Ivantiブログ: 投稿者

シャドーAIは職場のセキュリティ態勢を静かに変えつつあるのか？

Mon, 15 Dec 2025 14:00:01 Z

職場におけるAIツールの利用は急速に拡大しています。かつては高度に専門化された技術職の領域だったものが、今では一般的になっています。Ivantiの2025年版Technology at Workレポートによると、オフィスワーカーの42%がChatGPTなどの生成AIツールを職場で使用していると回答しており、前年から16ポイント増加しています。

問題は、こうした生産性向上が非公式な形で起きていることです。生成AIツールを使用していると回答した人のうち46%は、使用しているツールの一部または全部が雇用主から提供されたものではないと述べています。また、3人に1人の従業員は、AI生産性ツールの利用を雇用主に知らせていません。

生成AIツールは生産性を大きく高める可能性があります。しかし、特に雇用主の監督なしに使用される場合、データセキュリティ上のリスクにもなります。

シャドーAIとは

承認されていないAIの利用は、シャドーIT（IT部門の承認なしにテクノロジーを使用すること）の一種にほかなりません。

シャドーAIがもたらすリスクは、他のシャドーITリスクと似ていますが、そこに懸念がさらに加わります。それは、生成AIが効果を発揮するために必要とする膨大な量の専有データです。無料の生成AIツール（一部の有料ツールも同様）は、モデルのトレーニングに組織のデータや従業員の検索内容を使用する場合があり、データ漏えいやコンプライアンス違反のリスクを増幅させます。

共有されたChatGPTの会話が検索エンジンにクロール可能だったという最近の発覚（OpenAIはすぐに方針を変更しました）は、適切な管理がなければ、第三者が望ましくない形でデータを使用し得ることへの警鐘となるはずです。ChatGPTを含む一部の無料ツールはセキュリティポリシーに準拠するよう設定できますが、従業員がそれらをひそかに使用している場合、それは不可能です。

ChatGPTのような無料ツールだけがシャドーAIのリスクではありません。意外な発生源は、実は既存のソフトウェアです。AI機能の追加が急速に進む中、以前はIT部門が承認していたツールが新たなリスクをもたらす可能性があります。情報セキュリティチームがこれらの新機能を把握し評価していなければ、実質的にサードパーティリスク管理プロセスを迂回してしまうことになります。

AIにリスク優先アプローチが不可欠な理由

生成AIであれ他のツールであれ、シャドーITは、ツールをテストしたり業務を遂行したりするための明確で合理的な方法がないことから生じます。AIがなくなることはない以上、企業は導入に先回りして取り組む必要があります。ツールを禁止しても、従業員が生産性を高め、仕事をしやすくするために使おうとすることを止められるわけではないからです。

私は業務時間の大半を、AIツールがもたらすリスクを含め、リスク評価に費やしています。多くの場合、ビジネスを改善する機会に関連してリスクを評価する必要があります。今回で言えば、従業員の生産性向上と、従業員満足度やより戦略的なプロジェクトに取り組む時間の確保といった二次的な影響です。

要するに、私たちが問うべきなのは、従業員が求めているツールを導入し、そのメリットを得ながら、リスクを許容可能なレベルに抑える方法はあるのか、ということです。

そこで重要になるのが、リスク優先アプローチです。AI導入におけるリスク優先アプローチでは、AIに入力する必要があるデータと、第三者がそのデータをどのように扱うかに焦点を当てます。このアプローチはベンダーリスク管理に似ており、組織は確立された手法やプロセスを活用しつつ、AIに特化した質問に合わせて調整できます。

確認すべき主な質問は次のとおりです。

私たちのデータはAIモデルのトレーニングに使用されるのか。
私たちのデータはどのくらいの期間保持されるのか。
私たちのデータが公開されるリスクを低減するために、どのような保護策があるのか。
AIを使用して生成された知的財産の権利は誰に帰属するのか。

AIの無秩序な拡散を最小限に抑えることは、この取り組みにおいて極めて重要です。専門化されたAIツールを導入するベンダーが増え、さらにベンダーを追加してそのAIツールに自社データへのアクセスを許可するほど、リスクは高まります。これは、コストや契約の変更なしに突然AIを導入する既存ツールにも当てはまり、AIツールの正確なインベントリを維持することを難しくします。

