従業員がAIライティングアシスタントをインストールしたり、コーディングコパイロットをIDEに接続したり、新しいブラウザツールで会議の要約を開始したりするとき、彼らは生産的な従業員がすべきことを正確に行っています。それは、より速く仕事をする方法を見つけることです。 今日のほとんどの組織では、従業員は1日に3〜5個のAIツールを実行しています。ほとんどはITによってレビューされたことがありません。かなりの割合がOAuthトークンまたはブラウザセッションを通じて企業のデータに接続しており、従業員が明示的に公開する意図がなかった共有ドライブ、メール、および内部ドキュメントへのアクセスを許可しています。セキュリティチームは、それらのほとんどすべてについて可視性を持っていません。 これがシャドーAIギャップであり、急速に拡大しています。ほとんどのセキュリティツールは、企業のネットワークを流れるメールとネットワークトラフィックを監視するように構築されています。クイックログイン承認を通じて企業のデータに接続するブラウザベースのAIツールは、企業のネットワークをまったく通過しないため、これらの制御を完全に回避します。 **Adaptive Security**の調査によると、現在80％の従業員が職場で承認されていない生成AIアプリケーションを使用しており、AIガバナンスポリシーを正式に導入している企業はわずか12％です。その結果、従業員の働き方とセキュリティチームが見ることができるものの間に、ますます乖離が生じています。 AIの採用を安全で、可視的で、承認されたパスにチャネルするプログラムは、セキュリティチームに必要な可視性を提供し、従業員に望ましいツールを提供します。以下の5つのステップは、それを構築する方法を正確に示しています。 ## ステップ1：実行中のものをすべて把握する セキュリティプログラムは、見ることができるものしか管理できません。最初のステップは、組織全体でどのAIツールが使用されているかを検出することです。ほとんどのセキュリティチームは、その答えに驚くでしょう。 シャドーAI活動の大部分は、3つの領域で発生しています。 * **OAuth接続。**ほとんどのAIツールは、OAuthを介して**Google Workspace**または**Microsoft 365**へのアクセスを要求します。これにより、企業のデータに対する読み取りまたは書き込み権限が付与されます。権限スコープでソートされた接続済みサードパーティアプリの四半期ごとの監査は、通常、セキュリティチームがレビューしたことのない多数のツールを浮上させます。 * **ブラウザ拡張機能。**多くのAIツールはブラウザ拡張機能として実行され、オペレーティングシステムに触れることがないため、従来のエンドポイント管理ツールはそれらを完全に無視します。ブラウザ管理ソリューションまたは従業員デバイスにインストールされた軽量エージェントは、組織全体でアクティブな拡張機能をスキャンして特定できます。 * **既に承認されたツールにバンドルされているAI機能。****Microsoft Copilot**、**Google Gemini**、および**Salesforce Einstein**は、元のベンダーレビュー後に導入された可能性のあるAI機能の例であり、多くの場合、個別のセキュリティ評価なしで導入されています。 簡単な従業員アンケートも実行する価値があります。従業員がより安全に仕事をするのを支援するという観点から提示されたアンケートは、率直な回答を得られます。自動検出で見逃される多くのシャドーツールが、アンケートを通じて浮上します。 このステップの目標は、現在の正確なインベントリを作成することです。つまり、使用中のすべてのAIツール、それを使用しているユーザー、およびそれにアクセスできるデータです。 ## ステップ2：従業員と協力するポリシーを作成する ほとんどのAI利用ポリシーは、同じ理由で停滞します。それらは従業員に禁止ツールのリストを提供しますが、承認されたパスがどのようになるかについてのガイダンスはありません。承認されたツールを特定し、新しいツールを要求するための明確なプロセスを提供する実用的なガイドとして設計されたポリシーは、従業員が良い決定を下すために必要な基盤です。 効果的なAIガバナンスポリシーは、5つの事項をカバーします。 * 承認されたツールの現在のリストとその入手先。 * 顧客レコード、ソースコード、財務情報を含むどのデータカテゴリが、いかなるAIツールにも絶対に入力してはならないかを指定する明確なデータ分類ルール。 * 各承認済みツールの検証済みデータトレーニングオプトアウトステータス。多くのAIツールは、エンタープライズ設定が明示的に別の方法で構成されていない限り、デフォルトでモデルを改善するために会社の入力を利用します。承認は、機密データを処理するツールについては、確認済みのオプトアウトを必要とする必要があります。 * 新しいツールの要求のための定義されたプロセスと、目標のターンアラウンドタイム。 * ガイドラインが存在する理由の平易な言葉での説明。 最後の要素は、見かけよりも重要です。OAuth接続がデータ漏洩リスクをどのように引き起こすかを理解している従業員は、その推論をすべてのツール決定に適用します。