AI導入のペースに遅れるガバナンスの問題点と解決策

Apple製品を活用する企業のほとんどがAIを導入していますが、AIが実際に何を実行しているかを把握できている企業はごくわずかです。ここで言うAIとは、Appleがオペレーティングシステムに組み込んでいるものではなく、チームが独自に導入しているサードパーティ製のツール、つまり、AIアシスタントや開発者ツール、既に利用しているソフトウェアに組み込まれているAIです。

Jamfは先日、Apple ファースト組織でIT・セキュリティリーダーを務める687名にアンケートを実施しました。この調査で、約4分の3（72.9％）が既に何らかの形でAIを導入している一方で、5分の4以上（81.7％）がAI関連のインシデントに遭遇した経験があるか遭遇しそうであると回答しました。注目すべきは、これらの数字の背後にあるパターンです。AIの導入が最も進んでいる組織ほど、インシデント報告の割合が高いのです。

これは「可視性のギャップ」と呼ぶべきものです。AI導入のペースが速く、AI活用を統制するためのツールやポリシーの整備が追いついていないため、組織で導入が進めば進むほど、そのギャップは広がる傾向があります。アンケート結果からわかる良いニュースとして、一歩先を行くチームでは既に、AIのガバナンスと活用支援をトレードオフの関係とは見なさなくなっているようです。

Apple活用企業が直面するAIの現実

1. AIの導入が進むほど、インシデントの発生率が高くなる。

AIプログラムが成熟すればするほど、予期せぬ事態は少なくなると考えるのが普通でしょう。しかし、データは逆の結果を示しています。AIを深く組み込んでいる組織のうち、過去1年間にAI関連のインシデントに対処した組織は27.1％にのぼりました。一方、まだAIの導入を模索している組織では19.4％にとどまりました。つまり、基本的な対策は施しているはずのチームの方が、インシデントの発生率が40％高いのです。

AIの導入を急ぐ組織は、AIの可視性を高めるよりもAIの導入範囲を広げようとする傾向があります。新しいツールを導入するたびに、エンドポイント、クラウドとの通信、デバイス上での処理、エージェント、統合などが追加されますが、そのすべてがガバナンス層のない状態で導入されます。そのため、実際に実行されていることとIT部門が把握できることとの間に乖離が生じ、そのギャップが広がる場所でインシデントが発生しているのです。

2. 導入は分岐点を超えたが、可視性が追いついていない。

調査した組織の中で、チームレベルでの試験的利用から日常業務への緊密な統合まで、何らかの形でAIを導入している組織は約4分の3（72.9％）にのぼります。AIを導入すべきか否かの議論は、ほぼ決着がついていると言えるでしょう。残る課題は、導入規模が拡大する中で、いかにして可視性とガバナンスを維持していくかです。

回答者に、まだ解決できていないAIの課題を自身の言葉で説明してもらったところ、178件の回答が得られました。その中に、繰り返し現れるテーマが4つありました。

• シャドーAI：従業員がIT部門の承認を得ずにAIツールを導入すること。IT部門が把握していないアカウントを通じて機密データが入力されるケースが少なくありません。
• エージェント型AIや開発者向けAI：コマンドラインツール、IDEの拡張機能、組み込みのモデル、サードパーティ製パッケージなど。これらは、従来の監視ツールの対象でない場所で動作します。
• ベンダーの乱立：社内デバイスに展開済みの製品に既存のベンダーがAI機能を追加し、社内部門による精査がそのペースに追いつけていません。
• 想定外のコスト：従量課金制の料金体系により、支出の予測ができなくなっています。

ある回答者は、この緊迫した状況を的確に要約しています。「誰もがAIを今すぐ使いたがる。IT・セキュリティ部門でじっくり検証・テストして安全性を確保したいのに、まわりからの圧力が厳しい」別の回答者は、自社で使用しているツールでは「CLIツール、IDE拡張機能、ブラウザ拡張機能、サードパーティ製パッケージをほとんど検出できない」と述べています。主要なAIサービス系Web サイトなら捕捉しやすいのですが、それ以外のAIツールは把握が困難なのです。

3. 一歩先を行くチームはガバナンスと活用支援を同時に推進している。

長年にわたってガバナンスと活用支援は相反するものとして、あたかも制御を追加するたびにスピードが落ちるかのように捉えられてきました。しかし調査結果を見ると、先進的なチームはこの考え方を捨てているのがわかります。IT・セキュリティリーダーに、来年度のAIに関する最優先事項を尋ねたところ、3つの項目がほぼ同率で上位に並びました。その3つとは、IT運用の自動化（44.4％）、AI生産性向上ツールの導入（41.0％）、AIガバナンスの確立（36.7％）です。

このようなチームは、スピードとセキュリティが実際には相反するものではないと気づき、両方を同時に追求しています。

導入とガバナンスのどちらか一方を選ぶのではなく、一つの取り組みとして扱うという転換こそが、インシデントをまともに食らうか未然に防ぐかの分かれ道になります。早い段階で可視性とアクセス制御を確立しているチームは、スピードを落としているわけではなく、事後対応の工程を省けているのです。ガバナンスに早期に対応することで、迅速な導入を持続可能なものにすることができます。

可視性のギャップを埋める

この調査で明らかになったことが1つあります。それは、Apple活用企業の業務にAIが深く組み込まれるにつれて、デバイス上で何が実行されているかを把握して管理する能力の重要性がかつてないほど高まっているということです。

Apple環境には、理解しておくべき特性があります。Appleのプライバシーモデルと、プラットフォームに組み込まれている管理制御機能は、IT部門にとって強固な基盤となります。そのメリットを存分に活用するには、最初からApple向けに構築されたツールを使用することが重要です。ネットワークベースのツールだと、トラフィックを通じて、ユーザがどのクラウドAIサービスをどれくらいの頻度で使用しているかは把握できるものの、そのシグナルはネットワークの境界で途切れてしまいます。AI本体がクラウド上で実行されている場合でも、アクセスが行われるのはデバイス上です。デバイスにどのツールがインストールされ、どんなプロセスが発生し、どのファイルが操作されたかという情報は、DNSログでは確認できません。それらを把握して管理するには、デバイス周辺のトラフィックだけでなく、デバイスそのものを監視する必要があるのです。

これを正しく実践できれば、スピードを落とすことはありません。そのために必要となるのは、自社のAIが何を実行しているかを把握できる可視性、AIをどのように使うかを統制するポリシー、ユーザが必要なツールにアクセスできる自由に対して投資することです。