Shadow AI探索とは何か

Shadow AI探索により、組織で正式に承認または管理されていない生成AIやAIを用いたサービスの使用状況を把握できます。 AIツールとユーザーがどこでどのようにやり取りしているかを理解するのに役立ち、施行や管理ポリシーを定義する前に潜在的なデータの露出やリスクを評価できます。

Shadow AI探索は、意識向上とインサイトに焦点を当てています。 デフォルトではトラフィックをブロックせず、AIプロンプトや応答の内容を検査しません。

シャドウ AI 探索は何を識別するのか

Shadow AI探索は、インターネットトラフィック全体でのAIサービスとのやり取りを識別します。以下が含まれます。

  • 公開の生成系 AI ツール
  • SaaS アプリケーションに埋め込まれたAI駆動の機能
  • サイトまたはリモートユーザーからのAIサービスとのダイレクトなユーザーインタラクション

これらのインタラクションは、明示的なIT承認なしに、承認された企業AIプラットフォームの外部で発生する可能性があります。

シャドウAI探索の仕組み

Shadow AI探索は、ネットワークレベルの可視性とトラフィック分析に基づいています。

Catoは、アプリケーション署名、ドメイン、振る舞いパターンの組み合わせを使用してAIサービスを特定します。 これには、スタンドアロンのAIアプリケーションと、より広範なSaaSプラットフォーム内に埋め込まれたAI機能の両方が含まれます。

トラフィックはプロトコル、宛先、使用動向に基づいてAI関連の活動を検出するために継続的に分析され、分類されます。 このアプローチでは、AIベンダーとのAPI統合やエンドポイント上でのエージェントベースの検査に依存していません。

AIの使用はその後、ネットワークの文脈と関連付けられ、コンテンツを検査することなく、誰がどこからどのデバイスでAIサービスを使用しているかを可視化します。

さらに、CatoはSaaSアプリケーションに埋め込まれたAIモデルのための探索、設定可視性、およびリスク評価を提供します(例: Microsoft 365 CopilotやGoogle Workspace AI機能)。 これらの埋め込まれたAI機能は、同じ分析プロセスの一部として特定され、見落とされることはありません。

Cato AI Securityは、これらの埋め込まれたAI機能のリスク姿勢を評価し、使用されている特定のプランや設定を含み、AIがどのようにアクセスされ、使用されるかを管理するポリシーを組織に適用できるようにします。

 

収集される情報

Shadow AI探索は、AI使用状況に関連するメタデータとコンテキスト情報を収集します。 収集された情報には以下が含まれます。

  • AIアプリケーションまたはサービスのアイデンティティ
  • アプリケーションカテゴリとAI分類
  • ユーザー、サイト、またはIPアドレスなどのソースコンテキスト
  • 宛先AIサービス
  • AI関連のアクティビティの頻度とボリューム

Shadow AIインサイトの理解

Shadow AI探索のインサイトは、Cato管理アプリケーション内の専用のShadow AIページで表示されます。 このページは、組織全体のAI使用状況をリスクに基づいてまとめて表示します。

Shadow AIページは、次のような主要な質問に答えるのをサポートします。

  • 環境で使用されているAIアプリケーションはどれか
  • ユーザーとインタラクションに基づいて、各AIアプリケーションがどの程度広く使用されているか
  • どのAIアプリケーションが高いリスクを示し、より注意深いレビューが必要か

これらのインサイトを使用して、AIの採用パターンを理解し、非承認または高リスクのAIサービスを特定し、追加の管理またはポリシーコントロールが必要かどうかを判断します。

ユースケース

ABC社は、生産性と協力をサポートするために、従業員が自由にインターネットにアクセスできるようにしています。 時間の経過とともに、ユーザーは公開生成AIツールやAIを用いた機能を採用し始め、コンテンツ作成、調査、コーディングなどのタスクを支援します。 これらのサービスは、正式な承認やITの可視性がない状態で使用されることがよくあります。

IT管理者として、Catoクラウドを通じてルーティングされたインターネットトラフィックを分析し、AIサービスとのインタラクションを識別するためにShadow AI探索を使用します。 Shadow AIページは、使用中のAIアプリケーションのインベントリを作成し、それらがどの程度採用されているかを示し、リスクが高い可能性があるアプリケーションをハイライトします。

これらのインサイトを使用して、組織全体でAIがどのように使用されているかを理解し、非承認または高リスクのAIサービスを識別し、潜在的なデータの露出を評価し、AI管理と承認済みAIプラットフォームについて情報に基づいた判断を行います。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント