ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

生産性を低下させることなくデータを保護する AI ポリシーの作成

プラトン再発行
プラトン再発行

日付:

閲覧数: 144

最高情報セキュリティ責任者 (CISO) は、脅威の状況における大きな変化に直面しています。 かつては、機械を操作する人間から企業を守っていましたが、最近の AI の進歩により、機械自体が 敵対者になった

偏見、透明性の欠如、セキュリティ、データプライバシーの問題などの懸念がこれまで以上に現実的となっており、テクノロジーが市場全体で急速に普及する中、CISOはそれらに対処する方法を知っておく必要があります。 

危険な従業員による AI の使用に対する当然の反応は、AI を禁止することでしょう。そして、一部の企業はこの方法を採用しています。 しかし、AI が職場にもたらすメリットは否定できず、多大です。 AI は創造性を刺激し、効率を向上させ、タスクを自動化することで、従業員をより価値の高い仕事に解放できるようにします。 毎日、別の企業が AI を活用した機能を追加しており、近い将来、私たち全員が AI を利用することになるのは避けられません。 では、セキュリティ チームは、従業員が会社、顧客、データをリスクから保護しながら AI の利点を活用できるようにするにはどうすればよいでしょうか? その答えは、安全でない利用を抑制するために明確な境界線を設定しながら、AI の有用性を認識する徹底した企業 AI ポリシーです。 

AI がもたらす内部の脅威

多くの生産性ツールに AI 機能が追加されていることに加えて、生成 AI (GenAI) テクノロジーの基盤として機能する大規模言語モデル (LLM) の台頭は、ビジネス リスクに大きな影響を与えています。 開発者、営業担当者、さらには経営幹部さえも、ChatGPT などのツールを活用して、プレゼンテーション用の創造的なグラフィックスやビジュアルを調達したり、重要なプロジェクト用のコードをより迅速に生成したくなることがよくあります。 これは無害に見えるかもしれませんが、従業員が誤って知的財産、ソース コード、さらに悪いことに規制対象の顧客データをこれらのチャットボットに送信し、機密情報が漏洩する可能性があります。 

新しい企業固有のライセンスを除き、LLM は通常、ユーザー入力をトレーニング データとして保存する権利を留保します。 経営幹部は、事業部門の四半期業績を要約するためのプレゼンテーション コンテンツを迅速に作成するために、LLM の独自データや財務データを提供することをあまり考えていないかもしれませんが、LLM がこのデータを保存すると、データ取り扱い法の遵守に重大な懸念が生じます。 何万もの ChatGPT 資格情報が証明できる現在、LLM によって保存されたデータは必ずしも安全であるとは限りません。 

GenAI の最も懸念される用途の XNUMX つは、ソフトウェア開発に関するものです。 LLM がコードを取り込むと、他のプロンプトから生成された結果にそのコードが再び現れる可能性があります。 これを軽減する XNUMX つの方法は、エンタープライズ向けの GenAI ライセンス ( チャット GPT エンタープライズ) 入力をトレーニング データとして取り込みません。 ただし、これは従業員が個人のデバイスで LLM を使用しない場合にのみ機能します。 シャドー IT は長年の問題ですが、エンタープライズ以外の LLM ライセンスを通じて機密コードを送信する従業員にとって、その影響は特に深刻です。 

AI ポリシーを作成するための XNUMX つのステップ (およびそれを定着させるための XNUMX つ目のステップ)

リスクはあるものの、AI の利点と普及の拡大はいくら強調してもしすぎることはありません。 AI は定着しており、エンタープライズ向け GenAI ライセンスの導入により、企業での導入がさらに加速することは確実です。 CISO は組織を保護すると同時に、従業員とビジネスの成功を可能にする道筋を作成することを目指しているため、AI の使用をより安全にする正式な AI ポリシーを定義することは、より効果的なアプローチです。 

リスクを最小限に抑える必要なガードレールを提供しながら、適切な使用の概要を示す AI ポリシーを適切に作成するには、いくつかの考慮事項が必要です。 

  • ポリシーの策定を全社的な取り組みにする

AI は最終的にはあらゆるビジネス分野に影響を与えることになるため、CISO (または CISO のオフィス) が独占的に作成したポリシーは最初から失敗する運命にあります。 ポリシーの草案は、ビジネス全体の主要な関係者と協力して行うプロセスである必要があります。 これは、リスクの可能性、企業のリスク許容度、AI ポリシーが適用されるべき XNUMX つの中間点を特定するための最良の方法です。 

  • 一般的な基本ルールを確立する

AI のユースケースの多くには微妙な違いがありますが、いくつかの動作は明らかに責任があるか無責任であるかがわかります。 これらは、ポリシーを構築するためのベースラインとして使用する必要があります。 一般的に望ましくない行為には、ソース コードや機密データ (顧客からのものか会社からのものか) を、そのデータをトレーニングする権利を保有する LLM にアップロードすることや、作業に含める前に出力を検証しないことが含まれます。 一般的に推奨される方法には、エンタープライズ ライセンスを使用してデータを安全に保つこと、無害なデータまたは公開データのみを非エンタープライズ LLM に入力すること、徹底したテストで出力を検証すること、企業の知的財産が危険にさらされないことを保証することが含まれます。 

  • ケースバイケースの意思決定を行うための継続的なプロセスを作成する

私がしました 以前に書かれました 「はい、そして…」というアプローチで従業員が望むことを達成できるよう支援することに重点を置いた、「はい」という肯定的なセキュリティ文化を構築することの価値について。 AI ポリシーは、従業員のあらゆる要求をカバーできるほど包括的ではありません。 従業員が評価と承認のためにユースケースを提出できる(または承認のためにどのような変更が必要かについて議論できる)簡単なプロセスを作成することが不可欠です。 

  • ポリシーを策定したら、成功事例を擁護する

AI に関する会話の多くには、仮説に基づく熱烈な憶測が含まれることを考えると、具体的な使用例や現実の成功に焦点を当てることは、従業員に AI ポリシーを真剣に受け止めさせるのに大いに役立ちます。 ここで、AI を使った作業を安全に加速する方法を見つけた企業の先見の明がある人が、影響力のある役割を果たせるのです。 彼らを強調し、社内の他のメンバーに戦略を発表してもらい、より多くの成功事例を聞いて共有することに興奮していることを明確にさせます。 この場合、AI の効率的な使用はそれ自体の報酬であるため、外部報酬はおそらく不要です。 

この分野が急速に進化していることを考えると、AI に関する新たな課題が必然的に出現し、企業ポリシーの更新が必要になります。 しかし、変更を組み込むための簡単なプロセスを備えた全社的なベストプラクティスを明確に概説したポリシーは、会社のリスクを最小限に抑えながら従業員が AI の利点を活用できるようにする必要な柔軟性を提供します。

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.