シャドーAI問題への対処による安全なイノベーションの確保：Gartner Insights Pickup（410）

• 従業員のシャドーAI：最も広まっている。従業員が生産性向上のため、あるいは業務ニーズとは無関係な個人的プロジェクトのために、生成AIツールを利用する
• 開発者のシャドーAI：企業内のソフトウェア開発者が、承認された企業リポジトリにないオープンソースのAIモデルを試す。既存のサイバーセキュリティ対策をすり抜けている場合が多い
• ITプロバイダーのシャドーAI：企業向けソフトウェアベンダーが十分な告知なしに自社製品に新しいAI機能を組み込み、結果的に顧客企業のアタックサーフェス（攻撃対象領域）を広げてしまう
• サードパーティープロバイダーのシャドーAI：パートナーや契約業者が企業に告知せずに、あるいはセキュリティおよびプライバシー要件を順守せずに、AIツールを利用する

　これらのシャドーITはそれぞれ、監督や統制を維持しようとするCISOに、特有の課題をもたらす。

拡大するシャドーAI：企業が抱える実態

　シャドーAIは、多くの企業が抱えている問題だ。Gartnerの「2025年 Cybersecurity Innovations in AI Risk Management and Use Survey」（2025年のAIのリスク管理と活用におけるサイバーセキュリティイノベーション調査）によると、企業の69％が禁止されているパブリック生成AIツールを従業員が使用している疑いがある、あるいはその証拠を持っていると回答している。

　さらに79％が、承認されているパブリック生成AIの誤用を疑っているか、確認している。また52％は、従業員が適切なサイバーセキュリティリスク評価をせずにカスタム生成AIソリューションを構築することを懸念している。

　ところが、これらのリスクを認識しながらも、強力な予防対策を講じている企業はごく少数派だ。パブリック生成AIをデフォルトでブロックしている企業は16％、組み込み型のAIまたはカスタム構築されたAIをブロックしている企業は9％にすぎない。このギャップは、より積極的かつ包括的なリスク管理戦略が緊急に必要であることを浮き彫りにしている。

CISOの役割：価値とリスクのバランスを取る

　CISOはシャドーAIの価値とリスクのバランスを取るため、承認されていないAI利用（特に、未承認の生成AIツールが関わるケース）の発見とモニタリングに注力すべきだ。効果的なポリシーを策定するには、ユーザーと直接対話し、こうしたAI利用の目的、共有されているデータの種類、開発されているスキルを理解することが不可欠だ。

　明確で実践的なガイドラインを策定する必要もある。例えば、以下のような内容を盛り込む。

• 承認されていないAIとの機密データや規制対象データの共有を制限する
• 可能であれば、データの再利用を拒否する
• AIの出力は検証してから使用する
• 適切な帰属表示を通じて透明性を確保する

　社内にオープンなAIコミュニティーを構築することで、支援と透明性の文化を醸成でき、従業員にAIのリスキーな使い方と革新的な使い方の両方を報告するよう促せる。

テクノロジーを活用したリスク管理

　シャドーAIの効果的な管理には、以下のようなセキュリティコントロールの導入も有効である。

• Webベースのモニタリング
• 情報漏えい防止（DLP）機能
• 最新のAI利用制御技術

　これらのツールは、承認されていないAI利用を検知、管理し、強硬な措置によってさらに“アンダーグラウンド化”させるのを防ぐのに役立つ。ポリシーは、ビジネスニーズとリスクの優先順位と整合させ、機密データを扱うシナリオを想定し、企業向けAIライセンスや社内チャットbotの利用といった柔軟な選択肢も提供する必要がある。

　最終的には、AIを安全に使用する文化の構築は、専門用語に頼らない実践的な教育と、既存のデータガバナンスリソースの活用にかかっている。シャドーAIをオープンなAI利用に転換することで、CISOは従業員が安全に、責任を持ってイノベーションを起こせるように支援できる。

　教育や支援の厚いコミュニティー、スプラッシュページやリアルタイムコーチングのような非遮断的なコントロールを組み合わせたバランスの取れたアプローチは、従業員のリスク認識を向上させ、行動に影響を与えることで、企業が価値ある資産を保護しながら、AIのメリットを享受することができる。

出典：Ensuring Secure Innovation Amid Shadow AI Challenges（Gartner）

※この記事は、2025年6月に執筆されたものです。