AIがソフトウェア購入をいかに混乱させているか
AI関連のリスクを低減し、戦略を成功させる
世界では瞬く間に、AIが突如としてあらゆる場所に登場しました。多くの企業が生成AI(GenAI)を利用して、24時間体制のカスタマーサポートを提供したり、パーソナライズされたショッピングレコメンデーションを生成したり、ソフトウェア開発を加速したり、マーケティングコンテンツを作成したりしています。
今日のAIは、コンピューターがビジネスの世界に初めて導入されたときと同じくらい影響力と破壊力を持っています。企業がAIを導入しないのであれば、すぐにAIは無意味になる可能性があります。
そのため、CIOやCISOは、AIイニシアチブの立ち上げについて大きなプレッシャーにさらされています。CIOやCISOは、新しいAIベースのソフトウェアソリューションの導入や、従業員にAIツールへのアクセス提供を期待されています。しかし、同時にこれらの技術リーダーは、AIが新たなリスクをもたらすことも理解しています。多くの企業は、機微情報を保護し、シャドーAIを防止し、誤情報を生成する可能性を低減するためのポリシーと保護を迅速に実装しています。
技術リーダーがAIの実現とその利用の管理の適正なバランスを見つけようとする一方で、ソフトウェアの購入と更新のプロセスを変えなければなりません。ソフトウェアの購入がゲームのように思えることがあるなら、AIはそのルールを変えつつあります。古いルールに従っていると、企業が危険にさらされることになります。このようなリスクを軽減するために、CIOやCISOは、ソフトウェア契約、アプリケーションアーキテクチャ、ソフトウェアベンダー自体に対する監視を強化する必要があります。
課題その1:ソフトウェア契約の変化
ソフトウェアベンダーがより多くの製品にAIを組み込むにつれて、CIOやCISOはソフトウェアの更新をどう扱うかを変更する必要があります。既に購入しているソフトウェアの場合、マスターサービス契約(MSA)を締結し、特定の条件に同意している可能性があります。ただし、これらの条件の中には、他の文書にハイパーリンクを設定しているものもあります。ソフトウェアが更新されると、ベンダーはハイパーリンクの文書の内容を変更する可能性があります。MSAを継続的に確認しない限り、それを知ることはできない可能性があります。
問題は、アプリケーションに統合された新しいAI機能が、AIおよびデータのガバナンスポリシーと競合する可能性があることです。AI強化ソフトウェアの提供競争の中で、既存のソフトウェアのベンダーが、貴社のポリシーとセキュリティを危険にさらすかもしれません。
課題2:マルチテナントとモデルの構築
SaaSソリューションを評価するとき、私は常にベンダーがマルチテナントをどのように扱っているかを理解するように注意しています。具体的には、私のデータをどう扱うかについて知りたいのです。自分のデータは他の人のデータと完全に分離されているのでしょうか?
ベンダーがAIを自社製品に組み込もうとしている現在、ベンダーがデータをどのように扱うかに関して、さらなるセキュリティ問題が発生する可能性があります。第一に、多くのベンダーが独自のAIサービスをホストしていません。パブリッククラウドで実行しているかもしれません。そして、そのクラウドベンダーはデータを適切に保護していない可能性があります。
第二に、ソフトウェアベンダーは、そのモデルがどこにあるかに関係なく、AIモデルを訓練するために顧客のデータを使用している可能性が高いです。今、私がソフトウェアベンダーに求めているのは、自分たちのドメイン内でAIが顧客にどのように利益をもたらすかについての専門家であることです。例えば、あるベンダーがAIを活用した人事アプリケーションを持っているとします。私はそのベンダーが、そのようなソフトウェアを提供するにおいて世界で一番であることを望んでいます。そして、最高のベンダーは、モデルを訓練するためのデータを最も多く持っているベンダーとなります。
しかし、私は彼らが私の機密データをモデルのトレーニングに使うことを望んでいません。一部のベンダーは、意図的に複数の顧客からのデータを混合して、モデルのトレーニングを行う場合があります。しかし、少なくともソフトウェアを購入する前に、すべてのデータがベンダーのモデルのトレーニングに使用される前に、完全に匿名化されることを確認する必要があります。
課題3:AIベンダーの寿命(の短さ)
