AIガバナンスはデータガバナンスから始まる
AIのガバナンスは、IT部門やセキュリティ部門のリーダーにとって重要な優先事項となっています。AIモデルの開発やAIソリューションの利用が増える中、リスクを最小限に抑え、ビジネスを安全に保つために、適切なガバナンスやポリシーを実装する必要があります。
AIのガバナンスが重要であることは言うまでもありませんが、AIはデータに依存しているため、AIガバナンスはデータガバナンスから始める必要があります。データとAIモデルのためのデータの完全性、データ保護、アクセス制御機能が求められ、さらにデータプライバシーとローカライゼー�ションに関する法規制の遵守も求められます。
データガバナンスの向上は、AIに関連するリスクを減らすだけでなく、ビジネスにおけるAI利用の効果を最大化することにも役立ちます。もし貴社がAIに投資している企業であれば、データガバナンスの強化を急ぐべきです。
____________________________________________________________________________
AIデータガバナンスの課題
AIに使用されるデータの管理が難しいとされる理由は何でしょうか?多くの企業はこれまで長年直面してきたデータガバナンスの課題に加え、AIモデルの構築にデータを使用することで新たな複雑さも生じています。以下に例を挙げます:
データの完全性の維持
AIモデルが正しい答えを返すためには、完全、正確、かつ一貫性のあるデータが必要です。しかし、データを集約し、そのライフサイクル全体で整合性を維持することは容易ではありません。
データの完全性を維持するためには、組織はデータの破損、損失、漏洩、その他のリスクに対して多面的な保護策を講じる必要があります。このアプローチでは、偶発的または意図的な破損を防ぐために、データおよびモデルへのアクセスを厳格に管理する必要があります。さらに、モデルのドリフト(性能低下)を避けるために、訓練の際に使用したデータとモデル運用時のデータを�一致させることが重要です。データのプライバシーと機密性の維持
健全なデータガバナンス戦略の基盤は、データの所在を把握することから始まります。データが組織から離れると、データのプライバシーと機密性の維持がより困難になります。また、大規模なAIモデルの訓練にデータを提供すれば、データはほぼ確実に組織から離れます。
トップ20のセキュリティ企業が、外部モデルを訓練するためにセキュリティオペレーションセンター(SOC)のデータを共有したとします。パブリッククラウドでホストされているこのモデルは、非常に正確で強力な洞察を生成することができるでしょう。しかし、これらすべての企業からのデータが混在することになるため、このうちいずれか1社から送信された機密情報を完全に保護することは非常に困難です。社内AIモデルへの内部アクセスの制御
外部モデルにデータを提供するよりも、社内モデルを構築することの方がリスクははるかに低くなります。社内モデルであれば、外部の個人や企業がデータにアクセスするのをより効果的に防止することができます。しかし、そのような場合も、社内でのモデルへのアクセス制御が必要です。
たとえば、人事部向けに社内AIモデルを構築することになったとします。人事部は、チャットボットを使って従業員の質問に答えたり、給与計算や管理業務を効率化したいと考えるかもしれません。人事データには各従業員の給与額など、非常に機密性の高い従業員情報が含まれるため、このデータおよび訓練されるモデルへの社内アクセスの管理には細心の注意を払う必要があります。
データローカライゼーションとデータ主権に関する義務への遵守
データローカライゼーションとデータ主権法への遵守は、AIとデータガバナンスに対するさらなる課題となります。大規模なAIモデルの訓練は、多くの場合、十分なコンピューティングリソースやストレージリソースを備えたパブリッククラウドで行われます。しかし、そのパブリッククラウドのデータセンターは、常にデータが存在するべき国や地域で利用できるとは限りません。そのため、組織には特定の管轄区域内でモデルを訓練して実行する方法が必要です。
データガバナンスを強化するための4つの重要な要素
効果的なデータガバナンスの実装は、IT部門やセキュリティ部門のチームにとって少なくとも20年間の重要な目標となっています。AIが普及したことで、より一層データライフサイクルのすべての段階を網羅する強力なデータガバナンス戦略が必要になっています。その戦略では、データの整合性の維持、データ損失の防止、データとモデルへのアクセスの制御、データローカライゼーション規制の遵守を実現できる何らかの機能を活用する必要があります。
