クラウド環境でのAI活用が急速に進む中、それに見合うセキュリティ対策が追いついていない─そんな現場の“温度差”を明らかにしたのが、クラウドセキュリティ企業Wizが公開した最新の調査レポートです。
クラウドアーキテクトやセキュリティリーダー100人への聞き取り調査では、AIの導入そのものはかなり進んでいる一方で、「守る体制」には不安を感じている声が多く聞かれました。
AIを使ってはいる。でも中身が見えていない
調査対象の87%が、すでに社内の何らかの形でAIを活用中と回答。その多くはOpenAIやAmazon Bedrockといったマネージドサービスを活用しています。
とはいえ、「自分たちの環境に、どんなAIサービスが存在しているのか正確に把握できていない」と話す担当者も25%にのぼります。
つまり、使ってるけど全体像が見えていない”という状況。私たちがよく現場で遭遇する、シャドーITならぬ“シャドーAI”がすでに始まっています。
シャドーAIとは?
「シャドーAI」は、社内で正式に承認されていないAIツールや生成AI(GenAI)を、従業員が個人的に導入・使用する行為を指します。
これらのツールは、生産性向上を目的に使われることが多い一方で、企業のIT部門の監視が及ばないため、セキュリティ上のリスクや情報の正確性の問題、組織全体の業務プロセスの分断などを引き起こす要因となっています。
実際、Harmonic Security社の研究者たちは、Microsoft Copilot、OpenAI ChatGPT、Google
Gemini、Anthropic Clause、Perplexityなどの複数の生成AIツールで、ユーザーから入力された数千件のプロンプトを分析しました。
その結果、これらのツールを利用する従業員の多くは、その結果、これらのツールを利用する従業員の多くは、文章の要約やブログの編集といった比較的単純なタスクを目的としている一方で、約9%のプロンプトに機密情報が含まれていたことがわかりました。
また、Software AGの最新ホワイトペーパーによると、調査対象となった米英独の知識労働者6,000名のうち、75%がAIを業務に活用しており、その半数以上が個人で選んだ非公認のツールを使用していることが明らかになりました。
「AIのセキュリティって、結局どう守ればいいの?」
Wizのレポートで興味深かったのが、「AIセキュリティの専門知識が足りない」と答えた企業が3割を超えていたこと。たしかに、AIを守るために何をすればいいのかは、まだ業界でも明確な「正解」がありません。
一般的なEDRや脆弱性管理といった守りの手段は7割以上の組織が導入しているものの、AI特化型のセキュリティ対策を導入しているのはわずか13%。結局、“今あるものを流用する”という対応でやりくりしているのが現実です。
セキュリティと開発が、うまく噛み合わない現実
AIを開発・運用するのは技術チームですが、守るのはセキュリティチーム。その“距離感”も課題のひとつです。
レポートでは、「プライバシー管理」や「脅威の可視化」「他のセキュリティ製品との統合のしやすさ」といった、“運用しやすさ”が重要視されていることが分かります。一方で、従来型のツールはDevOpsと相性が悪いという声もあり、AIセキュリティには技術だけでなく文化的な壁もあることが分かりました。
一部参照
https://www.wiz.io/reports/ai-security-readiness
関連記事
業務に潜むシャドー AIとは-見えない生成AIが企業にもたらすリスクとは
従業員は生成AIへ機密情報を頻繁に入力している
オリオンビール運営のオリオンホテル 那覇が利用する予約システムへ不正アクセス。個人情報漏洩の可能性
Googleがカスペルスキーのウイルス対策ソフトをPlayストアから削除
株式会社別大興産が不正アクセスとランサムウェア 攻撃を受け、個人情報漏洩の可能性を発表
フォションホテル京都の予約システムへ不正アクセス、個人情報漏洩の可能性
フィッシングメールの事例を解説
量子科学技術研究開発機構、ゼロデイ攻撃による不正アクセスで個人情報漏洩の可能性
オーエム製作所、ランサムウェア被害で個人情報漏洩の可能性 外部サイトでの流出確認はなし