新しいAIソフトウェアベンダーは常に登場しており、プロスポーツリーグにおいて拡張チームが絶えず出現しているのと同じです。新しいAI機能を導入する大手の一流テクノロジー企業に加え、AIベースのソフトウェアやツールに重点を置くAIスタートアップが急速に成長を続けています。OpenAIが確立されたプレイヤーのように感じられる時、市場は驚くほど速く進化していることがわかります。
私は、レガシーアプリのベンダーと同様の基準で、これらの新しいベンダーを評価しています。例えば、ベンダーが私のデータをどのように保護し、他の顧客データと分離しているかについて知りたいのです。
しかし、私はこれらのベンダーの寿命も非常に心配しています。AI企業は次々と誕生し、姿を消しています。スタートアップ企業からAIソフトウェアを購入する前に、その会社が数年後に存在するかどうかを知りたいのです。また、その会社が買収されたり廃業したりした場合、自分のデータはどうなるのかが知りたいのです。
急速に変化するソフトウェア購入のための戦略
この話における問題点は、IT環境の一部の側面は不変であるという前提に立っていることです。しかし、同じものはひとつもありません。AIは、すでに購入して何年も使い続けているソフトウェアアプリケーションも含め、すべてを根本的に変えつつあります。そのため、ソフトウェアを更新した��り、新しいAIベースのツールを購入したりするたびに、購入プロセスの側面を変更する必要があります。次の6つのベストプラクティスが重要になります。
MSAの変更を監視する
AIの時代におけるソフトウェアの更新には、より広範なデューデリジェンスが必要となります。まず、AIを実装しているコアベンダーと会話をしましょう。コアベンダーに以下のことを直接尋ねましょう: データをどのように処理していますか?他の顧客データと同じ環境に保存されていますか?
既に購入したソフトウェアのライセンスを更新する際は、MSAからハイパーリンクで示される更新された規約を取得し、確認してください。新たに導入された条件が、AIおよびデータのガバナンスポリシーと矛盾しないことを確認しましょう。
既存のアプリの一部では、契約内容を一度も確認していない可能性があります。ごく小規模なデプロイメントから始めて、その必要はないと判断したかもしれません。ただし、展開を拡大して企業契約に移行する場合は、そのレビューに時間を投資してください。ソフトウェアのリリースの規模が一定のしきい値に達したときに、利用規約の監査を要求するポリシーを確立することができます。
ベンダーと直接連携し、更新されたMSAを確認するこの作業には、多大なリソースが必要になる可能性があります。何百ものSaaSアプリケーションを使用している組織もあります。そ�れでも、進化する契約について最新情報を得る方法を見つけることは、セキュリティを維持するために重要です。データ保護について尋ねる
データがどのように保存および管理されているかを理解するだけでなく、データがどのように保護されているかを確認します。あるソフトウェアベンダーは、顧客ごとにアプリケーションのインスタンスをデプロイし、すべてのアプリセキュリティサービスを使用して各インスタンスを防御するかもしれません。
別のベンダーは、すべての顧客に対して1つの大きなデータベースを使用するかもしれません。これは危険です。しかし、データを十分に暗号化またはトークン化し、機密情報が漏えいしないことを証明できる場合は、そのソフトウェアを使用することを支持するかもしれません。ベンダーの優先順位を評価
AIツールを提供する新しいベンダーについては、そのベンダーの戦略的優先順位を評価して、貴社にとって優れた、長期的な適合性であるかどうかを判断します。例えば、スタートアップ企業のソフトウェアを使用していて、その製品に何らかの問題があったとします。そして、そのスタートアップ企業が新たな資金調達ラウンドで資金を調達したことがわかります�。その資金をどのように使う予定か尋ねましょう。その答えがエンジニアリングではなく営業だったなら、他の企業を探しましょう。コミュニティ内のメモを比較
すべてのMSAを確認し、新しいベンダーを評価する作業負荷を減らすための1つの方法は、他のテクノロジーリーダーとのメモを比較することです。同業者に、「ベンダー間の契約条件の傾向は?この変更に同意していますか?」と尋ねてみましょう。
