戦術1：まず意識したい「連携戦術」とは

　課題へ対処するための戦術を考える上で、ジャオ氏が示すのが、生成AIの導入現状に関するガートナーの調査結果だ。それによると、企業の90％近くがすでにスタートを切っており、56％は試験運用あるいはユースケース導入を進めているという。

　ジャオ氏によると、AIの普及度合い、オーナーシップやルールの有無を問い直すことが出発点であるという。

「セキュリティリーダーの皆さん、まずはコラボレーションから始めてください。その差をギャップ分析で埋めることが重要」（ジャオ氏）

　その際に役立つのが、ガートナーが提唱する「MOST（Model Operations Security Trust）」フレームワークだという。生成AI関連のポリシーや標準を定義するにあたっては、部門リーダーやエンドユーザーと連携することが第一の戦術となるからだ。

　ジャオ氏によると、CISOが担う役割は以下の4つだ。


　ジャオ氏は「CISOは部門横断型チームを主導して、生成AIのリスクを評価することが求められます」と述べ、1つ目の戦術として「生成AI関連のポリシーや標準を定義する際には、部門リーダーやエンドユーザーと連携する」ことを挙げる。

　その上でジャオ氏は「技術的な言葉ではなく、たとえば『お客さまの信頼を守る』といったシンプルな表現でビジネス側に伝えることが大切です」と強調する。

　また、効果的に協働を進めるには、生成AI特有のリスクを理解しなければならないと説く。たとえば、プロンプトインジェクションやデータポイズニングなどは従来型のセキュリティでは網羅できないと指摘する。

　そこでMOSTが有効となる。モデルオペレーションでは、トレーニングデータの扱いやアウトプットの精度検証、責任の所在、データバイアスやポイズニング対策を考慮する。また「セキュリティ」領域では敵対的攻撃や機密データ漏洩のリスクを監視する。さらに「信頼性」領域では倫理やバイアス緩和、オペレーション上のリスクが確認対象となる。


　ガバナンスの観点では、AI導入における役割分担を明確にする必要がある。ジャオ氏は「部署横断型のチームがAIガバナンスを先導するべきです」と述べる。ツールとしては「RACI（Responsible, Accountable, Consulted, Informed）」が有効であり、日常的な実行責任、意思決定・承認責任、助言を与える立場、情報共有を受ける立場を明確化できる。特にセキュリティ分野では、ポリシーやコントロールに関する責務を定義することが重要だ。

　実際の活動としては、業務リーダーやユーザーとともにAIポリシーを策定し、エンジニアと協力してハルシネーション検証を行い、アウトプットが意思決定に悪影響を与えないか確認することが求められる。ジャオ氏は「現場から役員に至るまでさまざまなステークホルダーの多様な懸念に対応していくことが重要です」と説明する。

　加えて、生成AIの導入においては、ビジネス目的と整合性を取りつつ承認ワークフローを確立することが不可欠であると指摘し、同氏は「セキュリティはブロック役ではなく、ガードレールの役割を果たすべきです」と語った。

戦術2：ビジネスニーズへの対応が重要なワケ

　ジャオ氏が提案する2つ目の戦術が「生成AIのビジネスニーズに対応する」ことだ。

　2024年のガートナー調査では、生成AI導入の最大の課題は「データ品質」であった。正確さ、信頼性、透明性は業務リーダーが苦労する要素である。また、次いで「プライバシー、セキュリティ、規制」が挙げられ、セキュリティ部門の関与が不可欠となる。

　しかし同調査でCISOの関与度は26％と低く、企業の多くでAI戦略に大きな役割を果たしていない。ジャオ氏は「誰と連携すべきかを把握し、会議の場で計画段階から関与すべきです」と強調する。

　同氏によると、大手銀行の事例では、500以上の生成AIユースケースをパイロット中で、その規模拡大が困難となっていたという。

「要件管理や分類が未整備で“AIのカオス状態”に陥っていたため、既存のチケットシステムを活用し承認フローを自動化することで、無秩序なサードパーティ利用を抑止していました」（ジャオ氏） 【次ページ】戦術3：「続々登場」のリスクへの“処方箋”