シャドーAI監視サービス

OpenAI社のChatGPTやGoogle社のGeminiといった生成AIは、情報の収集やデータ分析の業務効率を飛躍的に向上が見込めることから急速に利用が進んでいます。しかし、一般公開された生成AIサービスは、アップロードされたファイルや入力されたプロンプト（入力文）を、学習してしまうリスクがあります。そのため、企業内で利用できる生成AIサービスを限定し、管理することが望まれますが、一般公開された生成AIサービスを利用するケースは多いと言われます。

エルテスは、利用を許可していない生成AIサービスの利用を検知することで、情報流出リスクを軽減します。

想像より多くの人が未許可の生成AIを利用している。
事実を把握することはリスク対策の第一歩。

シャドーAI監視サービスは、企業内で承認・管理されていない生成AIへプロンプトの送信が行われたことを検知し、入力されたプロンプトの詳細やファイルログ情報を把握することで、機密情報の漏洩リスクや労務リスクを可視化します。

標準サービスとして、単一データソースの分析を提供しますがお客様の要望に応じてデータソースの追加もオプションで対応可能です。API連携可能なデータソースとAPIおよびsyslogを連携し、ログ情報を転送します。取得したログ情報が、エルテスの分析システムで解析し、許可されていない生成AI利用の有無や、画像・資料などのアップロード有無から、リスクを高・中・低で評価します。評価結果はお客様専用のWebポータルへ反映され、要望に応じてシステムによる自動メール通知も可能です。

シャドーAI監視サービスでは、生成AI利用のリスクに加えて、その他サービスの利用違反行為や、社員の就業行動に関わる労務リスクについても把握が可能となります。

Webポータルでは、生成AIに送信されたプロンプトから、リスクを懸念される内容を確認も可能です。お客様のリスクマネジメント対策の重要な判断につながる情報を提供いたします。

情報システム部門が把握していないIT機器やサービスの利用を「シャドーIT」と呼びますが、無料公開されている生成AIシステムを、組織に無断で利用することを「シャドーAI」と呼びます。例えば、企業の財務データを生成AIへ入力して評価レポートを作成させる、新商品の企画案を分析させるといったプロンプトを送信した場合、パブリックAIシステムの学習データとして取り込まれてしまい、他のユーザーへの回答に利用されてしまう可能性があります。

さらに、機械学習の問題だけではなく、生成AIシステムの不具合も確認されており、他のユーザーが入力したプロンプトが表示される事例も発生しています。企業ガバナンスの信頼性も含め、生成AIによるリスクは拡大しています。このように、生成AIは便利な一方でリスクも大きいため、企業としてはパブリックな生成AIを利用する場合は、利用可能サービスの承認・管理、もしくは自社専用生成AIシステムの構築が必要です。生成AIの利用を禁止するのではなく、利用ポリシーやガイドラインの策定・教育など、適切にリスクマネジメントを行いながら、生成AI利用を促進することをお勧めします。

エルテスでは、健全な生成AI利用支援のため、「生成AI利用ルール策定サービス」も提供しています。
▶生成AI利用ルール策定サービスページはこちら

初期構築に2ヶ月程度を想定しています。また、ご契約前にNDAの締結及びサンプルログの検証を行います。秘密保持に関しても、万全の体制の上で支援いたします。