지난해 한 메신저 앱 기업의 엔지니어는 인증된 기술 업계 종사자들이 이용하는 익명 커뮤니티 블라인드에 글을 올렸다. 챗GPT, 클로드, 제미나이 사용을 제한하는 기업이 모두 그런 것인지, 아니면 자신이 다니는 회사만 그런 것인지 묻는 내용이었다. 그가 근무하던 회사는 해당 도구 사용을 금지하는 대신 챗GPT 기반의 내부 대체 서비스를 제공했다. 그러나 이 엔지니어는 업무 속도가 느려진다는 이유로 이를…
Cloud revenues are booming, as are infrastructure investment costs at Oracle, this week’s release of the company’s fourth quarter financial results revealed. During a conference call with analysts, newly appointed CFO Hilary Maxson said that cloud infrastructure revenue grew 93% year-over-year, which she said reflected demand for AI workloads and database services. The company, therefore,…
As they face increasing backlash over their resource consumption, major data center operators are scrambling to prove they’re not a drain on the environment, or, at least, not as much of one as their competition. Amazon has published some bold new claims to this end: The tech giant says it has achieved a 52% improvement…
AIが高速にエンタープライズに入り込んでいる。AIチャットの実験として始まったものが、今や実際のワークフローや生産性ツールに入り込み、エージェント機能として業務の一部になりつつある。この変化がCIOに新たな課題をもたらしている。問いは「ビジネスがAIを望むかどうか」ではない。「企業が既に使っているAIをどうガバナンスするか」だ。
ビジネス部門はスピード、利便性、即時の生産性向上に引き寄せられる。社員は自分でミーティングを要約し、コミュニケーションを下書きし、データを分析し、コードを生成し、ワークフローを自動化する方法を見つけている。社員からすればAIは仕事を速くするツールだ。ITから見れば、かつてのシャドーITがシャドーAIとして再来しているように映る。
この緊張は現実だ。ITは物事の進展を遅らせる部門として映りやすい。それは、CIOがサイバーセキュリティリスク、データ漏洩、IDの管理、監査可能性、ワークフロー承認、そしてAIが提案から行動に移るときの説明責任を含むリスク全体像を見て進めるからだ。だからこそ、オペレーティングモデルが重要なのだ。AIがどのように企業に入るか、意思決定がどう行われるか、誰が成果を所有し、どこに説明責任があるか——それを決めることがAI時代の任務の核心だ。
AIが個人の生産性を超えてビジネスプロセスに入り込むと、状況が変わる。ミーティングを要約するツールと、ダッシュボードを確認して意思決定を推奨するツールは同じではない。データをレポート用に取り出すだけのツールと、ファイルを移動し、後続の処理を起動し、例外を承認するツールは根本的に違う。後者になった瞬間、リスクの性格が変わる。
本当の課題は、どのユースケースを素早く進め、どれに厳しい管理が必要かを判断することだ。すべてに重い審査を課せばビジネス部門はITを迂回する。かといって何でも承認すればリスクは積み上がる。ITの準備ができているかどうかは、ツールを速く立ち上げられるかではなく、組織がそのツールの影響範囲と説明責任を理解しているかで決まる。
多くのガバナンスモデルが機能しない理由はシンプルだ。テクノロジーの導入スピードについていけないほど硬直しているからだ。AIはその問題を一気に表面化させる。だからといってガバナンスを緩めるべきではない。ガバナンスはAIの実態に合わせて動ける、実践的なものでなければならない。ここで有用なのが、NISTのAIリスク管理フレームワークだ。AIリスク管理を一度限りのコントロールではなく、継続的な組織の規律として扱っているからだ。
AIユースケースを評価する際は、名称ではなく何ができるかで評価すべきだ。問うべきは、次の3つだ。
1)そのツールはどのデータにアクセスできるか?
2)どんな行動を取れるか?
3)間違えたときの影響は何か?
