シャドー AI
シャドー AI とは何ですか?
シャドー AIセキュリティ・プライバシー・ガバナンス部門の認知や承認を得ないまま、従業員が AI ツール・モデル・サービスを利用すること。
シャドー AI は AI 時代におけるシャドー IT の後継です。従業員はソースコード・契約書・顧客データ・戦略文書を消費者向けチャットボットに貼り付けたり、未承認のブラウザ副操縦士や IDE 拡張をインストールしたり、ローカルモデルを機微データでファインチューニングしたりします。リスクはデータ流出、知的財産の喪失、法令違反(GDPR・HIPAA)、未管理ツール経由のプロンプトインジェクション、制御されないモデル出力が業務上の意思決定に取り込まれることなど多岐に及びます。対策には AI 資産台帳と方針、DLP と監査を備えた認可済み代替手段(エンタープライズ GenAI)、egress・CASB 統制、ブラウザ分離ワークフロー、ユーザー教育の組合せが有効です。プログラムは NIST AI RMF や ISO/IEC 42001 と整合させ、シャドー AI を AI ガバナンス全体に組み込みます。
● 例
- 01
エンジニアが自社専有のコードを無料の消費者向けチャットボットに貼り付けてデバッグする。
- 02
マーケティングチームが審査未済の AI 翻訳サービスを使い、送信したテキストが第三者サーバーに保存されてしまう。
● よくある質問
シャドー AI とは何ですか?
セキュリティ・プライバシー・ガバナンス部門の認知や承認を得ないまま、従業員が AI ツール・モデル・サービスを利用すること。 サイバーセキュリティの AI / ML セキュリティ カテゴリに属します。
シャドー AI とはどういう意味ですか?
セキュリティ・プライバシー・ガバナンス部門の認知や承認を得ないまま、従業員が AI ツール・モデル・サービスを利用すること。
シャドー AI からどのように防御しますか?
シャドー AI に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
シャドー AI の別名は何ですか?
一般的な別名: 未承認 AI, BYOAI。