企業の73%が「AIをデータセキュリティ上の最大リスク」と回答
セキュリティ企業タレスDISジャパンが発表した「タレス2026年データ脅威レポート」によると、国内企業・組織の73%が「AIをデータセキュリティ上の最大リスク」と回答したことが分かりました。
AIリスクの現状
AIは外部からの脅威だけでなく、企業に信頼されたツールとして導入されることで「内部脅威」としての側面も持っています。企業はAIをワークフロー、分析、カスタマーサービス、開発パイプラインなどに組み込んでいますが、これらのシステムは広範囲にわたり企業が持つデータへのアクセスを自動的に許可している一方で、必ずしも人間ユーザーと同等の管理が適用されていません。
主なリスク要因
- 生成AIによる機密情報の漏洩
- AIを使ったサイバー攻撃の高度化
- AIシステム自体の脆弱性
- AIに付与される「アクセス権限」の不適切な管理
専門家の指摘
タレスDISジャパン株式会社 サイバーセキュリティプロダクト事業本部長の兼子晃氏は、以下のように警鐘を鳴らしています。
内部脅威はもはや人間だけの問題ではありません。過度に信頼された自動化システムもまた、リスクの一因になっています。ID管理、アクセス管理ポリシー、あるいはデータの暗号化が不十分な場合、AIはそれらの弱点を、人間の想像をはるかに超えたスピードで企業環境の弱点を見つけ出し全体に影響を及ぼします。
データ管理体制の課題
AI導入とデータ管理の間には深刻なギャップがあります。
- データの所在把握: 自社が保有するすべてのデータの所在を把握している企業は37%にとどまる
- データ分類: 完全にデータを分類できている企業は42%
- 暗号化状況: 機密性の高いクラウド上のデータの47%が暗号化されていない
AIシステムがクラウドやSaaS環境全体のデータを取り込み、処理・活用するようになるにつれ、どこにどのデータがあり、誰がアクセスできるのかを十分に把握することが困難になっています。最小権限の原則(業務に本当に必要な最小限のアクセス権だけを与える考え方)を徹底することが、これまで以上に困難になっているのが現状です。
ID基盤への攻撃とシークレット管理
現在、ID基盤が攻撃者に最も狙われやすい領域の一つとなっています。
- クラウド攻撃: 受けた組織の66%が、クラウド管理基盤への攻撃では認証情報の窃取が主な手口であると回答
- シークレット管理: 41%の組織が「シークレット管理」をアプリケーションセキュリティにおける最重要課題の一つと位置付けている
シークレット管理とは、マシンIDやAPIキー、トークンなどを大規模に管理・統制することを指し、その複雑化が課題となっています。
AIによる攻撃の高度化
企業がAIの導入を急ぐ一方で、攻撃者も同様にAIを活用しています。
- ディープフェイク: 55%の企業がディープフェイクを用いた攻撃を受けたと報告
- 偽情報・なりすまし: 48%がAIによって生成された偽情報やなりすましキャンペーンに関連する被害を経験
AIは新たなリスクをもたらすだけでなく、従来のリスクも増幅させます。情報漏えいの30%が人的要因(ヒューマンエラー)によるものであり、そこに自動化が組み込まれることで、小さなミスでもより速く、より広範囲に拡大する可能性があります。
セキュリティ投資の現状
多くの企業がAIのアクセス権拡大や自動化の急速な進展への対応の必要性を認識しているものの、投資が十分に追いついているとはいえません。
- AIセキュリティ予算: AIセキュリティに特化した予算を確保している組織は24%にとどまる
- 従来型対策: 57%の組織は、人力対応や境界防御を前提に設計された従来型のセキュリティ対策に依存している
提言
S&P Global Market Intelligence 451 Researchの主席アナリストであるEric Hanselman氏は次のように述べています。
AIが企業のオペレーションに深く組み込まれる中で、データの継続的な可視化と保護は、もはや選択肢ではありません。組織はデータセキュリティ戦略を企業活動の基盤として位置付ける必要があり、革新的なものとして切り離してはいけません。
タレスDISジャパンは、AI戦略に強固なガバナンスを組み込み、ID管理、暗号化、データ可視性を中核とするインフラを構築することで、安全にイノベーションを推進できると提言しています。