Clouderaは、4月9日、企業がデータのセキュリティとガバナンスを見直す重要性についてコメントを発表した。
AIはビジネスを変革し、企業が業務を自動化し、インサイトを生み出し、大規模なイノベーションを推進することを可能にしているという。しかし、AIの導入が加速するにつれ、AIがデータを処理し移動させる方法にともなうリスクも増大。McKinseyのレポート(英語)によると、AIのサイバーセキュリティリスクは、従業員や経営陣にとって最大の懸念事項の一つとなっているとのことだ。
ITリーダーは、データの管理と保護には、現代的なデータレイクハウスアーキテクチャやマルチクラウドデータ管理戦略など、包括的なデータ保護アプローチが必要であることを理解する必要があるという。従来のデータシステムでは、情報は予測可能な方法で保存・アクセスするのが一般的だったが、AIはそれとはまったく異なる、より流動的かつ高速な形で動作するとのことだ。データがチーム、部門、システムをまたいで常に移動しており、データの出どころ、変換の過程、アクセス権限の把握が困難になるという。AIが扱うデータを守るためには、どこにデータが移動しても、最初からセキュリティが確保されていることが不可欠であり、企業に求められているのは、脅威を未然に防ぐ「積極的なガードレール」だとしている。
AI環境でのデータ保護の課題:データが増えるほどリスクも増大
AIはデータを基盤として機能し、多くのデータにアクセスすることで、より強力で価値あるインサイトを提供できるようになるという。しかし、データフローの増加は、深刻なセキュリティおよびコンプライアンス上の課題をもたらすとしている。多くの企業は、データがどこへ移動し、どのように使用されているのか完全に把握しないまま、機密データをAIモデルに投入しており、意図せぬ情報漏えいのリスクを抱えているとのことだ。
加えて、AIを活用する部門が増えるにつれ、データは複数のシステム間を移動し、追跡や管理が困難に。適切な監視がなければ、顧客の個人情報や企業の機密情報がAIモデルやレポートに組み込まれ、知らないうちに流出・誤用・不正共有される危険性があるとしている。
また、異なるチームが新しいデータをAIモデルに投入することで、エラー、バイアス、または古い情報がAIの出力に影響を与え、その精度が低下する可能性があるという。こうしたリスクを防ぐために、企業はデータフローを追跡できる強力な系統管理を導入すべきだと同社は述べる。たとえば、ClouderaのOctopaiのような自動メタデータ管理ツールを活用すれば、データフローを可視化し、AIの意思決定に影響を及ぼす前にエラーを防げるとのことだ。
多くのAIモデルは「ブラックボックス」と化しており、企業はデータがどのように処理・変換されるかを理解するのに苦労しているという。この不透明性はコンプライアンス上の懸念を生じさせ、AIが導き出す意思決定を説明・正当化できない場合、企業の評判リスクにもつながるとしている。従来のセキュリティ対策は、AI環境では効果的でなくなっており、AIモデルが継続的に学習・適応するため、静的なセキュリティ対策ではこの動的なワークフローを保護できないとのことだ。
適切な対策がなければ、企業は単なるセキュリティ侵害のリスクだけでなく、規制違反による罰則、業務の混乱、顧客からの信頼喪失といった深刻な問題に直面することになると同社は述べている。
アクティブなセキュリティからプロアクティブなガバナンスへ
AIデータを適切に保護するためには、企業は「事後対応型(リアクティブ)」のセキュリティから、「予防的(プロアクティブ)」なガバナンスへとシフトする必要があるという。セキュリティ侵害が発生した後に問題を修正するのではなく、最初からAIのワークフローにセキュリティ対策を組み込むことが不可欠だとしている。特に、金融業界や医療業界のように、大量の機密データを扱う業界においては、このアプローチが極めて重要とのことだ。
しかし、Gartnerの「2023年デジタル時代のメタデータ管理」レポート(英語)によると、60%の企業が、自社の重要なデータがどこにあるのかを正確に把握していないと報告しているという。AIガバナンスの第一歩は「可視化」であり、企業はエンドツーエンドのデータ系統追跡を通じて、AIモデルがどのようにデータを処理・共有するかを理解する必要があるとしている。
また、ガバナンスは自動化されるべきだという。データがオンプレミス、クラウド、またはサードパーティのAIエコシステム内を移動する際にも、一貫したセキュリティとコンプライアンスを確保できるようにする必要があるとしている。静的なセキュリティポリシーではなく、AIによるデータフローの変化に動的に適応するセキュリティ対策が求められるとのことだ。企業は、データへのアクセスを厳格に管理し、必要な人だけが適切なタイミングでデータを利用できるようにするきめ細かなアクセス制御を実装するべきだと同社は述べている。
AIセキュリティはビジネスの必須要件
AIセキュリティは、もはやIT部門だけの課題ではなく、ビジネス全体の不可欠な要件だという。AIデータの管理・ガバナンスを適切に行わない企業は、規制違反による罰金、法的リスク、顧客からの信用失墜といった、直接的な財務的損失を被る可能性があるとのことだ。
AIの導入が進む中で、企業には選択肢が2つ。従来のセキュリティ手法に依存し、問題が発生するたびに対応するか、最初から強力なAIデータガバナンスを実装してリスクを未然に防ぐかの、どちらかだという。AIセキュリティの未来は、「問題が発生するのを待つこと」ではなく、「問題が発生する前に防ぐこと」にあり、AIの積極的なガードレールを築く企業こそが未来のリーダーとなると同社は述べている。
【関連記事】
・『AIセーフティに関するレッドチーミング手法ガイド』が改訂、実践例の掲載でより詳細に
・エーアイセキュリティラボ、脆弱性診断を一元管理できるセキュリティマネジメントプラットフォームを提供
・IPA、「企業組織向けサイバーセキュリティ相談窓口」を新設 インシデント相談や対策推進などを支援へと
