シャドーAIの驚くべき普及状況

サイバーリスク監視ベンダーUpGuardの新たなレポートによると、従業員の80%以上、そしてセキュリティ専門家の約90%が、職場で未承認のAIツールを使用していることが明らかになりました。この未承認AIツールの使用、いわゆる「シャドーAI」は、セキュリティ脆弱性を引き起こす可能性があり、その普及は広範囲に及んでいます。従業員の半数が定期的にシャドーAIツールを使用しており、会社が承認したAIツールのみを使用していると答えたのは20%未満でした。特に注目すべきは、セキュリティリーダーが平均的な従業員よりも未承認ツールを使用していると報告する可能性が高く、定期的に使用していると答える傾向が強い点です。

従業員のAIへの高い信頼と「シャドーAI」利用の関連性

UpGuardの11月10日付けのレポートは、無許可のAIプラットフォーム、すなわちシャドーAIの使用が、今日のあらゆる分野の企業が直面する重大な問題であることを指摘しています。驚くべきことに、従業員の約4分の1がAIツールを「最も信頼できる情報源」と見なしており、これは彼らの上司とほぼ同等か、同僚や検索エンジンよりも高い水準です。製造業、金融、ヘルスケア分野の従業員は、AIツールに対する信頼度が最も高いと報告しています。この信頼の視点は結果を伴います。UpGuardは、「AIツールを最も信頼できる情報源と見なす従業員は、通常のワークフローの一部としてシャドーAIツールを使用する可能性がはるかに高い」と述べています。

部門別・役職別の利用傾向

幅広い業界の企業がシャドーITの問題を抱えており、金融、IT、製造、ヘルスケアなど、さまざまな分野で従業員が定期的に無許可のAIを使用していると報告する割合が一貫して高いです。全体的なシャドーAIの使用レベルでは、中堅管理者と一般従業員が最も高いですが、定期的な使用レベルでは経営層が最も高いという結果が出ています。UpGuardのレポートによると、すべての企業部門でシャドーAIが多用されていますが、マーケティングおよび営業チームは、運用および財務担当者よりも広範に利用していると報告しています。

セキュリティ意識とシャドーAI利用の逆説

シャドーAIの蔓延を減らそうと努力するセキュリティチームにとって、UpGuardの調査結果の一つは特に注目に値します。それは、従業員がリスクを管理するのに十分な知識があると信じているため、未承認ツールを使用しているという点です。「AIセキュリティ要件を理解していると報告するユーザーと、未承認AIツールを定期的に使用しているユーザーとの間に正の相関関係があることがわかりました」とUpGuardは述べています。「このデータは、従業員のAIリスクに関する知識が増えるにつれて、会社の方針に従うことを犠牲にしてでも、そのリスクについて判断を下す自信も高まることを示唆しています。」この相関関係は、セキュリティ意識向上トレーニングが脅威に対する十分な防御策ではないことを示唆しており、「そのようなプログラムは成功するために新しいアプローチを必要としている」とレポートは結論付けています。実際、従業員の半数以下しか自社のAI利用ポリシーを知り、理解していると答えていません。一方、70%の従業員がAIツールとの機密データの不適切な共有を認識しており、セキュリティリーダーではその割合がさらに高かったとのことです。

調査概要

UpGuardのレポートは、米国、英国、カナダ、オーストラリア、ニュージーランド、シンガポール、インドのセキュリティリーダーと一般従業員1,500人を対象とした2つの2024年調査に基づいています。

元記事: https://www.cybersecuritydive.com/news/shadow-ai-employee-trust-upguard/805280/