生成AIの潜在力を活用することと、そのリスクを軽減することのバランスを取ることが多くの組織にとって課題となるなか、Trellix（トレリックス）CEO、Bryan Palma（ブライアン・パルマ）氏はSDxCentralに対し、生成AIツールを安全に使用する方法についての従業員教育とトレーニングが重要な役割を果たしていると語った。

氏は、生成AIのセキュリティへの影響を3つのカテゴリーに分類している。

1．防御における積極的な使用：生成AIツールは、防御を強化し、セキュリティチームのスクリプト作成や環境管理などのタスクを支援できる。
2．敵対者による悪意のある使用：同じ生成AIツールが犯罪行為を加速させ、敵対者の熟練度を高め、より速く、よりコスト効率を高める可能性がある。
3．従業員の誤用とデータ漏洩：従業員が生成AIツールを使用することで、誤用や会社の機密情報が漏洩する危険性がある。

生成AIツールの安全な使用を保証するためには、責任はセキュリティチームだけにあるのではなく、組織のすべてのメンバーが持つべきである。

だからこそPalma氏は、従業員に組織内のさまざまな情報機密レベルを理解させる必要性を強調している。

「会議の議題を作成するだけであれば、ChatGPTを使用してください。公開プレゼンテーションを行う場合もまったく問題ありません。ただし、会社のIPを扱う場合は、細心の注意を払う必要があります。なぜなら一度入れてしまうと、それがどのようにコントロールされているのかわからなくなってしまうからです」と氏は言う。

さらに、組織は、生成AIツールを使用してより巧妙かつ高度になっているフィッシングやその他の詐欺・不正行為に注意するように従業員を教育する必要がある。

生成AIのセキュリティリスクに関する従業員教育をどのように展開するか？

企業は、生成AIリスクに関する教育を、既存のサイバーセキュリティトレーニングおよび認定プログラムに組み込むべきだと氏は提案している。

通常、毎年実施されるそうしたコンピューターベースのトレーニングには、ChatGPTのようなツールに関する情報を含め、その利点、リスク、及びそのような生成AIツールの使用に関する企業ポリシーをカバーする必要がある。

「最善の方法は、ポリシーと規制基準を設け、それを標準化することだと思います」と氏は言う。例えば、企業は承認された生成AIツールの企業向けライセンスを調達し、ITチームがそのセキュリティを評価・確保できるようにする。従業員が未承認の代替手段を求める可能性があるため、この戦略はこれらのツールをブロックするよりも望ましいと付け加えた。

「従業員の意識を高め、しっかりとしたトレーニングポリシーとルールを設ければ、ほとんどの従業員は会社を守ろうとするはずです」と氏は語った。「しかし、もし彼らが知らなければ、意図せずそれを誤用してしまうかもしれません」

Trellixが従業員に生成AIを教育する方法

Trellixでは、サイバーセキュリティトレーニングの受講が毎年義務付けられており、現在では、意識、テクノロジー、保護ポリシー教育のための生成AIに関するモジュールが含まれており、同社はそれを拡大する予定もあると氏は述べた。

Trellixの従業員は一般に、従来の企業よりもセキュリティに関する知識を持っているとはいえ、常に不確実性は存在する。

氏は、フィッシング防止トレーニングで使われるようなシミュレーションを使うことを提案している。「たくさんの電子署名（DocuSign）をしましたし、時にはスピードを落として、『なるほど、巧妙かもしれない』と思わなければならないこともありますが、それがより意識を高めるのです」

「競争にするなどして、人々にトレーニングを提供し、しかも面白くすることができれば、正しく使用する方法や利点についてさらに知ってもらうことができるでしょう」と氏は言う。

「また、私は思うのですが、ある会社が、生成AIについて当社はこのように考えており、このプラットフォームを使用します。うちのITチームがこれを精査しました、安全です。使い方はこうです。このプラットフォームに入力できるデータの種類は次のとおりです。と積極的に言うとします。このようにすれば、従業員が冒すリスクからの保護に関して変化を起こせると私は考えています」と氏は付け加えた。

CEO仲間へのアドバイス

生成AIについては、相応のリソースと、コミュニケーションとトレーニングを要する新しい機能を伴う事業計画として扱うことだ、と、他のCEOに対し氏はアドバイスする。

「保護は必要ですが、最終的には、すべての企業が業務で使用する必要がある非常に強力なツールです」と氏。「車の古いたとえのようなものです。車は速く進みますが、ブレーキも付いています。この問題についてはそのように考えるべきです。明確なポリシーと取り組みにおける基準が必要であり、人々を訓練する必要があります」

「（生成AIの利用を）阻止することが正しい答えだとは思いませんし、持続可能な長期戦略であるとは思えません」と氏は語った。

Trellix CEO outlines how to educate employees on genAI risks