Disrupt or Defend? An AI Grudge Match

0:00:05 エミリー ウェアマウス:こんにちは。Security Visionaries ポッドキャストへようこそ。ここでは、サイバー データ、セキュリティ、インフラストラクチャなど、さまざまな有益なテーマについて専門家が集まり話し合います。司会者の一人、エミリー・ウェアマスです。そして今日、私は少し戦いを始めたいと思っています。 説明させてください。私は最近、CIO と CISO が CEO と話したり、その日のタスクを任されたりするときに、AI に関してほとんど矛盾した任務を与えられているように見えることについて考えていました。つまり、CIO は、組織内を駆け回って物事を破壊し、効率性や生産性向上の機会、新しい収益源を見つけることが具体的に求められているように私には思えますが、そのプロセスの一環として、文字通り物事を分解して AI で再構築することが求められているのです。これは素晴らしいことのように聞こえます。しかし、CEO から組織を守る任務、特に AI に関連する可能性のある新たな脅威に対する防衛を命じられた CISO が同じ廊下を歩いているとどうなるでしょうか。今日のポッドキャストでは、このことについてお話ししたいと思います。このちょっとした口論を乗り越える手助けをしてくれる素晴らしいゲストが 2 人います。まず最初に、ボクシング リングの CIO コーナーを代表する最初のゲスト、マイク アンダーソン氏を紹介したいと思います。 マイクさん、ポッドキャストへようこそ。

0:01:19 マイク・アンダーソン:ここに来られて嬉しいです。会話を楽しみにしています。楽しいスパーリングになればいいですね。

0:01:24 エミリー・ウェアマウス:ええ、そうなることを願っています。マイクは、私が読者に紹介するセキュリティおよびネットワーク企業である Netskope の最高データおよび情報責任者です。彼はシュナイダーエレクトリックから Netskope に入社し、諮問委員会でも数多くの役職を務めています。ポッドキャストのゲストを検討するときは、ゲストの履歴書を徹底的に調べて、キャリアの初期に何をしてきたかを確認し、会話にどのように臨むのかをある程度把握するようにしています。 そしてマイク、あなたの履歴書の冒頭部分に、かすかな汗と不安が浮かんでいるのが、かなり早い段階で分かりました。マイクさん、あなたがかなり早い段階でアプリケーション サービス プロバイダーとデータ統合に関して多くの作業を行っていたことに気付きました。ですから、おそらくあなたはデータ統合と AI というアイデアに対して、まったく恐れることなく取り組んでいるのではないかと思います。それは公平ですか、マイク？

0:02:08 マイク・アンダーソン:ええ、恐怖そのもの以外は全く恐怖はありません。

0:02:13 エミリー ウェアマウス:では、ポッドキャストへようこそ。もう 1 人のゲストを紹介しましょう。CIO とランダムな CISO を招くのも素晴らしいことですが、実際に Mike Day と日々仕事をしている CISO であれば、理論的な話をするわけではなく、すでにちょっとした確執を抱えて登場する可能性があるため、さらに楽しいだろうと思ったからです。もう一人のゲストは、Netskope の CISO である James Robinson 氏です。ポッドキャストへようこそ、ジェームズ。

0:02:36 ジェームズ・ロビンソン:ええ、私は弁護するためにここにいます。

0:02:41 エミリー ウェアマウス:ジェームズの履歴書は、データ アプリケーションとクラウド セキュリティに関する内容ばかりですね。彼は技術アナリストやシステムエンジニアのような役割からスタートしましたが、私はジェームズがキャリアを始めたころから、あなたが大手ビール醸造会社で働いていたことに気づきました。 それで、その仕事の特典のいくつかについてオフラインで会話できるかもしれません

0:02:59 ジェームズ・ロビンソン:いつでも。お酒を飲みながらならできるんだけど。

0:03:03 エミリー・ウェアマウス：素晴らしいですね。さあ、飛び込みましょうか？それで、マイクさんに質問することから始めたいと思います。 皆さんがこれらの回廊を歩き回り、組織の全体像を把握しているとき、表面的な部分だけを追うのではなく、組織に最も大きな影響を与える可能性のある AI プロジェクトを本当に見つけるために、自分とチームが時間を費やすべきことをどのように決定していますか?どこを見に行くのですか?

0:03:29 マイク アンダーソン:そうですね、まず第一に、非常に明確に定義されたプロセスがあります。それは、どんなテクノロジーでも、悪いプロセスに投入すれば、同じ結果に早く到達できるからです。したがって、まず第一に、健全なプロセスがあることを確認する必要があります。私がいつもチームに伝えていることの一つは、収益を必ず追うということです。私たちは組織としてどのように収益を上げているのでしょうか。また、そのプロセスにおいて彼らの摩擦はどこにあるのか。それでは、その摩擦を軽減するためにテクノロジーをどのように活用できるでしょうか? したがって、AI について考えるとき、それはロボティック プロセス オートメーションや、この分野で過去 20 年間に見てきた他の種類のツールと何ら変わりません。問題は、それを適切に適用することをどうやって確認するかということです。AI はすべての人に当てはまるアプローチではありません。特定の分野では AI に適した 使う ケース が存在しない可能性があり、ツールベルト内の他のツールと同様に AI が使用される可能性もあります。

0:04:20 エミリー・ウェアマウス:ジェームズ、あなたがAIに着手した時、あるいはマイクのチームが混乱を引き起こしているのをただ傍観している時、どのようにAIを理解しようとしましたか？出発点はどこですか？

