生成AIによって増えるシャドーITのリスク、どう対処するべきか？

この調査では、DXプロジェクトで利用するクラウドサービスにおいて、ITベンダーの選定・交渉にあたる組織として、43.3%が非IT部門（ビジネス部門）と回答している。その効果としては「ビジネス部門の要件を最大限織り込んだサービスを調達できた」が57.6%に上る。

一方、ビジネス部門が調達することに「課題がない」と回答した企業は6.2%で、残り93.8%が何らかの課題に直面している可能性があることがうかがえる。その理由としては「ベンダーへのセキュリティ評価がされない、あるいは不十分」「調達するサービスと周辺システムとの互換性が検証されない、あるいは不十分」が多く、シャドーITについての懸念は残されている。

シャドーITは、業務で使うITリソースを企業で管理できないことが問題だ。具体的な危険性としては、まず、不用意に危険なツールを使うことによるサイバー攻撃やマルウェア感染などのセキュリティリスクがある。それだけではなく、社内の情報を社外のクラウドサービスに送信することによるデータ保護違反や、その他コンプライアンス違反の可能性も指摘されている。

特に業務で生成AIツールを利用する場面では、業務上の文章や、PDFやOfficeファイルなどの文書をツール側に送信する機会も多い。これは社内情報を社外に持ち出すことに当たる。安全が確認されたツールを使用しない場合、相手を確認せずに送信することは危険が伴う。特に無料の生成AIサービスなどでは適切なセキュリティの枠組みが用いられていない可能性があり、企業の情報流出のリスクが大きくなる。

こうした理由から、中には生成AIツールの使用を全面的に禁止する企業もあるが、それでは組織のイノベーションを抑制してしまう。使うツールやサービスについて安全性を確認し、企業のガバナンスのもとに利用するという体制が重要だ。
経営者が率先してAI利用のけん引を

ここまで紹介したように、ビジネス部門では最新のツールやサービスを利用して業務の生産性を向上させたいと考える一方で、企業全体としては適切な管理の下でツールやサービスを公認ITとして利用させる必要があると考えており、そのスピード感のギャップが結果としてシャドーITを生んでいる。

ビジネス部門によるシャドーITの導入は、必要に迫られているという面もある。しかし、長期にわたる非公認ツール利用はセキュリティ保持、データ保護、コンプライアンス遵守の観点で問題があり、長期的には企業の生産性向上につながらない。