Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > ガバナンスされていない最大のデータセキュリティ脅威、それがAIエージェントです

ガバナンスされていない最大のデータセキュリティ脅威、それがAIエージェントです

by Patrick Spencer updated 2月 25, 2026 サイバーセキュリティー・リスク管理
Reading Time: 12 minutes

この1年で、エンタープライズセキュリティに静かな変化が起きていましたが、多くの組織は気づいていません。

AIエージェント――自律的に推論し、行動し、エンタープライズリソースと独立してやり取りするシステム――が、パイロットプログラムから本番ワークフローへと移行しました。これらはクラウドリソースの割り当てを調整し、複数ステップのビジネスプロセスを実行し、データベースをクエリし、外部APIとも連携しています。しかも、かなりの自律性を持ち、マシンスピードで、しばしば人間による継続的な監督なしで動作しています。

そして、すべてのCISOが懸念すべき点はここです。これらのエージェントを管理するセキュリティインフラは、導入のスピードに追いついていません。まったく追いついていないのです。

MicrosoftのCyber Pulseレポートによれば、フォーチュン500企業の80%以上が、現在アクティブなAIエージェントを導入しており、その多くはローコードやノーコードツールで構築され、エージェントの作成が開発者だけでなくビジネスユーザーの手にも委ねられています。同レポートは明確な警告も発しています。「これらのエージェントは、一部の企業が把握できるスピードを超えて拡大している」と。こうした可視性のギャップは、単なる小さな不便ではありません。Microsoftはこれを、緊急のガバナンスとセキュリティが必要なビジネスリスクと位置付けています。

もはや「自社がAIエージェントを使うかどうか」が問題ではありません。「制御不能な侵害を起こす前に、ガバナンスを確立できるかどうか」が問われています。

5つの重要ポイント

  1. AIエージェントは、セキュリティチームが把握できるよりも速く拡大している。フォーチュン500企業の80%以上が、ローコードやノーコードツールで構築されたアクティブなAIエージェントを導入しています。MicrosoftのCyber Pulseレポートは、これらのエージェントが「一部の企業が把握できるよりも速く拡大している」と警告し、この可視性ギャップを明確にビジネスリスクと位置付けています。自律システムが独立して推論・行動し、エンタープライズリソースにアクセスできる場合、ガバナンスの欠如は単なるギャップではなく、侵入口そのものです。
  2. 3社に1社が、監督されていないAIエージェントによるデータアクセスを重大な脅威とみなしている。Proofpointの2025年データセキュリティランドスケープレポートによると、32%の組織がAIエージェントによる監督されていないデータアクセスを重大な脅威と認識しています。これらのエージェントはしばしば「スーパーユーザー」として高い権限を持ち、クラウドやハイブリッド環境全体で機密データにアクセスしますが、人間の従業員よりもはるかに少ない監督しか受けていません。
  3. AIエージェントは、隠された指示によってユーザー操作なしで武器化される可能性がある。Trend Microは、マルチモーダルAIエージェントが画像やドキュメントに埋め込まれた隠し指示によって操作され、ユーザーのクリックなしで機密データが流出することを実証しました。arXivの研究者は、悪意あるブログページの隠し指示がRAGベースのエージェントに知識ベースから秘密情報を取得させ、攻撃者が管理するサーバーに送信させるエンドツーエンドの攻撃を構築しました。
  4. 44%の組織が、生成AI利用の十分な監督体制を持っていない。Proofpointは、44%の組織が生成AIの利用(ツールやエージェントを含む)に対して十分な監督体制がないことを認めていると報告しています。Cloud Security Allianceは、Cレベル役員の52%がAI技術に精通していると自己申告しているのに対し、現場スタッフではわずか11%にとどまるという大きな認識ギャップを指摘しています――実際にこれらのツールを日常的に使うのは現場スタッフです。
  5. ガバナンスギャップは財務的な時限爆弾である。データ侵害の平均コストは現在488万ドル(IBM Cost of a Data Breach Report, 2024)。EU AI法違反の罰金は最大3,500万ユーロまたは全世界売上高の7%。GDPR違反の罰金は2,000万ユーロまたは売上高の4%。AI関連のプライバシーインシデントは前年比56.4%増加(Stanford 2025 AI Index Report)。AIガバナンスを証明できない組織は、財務的・法的リスクが複合的に拡大しています。

エージェンティックワークスペースはすでに存在する――しかし多くの組織はその内部を把握できていない

Proofpointの2025年データセキュリティランドスケープレポートは、現在の状況を的確に表現する用語を導入しました――「エージェンティックワークスペース」です。これは、AI駆動の生産性ツールや自律エージェントが人間とともに機密データを扱う運用環境を指します。同レポートの結論は明快です――多くの組織が「この新たなエージェンティックワークスペースを管理するための可視性とコントロールを欠いている」のです。

