生成AIによって増えるシャドーITのリスク、どう対処するべきか？

シャドーITが発生する原因の一つとして、従業員個人やチームと経営層を含む企業全体での、ソフトウェア導入のスピード感の違いが考えられる。

現在は新しいツールやサービスが次々と登場するため、業務の現場では最新のツールを使いこなして業務を効率化したいと考えている。それに対し、企業全体としては安全性を保証できないツールの使用は認められないと考え、導入までに時間を要する。これによって、導入のスピード感にギャップができるわけだ。

特にクラウドサービスとその利用が増えるにつれて、各サービスへの対応が遅れ、シャドーITとして使われるケースが増えている。

VisionalグループのAssuredの調査によると、従業員数1000人以上の大手企業において、52.3%が100以上のクラウドサービスを利用していると回答している。19%の企業では500以上のサービスを利用していた。1社あたりの平均は207サービスだった。

その一方で、66.6%の企業においてシャドーIT対策が行われていないと回答しており、上記の利用数として回答された以上の数のクラウドサービスが水面下で利用されている可能性があると指摘されている。中でも、生成AIの業務利用が進むにつれて、AIサービスのシャドーITは特に「シャドーAI」とも呼ばれ、セキュリティの懸念が大きくなっている。

PwCが2024年1月に発表した世界のCEOを対象とする年次調査によると、77%のCEOが「サイバーセキュリティの侵害が生成AIの主要な危険性である」と回答している。また、その調査結果の中から日本企業について分析したPwCのレポートによると、AIリスクへのさまざまなガバナンス施策の取り組み状況を比べると、日本は米国と比較してあらゆる取り組みで後れをとっていることが報告されている。例えば、「AIリスクに関わるアプリケーションやITツールの導入を検討、または導入を進めている」とする回答は米国で64%なのに対し、日本では36%にとどまっている。
生成AIのシャドーIT化によるリスク

シャドーITが進む要因の一つとして、情報システム部門の人材不足による新しいツールやサービスへの対応の遅れがある。人材不足はこれからさらに進むと予測されており、シャドーITは今後も広がり続けると考えられる。

ガートナージャパンが2024年9月に発表した国内のデジタルトランスフォーメーション（DX）に関する調査結果でも、高まり続けるITへの需要とIT部門における深刻な人材不足を背景に、今後もシャドーITは増加が見込まれると報告されている。