IvantiにおけるAIガバナンスフレームワークの導入

Ivantiでは、従業員エンゲージメントを出発点かつ到達点とするリスク優先アプローチで、シャドーAIに対処しています。

AI利用を見える化する

シャドーAIを推奨することは決してありませんが、それを使用している従業員は、AIをワークフローに統合する方法について共有すべき貴重な知見を持っています。そのため、すべてのAI利用を禁止するのではなく、従業員が業務で使用するAIツールを申請する明確な手段を確保し、オープンな対話の機会を定期的に設ける必要があります。

オープンな対話を促進することで、従業員は自分たちの成功に役立つツールについて安心して話し合えるようになり、最終的にはそれらのツール（または同等のツール）を安全に使用するようになります。これは、制限を回避しようとするのではなく、従業員が適切なガバナンスの策定に積極的なパートナーとして関わる機会になります。

AIの実装と導入に対する慎重なアプローチ

ツールが承認されたら、適切に実装されていること、そしてどのデータへのアクセスを許可したのかを把握していることが重要です。これは、生成AIツールが組織にもたらすデータガバナンスとセキュリティリスクを考えると、特に重要です。データガバナンスの観点からAIを見ることで、AIリスクの多くの側面に対処しやすくなります。

Ivantiでは慎重なアプローチを採用しています。専任チームを置き、他のチームと連携して生成AIツールの管理されたテストを実施します。その後、フィードバックループを確立し、混乱を避けるため導入を段階的に進めます。

AIツールのフィードバックループを構築する

継続的に確認すべきことは次のとおりです。

Ivantiの従業員はAIをどのように使用しているのか。
そのAIを有用だと感じているのか。
どのようなフィードバックがあるのか。
そのツールをどのように改善できるのか。

こうした継続的な対話により、従業員の生産性ニーズを満たしながら、責任ある形でAIを使用できるようになります。

AIブームに安易に乗ることが目的ではありません。重要なのは、それがビジネスにとって、そして利用する人々にとって価値があるかを見極めることです。シャドーAIは一人の生産性を高めます。しかし、その生産性を組織全体に広げることができれば、会社全体にとって意味のある改善につながります。

シャドーAIに先回りして対処する

ここで一貫しているテーマは、AI、特にシャドーAIが新たで懸念すべきリスクをもたらす一方で、今後も存在し続けるということです。見えないところでAIを使用している従業員に悪意があるわけではありません。むしろ、たとえ方法が適切でないとしても、ビジネスに貢献しようとしているのです。

先回りしたAI導入へのリスク優先アプローチは、この現実を認識するものです。回避を促すだけの事後的な禁止ではなく、従業員がAIで解決しようとしている課題を理解するために関わり、当社のセキュリティおよびデータプライバシー要件を満たす安全な選択肢を提供する必要があります。

あなたの会社を守るために、今すぐできる6つのサイバー防衛策

Wed, 30 Mar 2022 13:26:30 Z

ランサムウェアの被害がますます深刻化する中、Ivantiの最高セキュリティ責任者であるDaniel Spicerは、この課題に対応するための防御ソリューションを選択するチェックリストを提供しています。

ランサムウェアの攻撃は再び増加。

ランサムウェアの攻撃は前四半期より増加。

ランサムウェアの攻撃は前年を上回る。

Ivantiの最新レポートでは明確に警告を発していて、ランサムウェアの攻撃による被害はさらに悪化しています。Ransomware Spotlight Year-End Reportでは、2021年に32の新しいランサムウェアファミリーが確認され、ランサムウェアの種類が合計157（前年比26%増加）となりました。これらのランサムウェアファミリーでは、合計288（前年比29%増加）の脆弱性が悪用されています。本レポートは、Ivanti、Cyber Security Works社、Cyware社の協力のもと、独自データ、一般公開されている脅威データベース、脅威研究者やペネトレーションテストチームの見解に基づいて作成されました。