その結論を裏付ける数字は、深刻な現実を物語っています。回答者のほぼ半数が、クラウドやハイブリッド環境におけるデータの拡散を最大の懸念事項としています。5社に2社が、パブリックまたはエンタープライズの生成AIツールによるデータ損失を主要な懸念としています。3分の1以上が、AIモデルのトレーニングに機密データが使用されることを懸念しています。そして32%の組織が、監督されていないAIエージェント(しばしば「スーパーユーザー」として動作)が重大な脅威であると認識しています。

特に危険なのは、認識と現実のギャップです。Cloud Security Allianceによると、Cレベル役員の52%がAI技術に精通していると自己申告している一方で、スタッフではわずか11%しか同様の認識を持っていません。これはガバナンスの断絶です。AIポリシーを決定する人々は自社の準備状況を過大評価しがちですが、実際にAIツールを使う人々は安全に使うための理解が不足しています。

一方で、44%の組織が生成AI利用の十分な監督体制を持っていないことを認めています。これは、従業員が日常的に使うツールや、エンタープライズワークフローに組み込まれつつあるエージェントも含まれます。

自社のセキュリティを信頼していますか?でも本当に証明できますか

Read Now

AIエージェントが武器化される仕組み:プロンプトインジェクションとデータ流出

もし可視性ギャップだけが問題なら、まだ対処は可能でしょう。しかしAIエージェントは、単なる受動的なリスクにとどまりません。実際に武器化される可能性があり、その証拠となる研究も直近で発表され、警鐘を鳴らしています。

Trend MicroのAIエージェント脆弱性に関する研究では、マルチモーダルエージェントが画像やドキュメントに埋め込まれた隠し指示によって操作されることが実証されました。この攻撃はユーザーの操作を一切必要としません。隠しプロンプトを含むドキュメントや画像が、エージェントに機密データ――氏名、社会保障番号、連絡先、財務情報、保護対象保健情報、企業秘密、認証情報、アップロードされた機密文書など――を流出させる原因となり、ユーザーがそれに気づくことはありません。

攻撃対象はウェブにも及びます。Trend Microは、ウェブ解析エージェントがウェブサイト上の悪意ある埋め込みプロンプトを読み取り、APIキーや連絡先などのメモリ上データを攻撃者が管理する宛先に流出させることを示しました。外部への通信が許可されていれば、エージェントは攻撃者へのデータパイプラインとなってしまいます。

arXivで発表された研究者は、さらに踏み込んだ実証を行いました。彼らは、RAG(検索拡張生成)ベースのAIエージェントに対し、機密プロジェクト情報を含む内部ナレッジベースをクエリし、外部ウェブコンテンツも取得できるツールを使ったエンドツーエンドの攻撃を構築しました。悪意あるブログページには、人間には見えない白地に白文字の隠し指示が埋め込まれていました。エージェントがページの要約を求められると、これらの指示を取り込み、ナレッジベースから秘密情報を取得し、それをURLパラメータに埋め込んで、正規のウェブ検索ツールを使って攻撃者のサーバーに送信しました。

この論文の結論は、すべてのセキュリティリーダーが注目すべき内容です。ツール利用やRAGを備えた現行のLLMエージェントは、間接的なプロンプトインジェクション攻撃に対して「根本的な脆弱性」を持っており、追加の防御レイヤーなしでは組み込みのモデル安全機能だけでは不十分だと指摘しています。

これは理論上の話ではありません。まさに現在エンタープライズで導入されているエージェントアーキテクチャへの実証済み攻撃です。

危機を招く3つの複合的な脆弱性

AIエージェントのリスクは、3つの複合的な脆弱性によって、かつてないエンタープライズリスクを生み出しています。

1つ目の脆弱性は、過剰なデータアクセス――エージェントが到達できるデータ量の多さです。AIエージェントは効果的に機能するために広範なデータアクセスを必要としますが、そのアクセス権が巨大な露出面を生み出します。組織には平均15,000件の有効なまま放置されたアカウントと、31,000件以上の古い権限が存在しており(Varonis 2025 State of Data Security Report)、AIエージェントが導入されるたびに、この膨大な攻撃対象領域に非人間のIDが追加されます。従来のID・アクセス管理は人間向けに設計されており、マシン向けには最小権限の厳密な適用が困難です。自律システムは、人間では不可能なスピードでデータを要求・処理・送信できます。

