この1年、私たちはコンシューマー向けのAI生産性向上ツールが爆発的な成長を遂げ、私たちの働き方に再び変革をもたらしたことを目の当たりにしてきた。かつてはデータサイエンスやエンジニアリングチームの領域であったジェネレーティブAIは、2023年にパッケージ化され、大衆に提供された。
ChatGPTの大々的な登場からわずか1年余りで、人工知能は現代の仕事の日常的なリズムに、ほとんど気づかないうちに織り込まれている。
その背景として、SaaSのセキュリティとガバナンスのプロバイダーであるナッジ・セキュリティは、現在までに顧客環境で500以上のユニークな生成AIアプリケーションを発見しており、2023年11月の300、2023年7月の150から増加している。
このような採用ペースと新しいAIツールの急速な導入を考えると、ITとセキュリティのチームは、組織内で誰がGenAIツールを使っているのかさえ理解するのに苦労している。
また、これらのAIツールの多くは、無料ティアやトライアルを提供するSaaSのGo-to-Marketモデルを採用しているため、参入障壁はほとんどなく、調達や経費報告を通じて利用状況を発見する方法もない。
このようなリスクを軽減するにはどうすればいいのだろうか?
よくあるケースだが、GenAIツールのリスクを管理するには2つの選択肢がある。すべてのアクセスをブロックするか、IT&セキュリティチームからの可視化とガイダンスを受けながら、従業員がこれらのツールを試す方法を提供するかです。
ユーザー行動調査によると、アクセスをブロックすることは、従業員がセキュリティ管理を回避する方法を探す動機付けとなり、最終的にITガバナンスの取り組みを損なうことが多い。また、特定のツールをブロックするためには、通常、そのツールの存在を最初に知る必要があるが、新しいGenAIツールがほぼ毎日登場していることを考えると、これは難題である。
ナッジ・セキュリティの支援方法
Nudge SecurityはSaaS管理プラットフォームであり、GenAIツールを含め、組織内の誰によって作成された全てのSaaSアカウントを発見する。無料トライアルを開始してから数分で、AIのフットプリントのインベントリが継続的に更新されます。
新しいAIアプリが導入されると、ナッジセキュリティは管理者に警告を発し、誰が何を使用しているかを可視化し、AIセキュリティリスクを軽減するためのベストプラクティスを従業員に指導することができます。
Nudge Securityを使用すると、次のことが可能になります:
- 従業員が使用しているAIツールの発見とインベントリ化
- 新しいAIツールの導入時にアラートを受け取る
- 不慣れなツールを評価するためのセキュリティ・レビューの迅速化
- 企業データを危険にさらす可能性のある、過度に寛容なOAuthスコープを検出する
- 承認されたプロバイダとより良いセキュリティプラクティスに従業員を誘導する
- 許容される使用ガイダンスを共有し、ポリシーの承認を収集する
1.GenAIの足跡を即座に可視化する
他の従業員と同じように、従業員はすでに職場でAIを使用していますが、彼らはそれを認めたくないかもしれません。AIツールが組織で果たす役割を理解するためには、何が既に世に出ているかを知り、従業員がサインアップした新しいツールを常に把握する必要があります。
Nudge Securityを使えば、従業員が使用しているすべてのAIツールのインベントリを即座に取得し、新しいAIツールが導入されたときに通知するアラートを設定することができます。
ナッジ・セキュリティは、環境内のAIツールやその他のSaaSアプリケーションを自動的に検出し、簡単にフィルタリングできるように種類別に分類します。
2.AIツールの使用状況とセキュリティを評価する
Nudge Securityは、新しいAIツールを迅速に評価するために、各アプリケーションの概要ビューを提供します。アプリの簡単な説明、組織のメンバーによって作成されたアカウントと統合の数、元のユーザーの特定、ユーザーのセキュリティ衛生の確認ができます。
メニューの各タブにドリルインすると、評価をサポートするさらに多くの情報が得られます。
各アプリについて、Nudge Securityは、利用規約やプライバシーポリシーへのリンク、セキュリティプログラムの概要、サポートされている認証方法など、新しいアプリケーションを迅速かつ体系的に評価するのに役立つセキュリティコンテキストも提供します。
各ベンダーの侵害履歴も表示され、従業員が使用しているアプリケーションに影響するセキュリティインシデントがアラートで通知されるため、従業員のアカウント、統合、データを保護するために迅速に対応できます。
ベンダーのセキュリティレビューを完了すると、各アプリケーションのステータスを「承認」、「受諾可能」、「受諾不可能」に設定し、従業員が承認されたオプションから選択できるようにアプリケーションディレクトリを共有できます。
4.リスクのあるOAuth認証の表面化とレビュー
OAuthグラントへの同意が簡単であるため、ユーザーはGenAIツールへのアクセス権を思っている以上に渡してしまう可能性がある。
そのため、Nudge Securityは各アプリケーションが許可されたスコープを明らかにし、OAuthリスクスコアを提供することで、リスクのあるOAuthグラントを素早く特定できるようにします。
各ユーザーがどのようなアクセスやパーミッションを付与しているのか、そしてそれが組織にとってどのような意味を持つのかを正確に理解するために必要なコンテキストを得ることができます。
5.タイムリーな使用ガイダンスの提供
AIツールのバイラルな拡散を考えると、新しいアプリにサインアップしたときにすぐにユーザーにアプローチすることで、ユーザーの行動に影響を与える最善のチャンスがあります。
ナッジ・セキュリティは「ナッジ」と呼ばれるジャスト・イン・タイムの介入を提供するため、ユーザーが新しいアカウントを作成したときに、電子メールやSlackを通じてすぐにアプローチすることができる。
ユーザーがAIツールにサインアップするとすぐに、AIの利用ポリシーを確認し、承認するようナッジすることができ、情報が最も適切で有用なタイミングでユーザーにアプローチすることができます。
ユーザーは、ナッジから直接ポリシーを受け入れることができます(そして、すべての応答は、許容される使用ポリシーの承認を文書化するために収集されます)。
また、すでに審査済みの代替アプリケーションを使用するように促したり、多要素認証の設定など、より安全なアクションを取るように促したりすることもできます。
ナッジ・セキュリティでリスクを軽減しながらイノベーションを促進する
御社のビジネスが競争力を持つためにはAIが必要です。つまり、どのGenAIツールが信頼できるのか、そして企業データを危険にさらさない方法でどのように使うのかを判断する手助けがユーザーに必要です。
ナッジセキュリティは、新しいツールのセキュリティを効率的に評価し、ユーザを安全なプラクティスに導くことができるように、AIの利用を発見し、保護し、管理することを支援します。
ナッジ・セキュリティでAIのセキュリティ・リスクを管理する方法の詳細については、14日間のトライアルを開始してください。
NudgeSecurity がスポンサーとなり、執筆しました。
Comments