レポートによると、これらのランサムウェアグループは、致命的な攻撃を仕掛けるために、パッチ未適用の脆弱性を標的にし、ゼロデイ脆弱性を記録的な速さで攻撃を続けていることが判明しました。同時に、脅威攻撃者は、その攻撃範囲を拡大し、組織ネットワークを侵害し、インパクトの強い攻撃を仕掛ける新しい方法を見出しています。

また、Coveware社によると、ランサムウェアの攻撃を受けた企業は平均220,298ドルを支払い、23日間のダウンタイムを経験しました。これは、デジタル環境への移行が急務となり、ITに詳しい人材がこれまでになく不足している現状において、企業・組織は、ランサムウェアによる攻撃を乗り越えられない可能性があります。

サイバーセキュリティに対抗するためのステップ

ランサムウェアの脅威はますます巧妙になる一方で、その対策もまた同様に高度化しています。攻撃対象領域を大幅に縮小し、人的資源をこれ以上消耗することなく、脅威に対するプロアクティブな防御と修復を実現するためにできることがあります。

企業・組織は、Everywhere Workplace 向けに包括的かつスケーラブルで、フレームワークに沿ったサイバーセキュリティ戦略を構築するために、「MAP」、つまり「Manage（管理）」、「Automation（自動化）」、「Prioritize（優先順位付け）」といった3 段階の手順を行う必要があります。最初段階である「管理」は、サイバーセキュリティ基盤の確立を指します。「自動化」とは、IT 部門の負担軽減です。「優先順位付け」は、IT 部門が最もリスクの高い領域を特定・対処するための情報と能力を備えた状態に到達することです。

包括的なMAP戦略には6つのステップがあり、今すぐに始めることができます。

ステップ1: 企業資産の完全な可視化

検出できないものを管理・保護することはできません。接続されたすべてのデバイスとソフトウェアの可視性を高め、それらの資産の使用についてのコンテキストを提供する自動化プラットフォームに投資することで、ITおよびセキュリティ部門は適切な判断を下すことができます。検出についての包括的な取り組みは、企業所有のデバイスとBYODデバイスの両方を含むネットワーク上のすべての資産を対象に、誰がどのデバイスを使用しているか、そのデバイスをいつどのように使用しているか、何にアクセスできるかに関するコンテキストを提供します。これにより、セキュリティ部門は資産の保護を強化し、全体的なセキュリティ体制を向上させることができます。

ステップ2：デバイス管理の最新化

最新のデバイス管理は、リモートワークやハイブリッドの作業環境において、セキュリティを高めるために不可欠な要素です。統合エンドポイント管理（UEM）アプローチは、BYOD（Bring-your-Own-Device）イニシアチブを完全にサポートすると同時に、ユーザーのプライバシーを最大限に保護し、企業データを安全に管理することができます。

通常、UEMアーキテクチャはデバイスとアプリケーションの設定を簡単かつ大規模に導入・構成する機能を備え、リスクベースのパッチ管理とモバイル脅威保護によるデバイスの衛生状態を確立します。また、UEMアーキテクチャは、デバイスの状態を監視し、コンプライアンスを確保し、さらに問題をリモートで迅速に特定・修復し、ソフトウェアの更新を自動化します。幅広いOSに対応する管理機能を備え、オンプレミスとSaaSの両方で利用できるUEMソリューションを選択しましょう。

ステップ3：デバイスの衛生管理を確立

デバイスハイジーン（端末の衛生管理）というと、パッチ管理を連想される方が多いと思いますが、それだけではありません。優れたデバイスの衛生管理とは、ビジネスリソースへのアクセスを定義されたセキュリティ要件を満たすデバイスのみに許可する、プロアクティブで多層的なアプローチを採用することで、デジタル攻撃の攻撃対象領域を縮小することを意味します。企業は、デバイスの脆弱性（ジェイルブレイクしたデバイス、脆弱なOSバージョンなど）、ネットワークの脆弱性（中間者攻撃、悪意のあるホットスポット、セキュリティで保護されていないWi-Fiなど）、アプリケーションの脆弱性（高いセキュリティリスク評価、高いプライバシーリスク評価、疑わしいアプリ動作など）への対策を考える必要があります。また、デバイスの衛生管理を適切に行うには、明確に定義された再現性のあるプロセスを構築し、最終的に自動化できるようにすることも重要となります。

