かつてシャドーAIは、従業員が機密データを**ChatGPT**に貼り付けることでした。しかし今、それはより危険なものへと進化しています。従業員がAIを使って本格的なアプリケーションを構築し、それを本番システムに統合し、セキュリティチームやITチームの知識や関与なしにインターネット上に公開しているのです。 ## 新しいシャドーAIはプロンプトではなく、製品に関するもの Vibeコーディング、AI駆動型開発プラットフォームの広範な領域は、単に望ましい機能を記述するだけで、誰でも動作するアプリケーションを作成することを可能にします。これにより開発時間は劇的に短縮され、非開発者でも迅速にアプリケーションを展開できるようになりました。 これらのアプリケーションは、CRM、ERP、チケットツール、BIプラットフォームなどの正規の本番システムに頻繁に接続され、最小限または全くアクセス制御なしでインターネット上に公開されることがよくあります。これらのアプリケーションを構築する個人が悪意を持っているわけではありませんが、その行動は機密データを暴露し、重大なセキュリティリスクを生み出します。 ## なぜ従来のセキュリティスタックはシャドーAIを検出できないのか EDR（Endpoint Detection and Response）、DLP（Data Loss Prevention）、CASB（Cloud Access Security Broker）などの従来のセキュリティツールは、シャドーAIの活動を検出できないことがよくあります。これは以下の理由によります。 * **EDR:** ブラウザプロセスに焦点を当てており、vibeコーディングプラットフォーム内でのビルドプロセスを悪意のあるアクティビティとして認識しない場合があります。また、BYODデバイスにも対応が難しいです。 * **DLP:** 列挙されたチャネルを監視しており、API経由でのクラウド間データ移動を検出できない場合があります。 * **CASB:** 正規のSaaSベンダー向けに設計されており、vibeコーディングプラットフォームのサブドメインでホストされているカスタムアプリケーションを区別するのが困難です。 * **ファイアウォール/SSE:** アプリケーション・アズ・ア・ビジネス・オブジェクトのコンテキストが欠けており、管理されていないデバイスが露出したままになることがよくあります。 これらのツールが必ずしも失敗しているわけではありませんが、シャドーAIの性質上、これらのレイヤー間のギャップに存在することができ、包括的なセキュリティビューを防いでいます。 ## セッションレイヤー監視による可視性の確保 Vibeコーディングは、本質的にWebセッションイベントです。ビルドプロセスからOAuthの付与、データ転送までのすべてのステップは、セッションレイヤー内で発生します。したがって、セッションレイヤーに配置された制御は、使用されたプラットフォーム、接続されたシステム、データ移動、展開イベントを含むビルドパスの完全なビューを提供できます。 このアプローチは、使用されているブラウザ、取られたネットワークパス、デバイスが企業発行か個人所有かに関わらず、可視性を提供します。 ## シャドーAIリスクを軽減するための即時ステップ **Red Access**は、以下の対策を推奨しています。 1. **発見:** 従業員に直接働きかけ、彼らが構築したAI駆動型ツールを特定します。議論は監査ではなく、棚卸し演習として進めます。 2. **マッピング:** 各アプリケーションに接続されている企業システム、接続方法（OAuth、APIキーなど）、およびアプリケーションが公開されているかどうかを文書化します。 3. **正規のパス:** 承認されたプラットフォームを確立し、許容されるデータカテゴリを定義し、最小限の認証基準を設定します。 4. **継続的な発見:** シャドーAIは継続的な問題であることを認識し、継続的な監視が不可欠です。 セッションレイヤーの可視性に焦点を当て、積極的な発見とガバナンス対策を実施することで、組織はシャドーAIに関連するリスクを効果的に軽減できます。 **Red Access**は、エージェントレスのセッションレイヤーセキュリティプラットフォームを提供しており、あらゆるブラウザとデバイスにわたる可視性とガバナンスを提供します。[**無料監査をリクエストする。**](https://info.redaccess.io/request-a-demo) この記事は興味深いものでしたか？ <span>この記事は、大切なお客様であるパートナーからの寄稿記事です。</span> Googleニュース、およびLinkedInでフォローして、私たちが投稿するその他の限定コンテンツをお読みください。 <a rel="noopener" href="https://news.google.com/publications/CAAqLQgKIidDQklTRndnTWFoTUtFWFJvWldoaFkydGxjbTVsZDNNdVkyOXRLQUFQAQ">Google News</a>、<a rel="noopener" href="https://www.linkedin.com/company/thehackernews/">LinkedIn</a>