最新のCloud Threat Reportによると、従業員が個人アカウントを使ってChatGPT、Google Gemini、CopilotなどのLLMツールにアクセスすることが、企業のデータ漏えいの主なチャネルの1つになっており、genAI関連のデータポリシー違反は月平均223件と、昨年の2倍に増加している。 報告書によると、一部の組織でジェネレーティブAIアプリケーションに送信されるチップの数は1年間で6倍に増加しており、見出しの1%企業では毎月140万件以上のチップを送信している。これらのチップには、ソースコード、契約テキスト、顧客情報、さらには認証情報などの機密性の高いデータが含まれており、いったんモデルのトレーニングに使用されたり、二次的に盗まれたりすると、コンプライアンスや知的財産に長期的かつ不可逆的なリスクをもたらす。 この種のシャドーAIの共通点は、「目に見えず、管理できない」ことである。セキュリティチームは、ブラウザ、個人アカウント、モバイルといったグレーチャネルを無視する一方で、ビッグモデルへの公式アクセスに注目しがちであり、将来的には、セッションのコンテキストに基づくパーソナライズ広告やサードパーティのプラグインが重なり、データの境界がさらに曖昧になるだろう。 企業は、できるだけ早くgenAIの使用ポリシーと分類および等級基準を確立し、CASB/SASEの助けを借りてAIトラフィックを識別しブロックし、機密性の高い部門についてはデフォルトで個人LLMアクセスを禁止し、監査とデータ最小化戦略をサポートする代替手段として企業版管理LLMを導入すべきである。