推論が含まれている場合、ポリシーは教育の一形態になります。 ## ステップ3：新しいツールリクエストのための高速レーンを作成する 公式の承認プロセスがAI製品リリースの速度に追いつけない組織では、シャドーAIが最も速く成長します。今日ツールを必要としており、6週間のセキュリティレビューに直面している従業員は、数日以内に回避策を見つけるでしょう。このステップの目標は、その摩擦を取り除くことです。 * ほとんどのAIツールリクエストは、完全な調達レビューに値しません。定義された評価基準を持つ構造化されたインテークフォームは、ほとんどのリスクの低いツールで十分です。 * 構造化されたインテークフォームと定義された評価基準のセットにより、より迅速な意思決定が可能になります。データアクセスが制限されているツールの場合、評価基準が文書化され、一貫して適用されるようになると、多くの組織がより短いターンアラウンドを可能にしています。 * 評価基準には、データアクセススコープ、ベンダーセキュリティプラクティス、データトレーニングオプトアウトステータス、コンプライアンス証明書、およびツールが既に承認済みリストに機能的に同等のものがあるかどうかが含まれるべきです。 承認済みツールリストを公開し、最新の状態に保つセキュリティチームは、通常、シャドーAIの使用率が大幅に減少するのを目にします。従業員が適切なツールを見つける場所を知っていれば、それらを使用します。 ## ステップ4：監視を共有の安全層として使用する 組織全体のAIツール使用状況の継続的な可視性は、2つのグループに同時にサービスを提供します。 * セキュリティチームは、インシデントになる前に露出を特定して対処するために必要なリアルタイムの画像を取得します。 * 従業員は、しばしば自分で持っていない保護の形態を得ます。つまり、使用中のツールが資格情報または会社のデータを危険にさらしている可能性がある場合のシグナルです。 ブラウザネイティブの監視アプローチは、従業員のWebトラフィックをリダイレクトしたり、日常業務に摩擦を加えたりすることなく、セキュリティチームにAIアクティビティの可視性を提供します。キャプチャされたシグナルは、各従業員の広範なリスクプロファイルにフィードされ、フィッシングシミュレーションの結果やトレーニング完了データと並んで1か所に配置されます。 その組み合わせビューは、リスクの高い行動が累積するため重要です。フィッシングリンクをクリックし、トレーニングをスキップし、機密データにアクセスできる承認されていないAIツールを実行する従業員は、単一の行動が示すよりもはるかに高いリスクをもたらします。1か所で全体像を見ることで、セキュリティチームは最も注意が必要な従業員に集中できます。 ## ステップ5：良いセキュリティ行動を容易にする 安全な選択を最も簡単な選択にするセキュリティプログラムは、従業員が従うものです。AIガバナンスの文脈では、2つのことがこれを推進します。ジャストインタイムコーチングと、ルールの背後にある理由を説明するトレーニングです。 ジャストインタイムコーチングは、従業員が非公式のツールを使用しようとした瞬間に、短く文脈に沿ったプロンプトを提供します。介入は意思決定のポイントで発生するため、これは四半期ごとのトレーニングモジュールよりも効果的です。適切に設計されたプロンプトは、従業員に懸念事項を伝え、承認された代替手段に誘導し、読むのに30秒未満で済みます。 AIガバナンスポリシーの背後にある理由を説明するトレーニングは、トレーニング自体が終了してから長い時間が経過した後に登場するツールや脅威を含む、あらゆる状況に適用できる判断力を構築します。AIツールの状況は非常に速く変化しているため、トレーニングプログラムはすべての特定のケースを予測することはできません。 企業の**Google Workspace**へのOAuth接続が共有ドライブ全体をサードパーティベンダーに公開する可能性があることを理解している従業員は、6か月前に存在しなかったツールにもその理解を適用します。 ## チームの働き方に基づいたセキュリティプログラムの構築 AIの採用は、仕事をうまくこなしている生産的なチームのシグナルです。その勢いを中心に実用的なプログラムを構築し、承認されたツールへの明確なパスとセキュリティチームのためのリアルタイムの可視性を持つ企業は、それを最もよく処理する傾向があります。 そのギャップを埋めるセキュリティチームは、シャドーAIの使用率が時間とともに自然に減少することを発見します。ブラウザネイティブの可視性、承認されたツールへの明確なパス、およびリスク発生時のジャストインタイムコーチングが、それを可能にします。 従業員が効果的で承認されたツールにアクセスでき、新しいツールをレビューしてもらうための迅速で透明性の高いパスがあれば、システムを回避しようとするインセンティブはほとんどなくなります。 **Adaptive Security**のAIガバナンス製品は、組織全体で実行されているすべてのAIツールとシャドーアプリのリアルタイムの可視性をセキュリティチームに提供し、自動化されたポリシーとジャストインタイムの従業員コーチングを組み込んでいます。