同様に、検討中のAI専用ベンダーに関するインサイトを探してください。他のリーダーに、「この会社が廃業した場合でもデータが保護されると、どの程度自信をもって言えますか?」と尋ねましょう。引く準備をする
AIベースのソフトウェアがもたらすリスクを測定することは非常に困難な場合があります。そのため、ソフトウェアを更新する場合でも、新しいアプリケーションを評価する場合でも、正確に測定できないリスクに対して、どの程度安心できるか、自問してみてください。
場合によっては、潜在的なリスクが潜在的な価値を上回ると判断するかもしれません。AI機能を組み込むことで、許容できないリスクをもたらすソフトウェアの使用を止めることができます。データのセキュリティやベンダーの将来性に確信が持てないという理由で、新しいAIアプリを採用しないという決断もすることができます。
その中間的な判断を下すこともできます。例えば、ソフトウェアを購入する前にスタートアップ企業が成熟するのを待つことができます。あるいは、縮小された機能の選択、またはデータのサブセットを使用して、アプリの価値を証明させることもできます。購入する代わりに構築を検討する
AIで強化された製品を提供するSaaSベンダーの多くは、幅広い顧客層へのリーチを望んでいます。その結果、彼らはそれらの潜在的な顧客間の最小の共通項を念頭に製品を設計することになります。
しかし、私はCISOとして、組織に深く役立つソフトウェアを求めています。たとえば、従業員の認知的負荷を軽減し、組織内での生産性と効率を高めることができるAIツールを使用したいと考えています。こうしたツールは私のデータを活用して、私のビジネス全体をより良くするものでなければなりません。問題は、組織の正確なニーズを満たすような既製のソフトウェアを見つけることが難しいことです。
そのため、場合によっては、購入するよりも構築する方が理にかなっていることもあります。リスクを最小限に抑えながら、ビジネスに利益をもたらし、競争力のある価値を提供する機能を生み出すことができるのであれば、構築する方が良い方法かもしれません。適切な開発者プラットフォームを見つけることで、AIアプリの作成を加速できます。
AIによるソフトウェア購入の混乱に備える
私たちは皆、AIを導入して組織を変革しなければならないというプレッシャーを感じています。ソフトウェアベンダーはこの変革を促進することに熱心であり、新しいAI機能を自社製品に急速に統合しています。そのため、ソフトウェアの購入責任者は、常に把握しておく必要があります。ソフトウェア購入のルールが変化しているようなものです。そして今日、私たちはソフトウェアの革新がセキュリティにどのように影響するかをより慎重に評価する必要があります。
すべてのアプリケーションが、会社が許容するリスク量に対して十分な価値を提供するとは限りません。そのような場合、AIアプリの構築が適切なアプローチになるかもしれません。Cloudflare開発者プラットフォームは、AIアプリの構築と配信のプロセスを合理化するのに役立ちます。Cloudflare Workers AIを使えば、ユーザーに近いエッジで実行できるAIアプリを開発し、運用することができます。一方、AI Gatewayは、人々がAIアプリをどのように使っているかの可視化と制御を可能にします。
一部のエンタープライズソフトウェアで現状を維持することを望む場合でも、今後そのレガシーアプリでもAIの機能が登場する可能性が高く、その場合購入プロセスを変えざるを得なくなることを認識しましょう。AIによるソフトウェア購入の混乱に備えることは、リスクを軽減する上で不可欠です。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
このトピックを深く掘りさげてみましょう。
AIがビジネスの仕組みをどう変えるか、それをスマートかつ安全に活用する方法について、詳しくは、電子書籍『AIの安全な実践を確保する:スケーラブルなAI戦略を立てる方法に関するCISO向けガイド』をご覧ください。
著者
Mike Hamilton – @mike-hamilton-us
Cloudflare最高情報責任者(CIO)
記事の要点
この記事では、以下のことがわかるようになります。
AI機能は、監視下にある既存の契約に追加されている
ソフトウェアを購入または更新する際に検討すべき6つのベストプラクティス
AIとデータのガバナンスポリシーのコンプライアンスを確保する方法