Showing Posts From
セキュリティ
シャドーAIとは何か、なぜ企業が問題視するのか
「会社のCopilot、使いにくいからClaude使ってる(バレないように)」 ——こういう発言を見かけると、私は「わかる」と同時に「それ、シャドーAIだ」と思う。どうも企業が推奨するのと違うAIを使うことが、シャドーAIと呼ばれているらしい。 あなたはどうだろう。社内で使えるAIがあっても、個人の方が精度がいいから別ツールを使う派? それとも会社指定に従う派? 私は後者を推奨したいが、前者に流れる理由も理解できる。リスクと現実のギャップを整理する。 なぜシャドーAIが問題視されるのか 社内で使うなら社内情報を使う必要があるし、それを活用するデータセットLLMにチューンする必要がある。なおかつ外部にデータが参照されないよう、企業内だけでデータが完結するセキュリティ対策が必須。 多くはOS準拠のCopilotが使われるわけだし、Officeを使っているならOffice365のCopilotなら使えるという制限をかけるのが妥当ではある。Copilotは知っての通り、Windows標準でありながら話題性はほぼゼロといっていい。性能が他に劣っているといわれるが、ベンチマークでの話。ちゃんと資料作成にコードライティングに画像生成もできる。 世間的にはChatGPTとClaudeが人気。これらのユースケースの紹介は数多いし、検索すれば大抵出てくるため引用されがち。だからこそClaudeに慣れすぎたせいで、Copilotが使いにくいとかいい結果がもらえないなどの理由で、ClaudeなりほかのAIを使うことをこっそりやっているケースをシャドーAIという。 ちゃんとリスクしかない 社内資料をもとに生成すると、そのデータを学習してしまうから、情報漏洩につながってしまう。厳密にはCopilotも学習はしているんだけど、社内クラウド想定のOffice365はチーム内だけの共有になる。だから外部からはLLM自体へのアクセスが不可能な仕組みになっているから、情報漏洩を防げるというわけ。 でもそれは建前という話でもある。 もともと生成AIはウェブからデータを集めるので、ウェブサイトに掲載されている資料はフォローされている。だからどこまでが秘匿情報なのかを明確にしたほうが、生成AIと賢く付き合える。 現実的な対処 資料作成ならむしろツールを作成したほうが早いケースもある。 なぜなら、資料のデータをもとにグラフを作成するとか、KWを入れてテキストを入れるとかなら、Pythonスクリプトでも実現は可能だから。 社内AIが使いにくいなら、個人の好みのAIに社内資料を流し込むのではなく、秘匿情報を含まない範囲でCopilotを使う 定型処理はスクリプト化する どうしても外部AIを使うなら、匿名化・要約済みテキストだけ渡す——この線引きが現実的だと思う。 まとめ:線引きが先 シャドーAIは「悪いツールを使っている」というより、セキュリティ境界を越えていることが問題だ。 Copilotが不満でも、社内資料をChatGPTに投げるのはリスクしかない。秘匿情報の定義を自分で決めてから、ツールを選ぶ——それが企業と個人の双方にとって安全な使い方だ。