバシー規制の違反や法的リスクを招きます。</li><li><strong>セキュリティ対策のギャップ:</strong>正規のシステムと接続されていない、または未知のソリューションは通常、標準プロトコルに従っていないため、シャドーの使用によるリスクが高まります。</li><li><strong>データ管理の混乱:</strong>未承認のAIアプリケーションで大量の情報を処理すると、オーナーシップが不明瞭になり、効果的な情報セキュリティ対策の妨げになる可能性があります。</li></ul></p>
コンプライアンスおよび規制に関連するリスク
<p>シャドーAIは、責任あるテクノロジーの使用のために確立された制御を回避することで、新たなコンプライアンス上の課題をもたらします。従業員が未承認のAIツールを導入する場合、NIST AIリスク管理フレームワーク、EU AI法、またはより広範なデータ プライバシー法などのフレームワークで定められた重要な確認を回避してしまいがちです。この可視性の欠如は、違反につながるほか、監査で問題を指摘される可能性を高め、高額な罰金や監視不足に関する調査を受けるリスクをもたらします。<p>AI規制が急速に進化するなか、シャドーAIを見逃せば、組織は大きな損失を被ることになります。特に、規制されていないツールが機密データを悪用したり偏った結果を生成したりした場合、コンプライアンス違反はクライアントやパートナーの信頼を損なう可能性があります。可視性の不足やポリシーの不一致によって繰り返しインシデントが発生すれば、連鎖的な規制措置のきっかけとなり、イノベーションが組織にとって持続的なコンプライアンス リスクに変わってしまいます。</p></p>
組織内のシャドーAIを特定する手順
<p>シャドーAIの使用は認識しにくい場合もありますが、状況を明らかにするために実行可能な方法はあります。具体的には以下のとおりです。<ol><li><strong>包括的な監査:</strong>許可されていないクラウド サービスやAIソフトウェアがないか確認し、すべてのツールと統合をマッピングします。</li><li><strong>環境の継続的な監視:</strong>リアルタイムの分析を活用し、データ収集や使用パターンの異常を検出します。</li><li><strong>従業員からの聞き取り:</strong>各部門や個人から話を聞き、未承認の実験や隠れたAIアプリケーションの存在を明らかにします。</li><li><strong>アクセス ログの確認:</strong>ユーザー権限やアクセス制御を関連付けて、未承認の接続が存在しないことを確認します。</li></ol></p>
検出のためのツールと技術にはどのようなものがありますか?
<p dir="ltr"><span>シャドーAIに関連するリスクが自社の業務に影響を及ぼす可能性が疑われる場合は、以下のような高度な検出方法が大きな効果を発揮します。</span><ul><li dir="ltr"><strong>自動検出ソリューション:</strong><span>専用のソフトウェア ツールでネットワークをスキャンし、登録されていないAIシステムを検出します。</span></li><li dir="ltr"><a href="https://www.zscaler.com/jp/resources/security-terms-glossary/what-is-endpoint-security"><strong><u>エンドポイント セキュリティ</u></strong></a><strong> エージェント:</strong><span>軽量ソリューションにより、デバイス上で実行されているシャドーITを特定します。</span></li><li dir="ltr"><strong>一元化されたログ管理とSIEM:</strong><span>エコシステム全体のログを収集し、シャドーITや不適切なAI利用と一致するパターンを明らかにします。</span></li><li dir="ltr"><strong>脆弱性評価:</strong><span>定期的なスキャンにより、新規または既存のAIにおける設定ミスを特定します。</span></li><li dir="ltr"><a href="https://www.zscaler.com/jp/products-and-solutions/data-security-posture-management-dspm"><strong><u>データ セキュリティ ポスチャー管理(DSPM):</u></strong></a><strong></strong><span>機密データをマッピング、監視し、シャドーAIシステムや不適切に利用されているAIシステムからの漏洩を迅速に検出します。</span></li><li dir="ltr"><a href="https://www.zscaler.com/jp/products-and-solutions/ai-spm"><strong><u>AIセキュリティ ポスチャー管理(AI-SPM):</u></strong></a><strong></strong><span>AIモデルと構成を追跡し、未承認の展開や危険なアクセス パターンを明らかにします。</span></li></ul><p> </p></p>
シャドーAIと従来のシャドーITの違いは何ですか?
<p><span>シャドーAIは、特に未承認のAIモデルやツールの使用を指します。一方、シャドーITは、より広義に未承認のテクノロジー全般を指します。シャドーAIは、偶発的なデータ漏洩や検証されていないアルゴリズムの偏りなど、特有のリスクをもたらします。</span></p>
シャドーAIアプリケーションに機密データを保存する場合、どのようなリスクがありますか?
<p><span>暗号化の欠如、不明確なデータ保持ポリシー、規制違反、機密情報や専有情報の意図せぬ漏洩などのリスクがあります。許可されていないAIツールは、組織のポリシーや法で定められたセキュリティ基準を満たしていない可能性があります。</span></p>
イノベーションを制限することなくシャドーAIの使用を抑制するには、どのようなポリシーを導入すればよいですか?
<p><span>監視と権限委譲のバランスを取るには、新しいAIツールの提案と安全な評価を促す明確なガイドラインを整備するとともに、定期的なフィードバック ループや迅速な承認プロセスを確立することが効果的です。</span></p>