データの完全性を維持する
データがモデルに影響を与える形で変更されるリスクをどのように減らすか?データを暗号化し、ゼロトラストモデルを採用することで、データの整合性を脅かす不正な変更を防ぐことができます。監査ログを使用すれば、データがどこを移動し、誰がアクセスし、どのような変更が行われたかを追跡することができます。データの流出を防ぐ
データ損失防止(DLP)機能は、データが組織から漏えいするのを防ぎ、無許可のAIモデルの入力として使用されるのを防ぐための鍵となります。
また、組織には、SaaSアプリが内部データを収集し、アプリベンダーの外部モデルを訓練するためにそのデータを使用することを防止できるツールも必要です。私がCISOを務めていた企業の1つであるアプリベンダーは、「ユーザーがアプリに入力したものはすべてベンダーの大規模言語モデル(LLM)に組み込まれる可能性がある」というポリシーを策定しました。ベンダーがそうした理由は理解できます。ベンダーの製品を改善するのに間違いなく役立つからです。例えば、社内の問い合わせに対応するためにAIの使用を考える場合、社内での特に多い問い合わせに関するデータを収集したいと考えるでしょう。
しかし、別のベンダーのアプリを通じて潜在的な機密情報が組織外に流出することは避けたいと考えるでしょう。クラウドアクセスセキュリティブローカー(CASB)とAIファイアウォールを組み合わせることで、この種のデータ損失を防ぐことができます。アクセス制御
きめ細かいアクセス制御機能は、データの完全性を維持し、社内モデルに使用される機密情報を保護するのに役立ちます。従来のVPNとは異なり、ゼロトラスト機能を使用すれば、適切な個人のみが特定のデータにアクセスできるようにすることができます。
きめ細かいアクセスが重要な理由は何でしょうか?AIを人事部で利用する例に戻りましょう。例えば、AIで人事考課を効率化したり賞与査定の提案を行っているとします。この場合、マネージャーには自分自身の賞与査定や直属の部下の賞与査定の閲覧権限を与え、それ以外の人の情報は閲覧できないようにしたいと考えます。このレベルの制御は、適切なゼロトラスト機能を使うことで可能になります。データローカライゼーションルールを遵守する
適切なローカライゼーション管理を使用することで、データを検査する場所を定め、データやメタデータが特定の地域から離れないようにすることができます。たとえば、ユーザーのIPアドレスを含むログメタデータは、EUでは個人データとみなされます。このメタデータはEU内に留まらせる必要があります。適切なデータローカライゼーション管理を行えば、そのデータが米国内のモデルの訓練に使用されないようにすることができます。
コネクティビティクラウドで歩を進める
私たちは、企業が20~30年後の世界を再構築する可能性のあるモデルを構築・実行を手掛けている、AIの進化の重要な瞬間にいます。データの流出やモデルの精度の低下、コンプライアンスを損なうことなく、AIモデルの訓練と稼働を安全に継続できるようにするためには、データガバナンスの強化に今すぐ着手する必要があります。
コネクティビティクラウドは、多くの企業にとって、ライフサイクルを通じたデータの制御権を再びその手に取り戻し、データガバナンスを向上させるための最適な方法となります。クラウドネイティブなサービスの統合プラットフォームにより、企業は複数の異なるツールを管理する複雑さを回避しながら、必要なデータ保護、セキュリティ、データローカライゼーションの機能を適用することができます。
データをより適切に制御することで、より�強力なAIモデルやアプリケーションの構築が可能になります。これにより、今、そして将来にわたって正確な結果を提供しながらリスクを最小限に抑えることができるのです。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一稿です。
このトピックを深く掘りさげてみましょう。
セキュリティを維持しながら企業におけるAIの利用をサポートする方法について、詳しくは、「AIの安全な実践を確保する:スケーラブルなAI戦略を立てる方法に関するCISO向けガイド」をご覧ください。
著者
Grant Bourzikas — @grantbourzikas
最高セキュリティ責任者、Cloudflare
記事の要点
この記事では、以下のことがわかるようになります。
成功するAIガバナンスが強力なデータガバナンスに依存する理由
AIに使用されるデータを管理するための4つの主な課題
データガバナンスを強化するための戦略