0:04:31 ジェームズ・ロビンソン:ええ、この話題とは逆に、マイクと私はリテラシーにおいて共通の基盤を見つけたと思います。 そこで私たちが認識し始めたことの 1 つは、人々が自分の境界線がどこなのか、どれくらい共有すべきなのか、何が認められて何が認められないのか、といったことを知らなかったということです。 だから、プロンプトソンのようなことをするのは、このシャツではなくあのシャツを着るべきだったという本当に良い例だと思うんです。しかし

0:05:00 エミリー ウェアマウス:プロンプターがオンになっているというのはどういう意味ですか?リスナーの目的から言うと、あなたはハッカソンを着ていますね。でも、あなたはプロンプトアソンと言ったばかりです。それは何ですか？

0:05:09 ジェームズ・ロビンソン:つまり、何人かの人々にアイデアを出してもらえないか試してもらい、 私たちのために承認されたAIツールをいくつか使って、社内ではGeminiを使って、 それからアイデアやできることを作り始めるというアイデアでした。 また、私たちがNetskopeデータを使用できるようにするために、人々が越えてよい、または越えてはならない境界のいくつかを非常に明確に概説し始めました。 そのため、全員の知識レベルが向上しました。なぜなら、彼らはプロジェクトに取り組んでおり、日常的にAIを 使っていて、楽しみながら いたからです。 つまり、それは教育啓発アイテムだったのです。まさにそこから、教育やセキュリティ教育の知識を推進するだけでなく、宇宙に関する一般的な教育を推進するという目標が設定され始めます。 私たちはテクノロジー企業なので、AI と genAI に関するさまざまなプロジェクトがありましたが、それによって焦点が絞られ、何が適切で何が不適切かという基準も設定されました。それがその領域の一つです。私が注目し始めるもう一つの領域は、まさにその攻撃対象領域です。この分野では、ネットワークやシステム、公開される可能性のあるものに関連する攻撃対象領域管理がどのようなものであるかが非常に明確に定義されていると思います。しかし、攻撃対象領域はシャドーAIからも発生する可能性があり、このポッドキャストを録音するためのアプリケーションの からも発生する可能性があります。 もしその今にAIが組み込まれていたらどうなるでしょうか？ 誰も本当には知りませんでした。私たちはそれをレビューしたり、セキュリティに通したり、ブレーキをかけたり、従来のセキュリティの意味でプロジェクトを遅らせたりはしませんでした。ただ、AIが安全であり、アップロードしているデータから学習していないことを確認しました。なぜなら、その範囲を内部データにしたくないからです。あるいは、何かをしようとしていて、顧客データなどのための製品を構築していて、AIに教え始めている場合、それは私たちが難しい場所で難しい会話に巻き込まれることになるからです。 十分に文書化されている場合でも、使うケースやメリットはあるかもしれませんが、私たちがアップロードしている情報を彼らが使っているかどうかが分からない場合、また、私たちがそれを使って彼らの AI に教えていることを彼らが知らない場合、それは問題です。 ですから、そこは私たちが急ブレーキをかけなければならない場所です。そこで、知っていることが、できない、そんなことはできない、という線引きになります。しかし、もう一度言いますが、教育の水準を引き上げるという形で、私たち全員が話し合うことができる共通の基盤と表面ができたことになります。 2 つ目は、私たちが取り組むべきシャドー AI 領域が何であるかを検討し、それらを特定して、そこから方向転換することです。

0:07:41 マイク・アンダーソン:ジェームズ、君のディープフェイクを作るのに十分なビデオが録画されているのはわかっているので、感謝しているよ。 それで、このビデオをどこにアップロードするかといえば、私は承認します、承認します、承認しますと言うだけです。できました。

0:07:56 エミリー・ウェアマウス:そうですね、ポッドキャストに別の人、匿名のユーザーを呼んでおくべきだったかもしれません。というのも、あなた方お二人のプロンプタソンは、私がこの会話の冒頭で設定したよりも足並みを揃えているように聞こえますし、おそらくここでの問題は、AIへの中央集権的な組織的アプローチではなく、ランダムな事業部門から出現する影の ケース にあるのかもしれません。

0:08:20 ジェームズ・ロビンソン:矛盾が生じるのは、セキュリティレビューの観点から、できるだけ早く対応できるかどうかという点です。マイクと私は、この件が行き詰まっているとか、この件が十分に早く進んでいないとか、この 使う ケース がただ放置されていて、2週間も放置されているとか、いつも話し合っています。 チームにレビューしてもらえますか?そして、ほとんどのチームでは、そこから一種の対立が生じ始めるのだと思います。明らかに、効率性を高め、AI を運用化し、これらすべてのことを実行するという使命は、セキュリティ面でも実現したいと考えていますが、私たちはプロセスと手順を活用しようとしており、正直なところ、ビジネスにとって十分な速さではない場合があります。リーダーとして私が常に探して試して、私たち自身で AI を使ってスピードアップできるかどうかを把握しようとしていることの 1 つです。 AIの効率性を活用して、私たち自身の作業をスピードアップしてみませんか？ 私たちも同じようにやろうとしていますが、ビジネス側が望むほどのスピードで事業を展開できていないのが現状です。そして、そのようなシナリオでは、私たちが衝突し始めるか、意見が合わなくなるのです。マイクの代わりに言うわけではありませんが、それは「ねえ、これは単純な簡単な使うケースだ」というようなものです。 なぜハングアップするのか、なぜこんなに遅いのか分かりません。」まあ、回線がつながらなかったり、速度が遅かったりするわけではありません。複数の事業部門やチームから大量の依頼が寄せられており、バックログが膨大になっているのです。1,200件以上の評価