AIのリスクレベルは用途によって大きく異なる。承認済みの情報を検索・要約するだけなら比較的低リスクだ。人間がレビューするコンテンツの下書きはその次のレベル。そして、財務管理や規制対象業務に関わる推奨になれば、管理を一段引き上げる必要がある。さらに、ファイルの移動、ワークフローの変更、トランザクションの承認ができるなら、まったく別の扱いが必要だ。
具体例を挙げると、管理されたクラウド環境で共有ダッシュボードをホストすることと、個人のデスクトップ上のAIエージェントが企業データに接続して行動することは根本的に異なる。前者はIDとアクセス管理、ログを通じてガバナンスできる。後者は個人の実験として始まっても、不整合なデータや業務上の意思決定に触れれば、すぐに企業全体の問題になる。
ここで重要なのが「ヒューマン・イン・ザ・ループ」の設計だ。ツールが実行できるからといって、重要な決定や承認が静かに自動化に流れ込んでいいわけではない。誰かが決定と成果に対して説明責任を持ち続ける必要がある。ID管理、ログ、エンドポイント保護——AIの時代、これらの重要はさらに高まる。
Verizonの2025年データ侵害調査レポートは過去最多の1万2195件の侵害を分析している。これはAIとは直接関係ないが、エンタープライズ環境がすでに高リスクであることを示している。その上でAIを導入すれば、利便性と引き換えに攻撃者にとっての悪用機会も増える。
重要度の低いユースケースはベーシックなレビューを経た軽量なプロセスで進めればいい。だが、リスクの高いユースケースでは、より深い審査と明確なオーナーシップが必要だ。目標は官僚主義ではない。回避できるリスクを未然に防ぎ、AI関連の決定がその場限りにならない構造を作ることだ。
AIガバナンスの議論が進まない組織に共通するのは、理論にとどまっていることだ。方針を定めるだけでは解決しない。需要がスケールする前に、実際に機能する評価の仕組みが必要だ。部門をまたいだ意思決定の場を早期に設けることで、テクノロジーを超えた問題にも組織全体で責任を持てるようになる。
すべてのAIリクエストが同じ扱いを受けるべきではない。内部メモの下書きに使いたいチームと、契約のレビューや例外の承認、文書の移動を行うエージェントを求めるチームでは、必要な審査のレベルがまったく異なる。前者はガードレールを設けた上で素早く進めていい。後者は本番環境に入れる前に、厳しいレビューと明確なオーナーシップが必要だ。
AIリクエストを受け付けるプロセスは、需要を記録するだけでは足りない。個人の生産性ツールなのか、ワークフロー支援なのか、行動を起こすエージェントなのか——早期に分類することが重要だ。どのシステムやデータに触れるか、アウトプットは助言か業務上の決定か、誰がオーナーになるか。こうした問いに事前に答えることで、後から問題が大きくなるのを防げる。
承認で終わりにしてはいけない。本番環境に入ったユースケースには、オーナー、ログ、定期レビュー、振る舞いが変わったときのエスカレーション経路が必要だ。低リスクとして始まったものが予想以上に早くハイインパクトになることがある。
AIを単なるテクノロジーの実験として扱えば、やがて制御できなくなる。AIを規律を持って導入した組織と、統制なしに広がるに任せた組織——その差が、数年後に競争力の差として現れる。
Read More from This Article: AIはコードを書ける、だがオペレーティングモデルを管理するのはCIOだ
Source: News
A German court has sparked a legal controversy by ruling that Google is responsible for defamatory comments generated by its own AI system. The search giant had argued that it couldn’t be blamed for the false results, but a Munich court has deemed that not to be the case and has ruled in favor of…
IT leaders are getting a sneak preview of governance in the agentic era, and it’s shaping up to be a horror show. Two-thirds of CIOs and CTO surveyed by the IBM Institute for Business Value say they’re accountable for AI systems they don’t fully control as employees and other business units spin up new agents.…
I’ve spent the last year watching smart engineering teams make the same mistake. They adopt AI to speed up coding without changing the core of how they build software. With Claude, Copilot or Cursor, they see quick improvements in delivery speed and test coverage. For leadership, those early gains seem to justify investments. But six months…
AI has quickly become a top skill on the IT talent market, with 91% of IT leaders prioritizing AI expertise when hiring this year, according to recent survey from AI analytics vendor Reveal. Eight in 10 of tech leaders reported using AI in software development and 77% said expanding AI use throughout the organization is…
Una nueva encuesta concluye que demasiadas empresas todavía desconocen el Reglamento de Ciberresiliencia (Cyber Resilience Act, CRA) de la Unión Europea de 2024, cuyos primeros elementos entran hoy en vigor. Dos tercios de los encuestados en el estudio realizado por la Open Source Security Foundation afirman no estar familiarizados con el CRA, que busca reforzar…
Years ago, inside a P&G plant, I learned that enterprise technology failures rarely start with technology. They start in the seams – between systems, teams, vendors, approvals and operating rules. When something breaks, the first question is rarely which system failed. It is who owns the outcome. Agentic AI compresses that old problem. A customer-service…