なぜ企業の生成AI活用は思うように進まないのか？ 「期待とのギャップ」を埋める対策──Gartnerアナリスト提言

ガバナンスを理由にAI活用に慎重になりすぎていないか？

　2つ目の戦略的必須要素は、「セキュリティとガバナンス」である。AIに関するリスクはテクノロジーの進化と共に増大している。実際、生成AIが登場したばかりの2023年には、本来であれば許されない情報へのアクセスを認めてしまう過剰共有がリスクの焦点であった。その1年後の2024年には、プロンプトインジェクションに代表される新しい攻撃手法が登場し、対応の難易度が高くなった。そして、2025年に台風の目玉になったのは、AIエージェントである。AIエージェントが組織内で際限なく増えるとどうなるか。AIエージェントを構築するスキルがあっても、その数が多すぎればコントロールが難しくなる。調査結果では、回答者のわずか14％だけが、AIエージェントの運用に備えたガバナンスを確立しているとわかった。また、2028年までに、企業の情報漏洩の25％がAIエージェント由来になるという予測もあるという。

　つまり、新しいリスクに対応する時間が取れないでいるうちに、新しいリスクが出てきたということだ。AIの進化のスピードに追随できたとして、今の段階で何ができるか。調査結果では、56%の回答者が利用者を限定することが現実的と考えているとわかった。全員にライセンスを配布して問題をコントロールできなくするよりも、一部のみにすればリスクを低減できる。図2で見たように、Microsoft 365 Copilotの大規模展開が進んでいないのは、セキュリティとガバナンスの観点から、配布するライセンスを抑制しようとする心理も影響しているとゴス氏は分析している。

　元々、日本企業では、セキュリティを重視しすぎる傾向があるが、ゴス氏は「AIを制限することは持続可能なアプローチではない。ガバナンスを理由に、AI活用を妨げてはならない」と釘をさす。AIに限らず、どんな新しいテクノロジーにも使い始めるときにはリスクがある。それは決してゼロにはならない。リスクをコントロールした上で活用を拡大するにはどうするか。ガートナーとしての推奨事項は大きく3つある。第1にAIガバナンスを確立すること。第2にAIに特化したセキュリティコントロールを行うこと。そして最後が責任あるAIについての教育を提供することだ。

　3つのうち、AIガバナンスの確立では、複数のチームが協力し、脅威への対策を講じることが必要になる。例えば、IT部門とは別にセキュリティチームがあり、それぞれの仲が悪ければ、脅威にうまく対処できない。というのも、AIエージェントのリスク対策では、これまでとは異なる専門知識が必要になるためだ。今後に向けては、ITやセキュリティだけでなく、各種法制度やID管理の知識も含めて、関係チームが協力して、AIリスクの低減対策を講じられる体制を整えることが求められる。