AIデータセキュリティレポート：83%の組織が基本的な管理策を未導入 AIデータセキュリティレポート：83%の組織が基本的な管理策を未導入

Kiteworksによる新たな業界調査は、組織におけるAIセキュリティの認識と実際の備えの間に重大なギャップが存在することを明らかにしました。本調査はサイバーセキュリティおよびIT担当者461名を対象に実施され、従業員がChatGPTなどのAIツールへ機密データをアップロードするのを防ぐ自動化された技術的コントロールを導入している企業はわずか17%であることが判明しました。残りの83%は、研修や警告メール、ガイドラインといった人に依存した非効率的な対策に頼っており、13%はポリシーすら存在しません。このセキュリティの欠如に加え、33%の経営層がAI利用の包括的な追跡ができていると過信している一方で、独立調査では実際に機能するガバナンス体制を持つ企業はわずか9%にとどまるという危険な過信ギャップも浮き彫りになっています。

データ露出の範囲も深刻で、27%の組織がAIツールに送信する情報の30%以上に社会保障番号、医療記録、クレジットカード情報、営業秘密などの個人データが含まれていることを認めています。さらに17%は従業員がAIプラットフォームで何を共有しているか全く把握できていません。従業員による無許可のAIツール利用、いわゆる「シャドーAI」の急増により、目に見えないデータ漏洩ポイントが数千箇所に及んでいます。組織の86%がAIデータフローを把握できず、平均して1,200もの非公式アプリケーションが存在する中、機密情報は日常的にAIシステムへ流入し、AIの学習モデルに恒久的に組み込まれ、競合他社や悪意ある第三者にアクセスされるリスクが生じています。

規制コンプライアンスも、規制強化の加速により新たな重要課題となっています。米国当局は2024年に59件のAI規制を発出し、前年の2倍以上となりましたが、AIに関する懸念事項の上位にコンプライアンス違反を挙げている企業はわずか12%です。現状の運用では、GDPR、CCPA、HIPAA、およびSOX規制の特定条項が日常的に違反されています。AIとのやり取りの可視性がなければ、データ削除要求への対応や、必要な監査証跡の維持、規制審査時のコンプライアンス証明ができません。漏洩した認証情報の是正にかかる中央値は94日と長期化し、その間に攻撃者に悪用されるリスクが高まります。

本レポートは、組織が直ちに取るべき4つの緊急アクションを提言しています。実際のAI利用状況を正直に監査し、過信ギャップ（300%）を埋めること。人依存の対策が一貫して失敗しているため、自動化された技術的コントロールを導入すること。すべてのAI関連データの動きを追跡できる統合型のデータガバナンス指令センターを構築すること。そして、全プラットフォームを対象にリアルタイム監視を行う包括的なリスク管理を実施することです。AIの爆発的普及、セキュリティインシデントの急増、規制強化の収束により、対応の猶予は急速に失われつつあります。今AI利用のセキュリティを確保できなければ、組織は重大な規制罰則、評判毀損、競争力低下に直面し、今日共有された機密データがAIシステムに恒久的に組み込まれるリスクが残ります。

追加リソース

ブログ記事ゼロトラストアーキテクチャ：信頼せず、常に検証

ブログ記事レポート：機密性の高いコンテンツ通信の保護はこれまで以上に重要

ブログ記事ゼロトラストをコンテンツ層へ拡張するとは何か

ブログ記事生成AI時代の機密データ保護：リスク、課題、解決策

ブログ記事データプライバシーのためのゼロトラスト：実践的なコンプライアンスと保護アプローチ

まずは試してみませんか？