イノベーションのためにセキュリティを犠牲にする必要はありません。しかし、AIが登場した今、リーダーたちはこのテクノロジーを最大限に活用しつつ、自社の防御網を損なわないよう、リスクとリターンの間で慎重なバランスを取る必要があります。
「チームがAIを活用することには大賛成です」と、Equals MoneyのCOO兼CPOである James Simcox氏は語ります。「しかし、AIツールというのは、不思議とこちらに情報を過剰共有させたくなるように設計されているようなものなのです」。実際、従業員が数回クリックするだけで、Slackやメール、その他の機密データソースを、会社が承認していないものも含めたAIプラットフォームに接続できてしまいます。
セキュリティを犠牲にすることなく生産性を向上させるため、James Simcox氏は、定期的な教育と明確なガイドラインによって保護された「イネーブルメント」を優先しています。全従業員が「何が許可され、何が禁止されているか」を熟知している状態を作ること。そして、AIの導入においても従来のソフトウェア調達と同じ厳格さで扱うことが重要だと彼は言います。
しかし、リスクは「シャドーAI」だけではありません。金融サービス分野で常に懸念事項となっている「アカウント乗っ取り」は、攻撃者がAIを駆使してより説得力のある巧妙な詐欺を行うようになっているため、検知がますます困難になっています。
「アカウントに侵入しようとする試みは常に発生しています。もし侵入を許せば、盗まれるのはデータだけではありません。現実の資産が持ち去られてしまうからです」とJames Simcox氏は指摘します。顧客を守るため、彼はログイン時の「入り口のセキュリティ」だけに頼るのではなく、カスタマージャーニー全体を通じて高リスクな行為や不審な動きを監視する、継続的かつデータ駆動型のリスクモデルへの転換を提唱しています。
AIセキュリティの枠組みや、エージェンティックペイメント(AIエージェントによる決済)のリスク、そしてポスチャ管理のIdentity Security Posture Management(ISPM)の重要性について、James Simcox氏によるさらなる詳細は上の動画(英語)からご覧いただけます。