ステップ4：ユーザーの保護

パスワードを武器にする脅威攻撃者だけがパスワードを好みます。パスワードのような機密データは、侵害において最も標的となるデータのひとつであり、侵害の61%に関与しています。さらに、シングルサインオン（SSO）ソリューションは、ハッカーに悪用される可能性のある単一障害点を生み出し、ほとんど、またはすべての企業アプリケーションにアクセスできるようにします。

理想的なソリューションはゼロサインオンによるパスワードレス認証です。このアプローチでは、パスワードの代わりに、所有（モバイルデバイスのように所有しているもの）、内在（指紋やFace IDなどの生体認証）、コンテキスト（場所、時間帯など）といった代替認証方法による多要素認証が使用されます。

ステップ5：安全なアクセス環境を提供する

オフィス内にいるときだけ機能していたネットワークの境界は、Everywhere Workplaceを十分にサポートすることはできません。今日のネットワークは、ソフトウェアディファインドパラメータ（SDP）の原則に基づいて構築する必要があります。SDPは、実績のある標準ベースのコンポーネントを活用するように設計されており、既存のセキュリティシステムとの統合を可能にします。SDPのメリットを最大限に生かすには、ゼロトラストネットワークアクセス（ZTNA）のようなセキュリティレイヤーが不可欠となります。

ステップ6：継続的な監視と改善

セキュリティ体制の評価はほとんど攻撃後に行われ、攻撃ベクトルに特化したものです。このような事後対応型のアプローチは、IT人材が少ないことと相まって、大きな問題となっています。コンプライアンスを維持し、脅威を軽減するためには、ガバナンス、リスクおよびコンプライアンス（GRC）管理を行うことが不可欠です。規制文書をすばやく簡単にインポートし、引用をセキュリティとコンプライアンスの制御にマッピングし、手動タスクを自動化された反復的なガバナンス活動に置き換えるソリューションを探しましょう。

サイバーセキュリティのジャーニーを推進するためには、パートナーを採用し、ソリューションを活用することが不可欠です。適切なソリューションは、ITスタッフの負担を軽減するために包括的かつ統合されたものであり、従業員がいつ、どこで、どのように働いていても、生産的で直感的なユーザーエクスペリエンスを維持します。

Log4Jの脆弱性（CVE-2021-44228）に関するIvantiの対応について

Fri, 17 Dec 2021 20:01:51 Z

Ivantiでは、革新的で高品質なセキュアソリューションをお客様に提供することに全力を注いでいます。その一環として、お客様が最新のサイバー脅威を認識していただくには、俊敏性と行動力が求められています。

2021年12月10日、オープンソースのJavaロギングライブラリ（log4j）において、Log4j-coreのバージョン2.0.0から2.14.1までの脆弱性が報告されました。

Ivantiは、この脅威を知ったときに総動員で対応しました。弊社製品を徹底的に調査した結果、この脆弱性は限られたお客様に影響を与えることがわかりました。弊社の製品リストと、サードパーティの問題による影響の有無、および影響を受けた製品の修正手順へのリンクは、弊社のコミュニティフォーラムでご覧いただけます。

先週末、弊社は、影響を受ける製品をご利用のお客様に積極的に情報を提供し、弊社コミュニティフォーラムで説明されているテスト済みの緩和策に従うことを強く推奨しました。それ以来、弊社はお客様と定期的に連絡を取り合っています。既知の脆弱性に対してすべてのシステムにパッチを適用し、Ivanti ソリューションの最新バージョンを確実に実行することは、お客様が脅威から環境を保護するための最善の方法です。

残念ながら、業界全体にわたってセキュリティ上の脅威は今後も存在します。Ivantiでは、脅威の主体が高度化し続ける中で、セキュリティに対して協調的なアプローチを取り、セキュリティの水準を高めていくことをコミットしています。企業や政府機関が、これまで以上に高度な攻撃に直面している中、Ivanti はお客様を保護し、脅威を可能な限り迅速に軽減することに専念しています。