セキュリティ専門家の約90%が職場で未承認のAIツールを使用しています。 リスクを最も理解しているのは、それを受け入れる人たちです。無謀だからではありません。承認されたスタックが追いつかないからです。 クエリはサードパーティのモデルに送られ、回答はドキュメントに貼り付けられ、会社のインフラには一切見られません。ログなし。アクセス記録なし。道もない。 コンプライアンスが「従業員はこれらのモデルに何を投入したのか」と尋ねても、答えはありません。誰かが隠したからじゃない。誰もそれを捉えるためのシステムを作り上げていないからです。 政策はインフラのギャップを埋めることはできません。 @sofia_numbers以前から言っていますが、ガバナンスには出自層が必要です。監査の質問が来る前に、どのツールが使われているか、何に触れているかの記録を残すこと。 より良い政策では解決しません。より良いインフラがそれを証明します。