2つ目の脆弱性は、制御されないデータ利用――エージェントが処理できるデータの種類と、そのデータの行き先です。調査によると、最大のグループ(27%)が、AIツールに送信される情報の30%以上に個人情報(社会保障番号、医療記録、クレジットカード情報、保護された知的財産など)が含まれていることを認めています。さらに17%は、従業員が何を共有しているか全く把握できていません。一度パブリックモデルのトレーニングセットにデータが入ると、回収も削除も制御もできません。汚染は永久的です。

3つ目の脆弱性は、エージェントの操作――プロンプトインジェクション、悪意あるスキル、サプライチェーン攻撃によるエージェントの悪用です。外部サービスやプラグイン、エージェントネットワークと連携するAIエージェントは、Trend MicroやarXiv研究者が実証した間接的なプロンプトインジェクション攻撃に脆弱です。侵害されたAIスキルは、数時間でエージェントネットワーク全体に拡散する可能性があります。自律エージェントは、認証情報の流出、機密ファイルへのアクセス、コンプライアンス違反の発生などを、マシンスピードで――人間のインサイダー脅威よりもはるかに高速に――引き起こします。

これら3つの脆弱性は単独で存在するのではなく、複合的に作用します。過剰なアクセス権を持ち、制御されないデータを処理し、操作されやすいエージェントは、単なるリスクではなく、侵害が起こるのを待っている状態です。

シャドーAIが状況をさらに悪化させる

こうした構造的な脆弱性に加え、「シャドーAI」問題が重なります。生成AIユーザーのほぼ半数が、組織の可視性外で完全に動作する個人用・非公認のAIアプリケーションを利用しています。従業員は日常的に、要約やデバッグ、コンテンツ生成のためにソースコードや規制対象データ、知的財産をこれらのツールにアップロードしており、そのデータがパブリックモデルのトレーニングに使われる可能性を認識していないことも多いのです。

その規模は驚異的です。平均的な組織では、月に223件のAI関連データポリシー違反が発生しており、インシデントの42%はソースコード、32%は規制対象データが占めています(Netskope Cloud and Threat Report 2026)。AI関連のプライバシーインシデントは前年比56.4%増加(Stanford 2025 AI Index Report)。また、98%の企業で従業員が非公認アプリを利用しており、1社あたり平均1,200件の非公式アプリが使われています(Varonis 2025 State of Data Security Report)。

パブリックAIツールへのアクセスをDLPスキャンとともに技術的にブロックしている組織はわずか17%。さらに40%はトレーニングや監査だけに依存し、13%はポリシーすらありません。

AIを完全にブロックすることは解決策になりません――それを試したすべての組織が知っています。従業員は抜け道を見つけ、個人アカウントを使い、スマートフォンから無料ツールにデータをアップロードします。その結果、AI利用が減るどころか、「見えないAI利用」が増え、はるかに危険な状況を生み出します。

ガバナンスギャップは組織が認める以上に深刻

こうしたリスクが高まる中でも、多くの組織は対応が遅れています。AIガバナンスの専任体制を持つのはわずか12%、55%はフレームワーク自体がありません。アナリストが「準備ができている」とみなすAIガバナンス成熟度を達成しているのは9%のみで、23%が「非常に準備ができている」と自己申告していることから、14ポイントの過信ギャップが存在し、これ自体がリスクとなっています。

一方で、86%の組織がAIデータフローの可視性を欠き、45%が「迅速な導入圧力」をガバナンスの最大の障壁と挙げています。技術系リーダーではその割合が56%に跳ね上がります。その結果、業界を問わず同じパターンが見られます――AIエージェントを本番環境に導入しながら、ガバナンスやセキュリティ、コンプライアンスのインフラは、人間だけが機密データにアクセスしていた時代のままなのです。

規制環境は、組織が追いつくのを待ってはくれません。過去1年だけで59件の新たなデータプライバシー規制が施行されました。EU AI法は高リスク違反に対し最大3,500万ユーロまたは全世界売上高の7%の罰金を科します。GDPR違反の罰金は2,000万ユーロまたは売上高の4%。HIPAA、SOX、GLBA、CMMCなどの業界特有の規制も、AIエージェントによる機密データのアクセス・処理・送信と直接関わるコンプライアンス義務を課しています。

AIエージェントにこそゼロトラスト――最適なセキュリティモデル

MicrosoftのCyber Pulseレポートは、セキュリティ専門家がすでに理解している用語で解決策を提示しています――ゼロトラストです。同レポートは、組織が人間ユーザーに適用しているゼロトラスト原則を、エージェントにも適用すべきだとしています――最小権限アクセス、「誰が・何が」アクセスを要求しているかの明示的な検証、そして侵害を前提とした設計思想です。

このフレームワークは直感的にも納得できます。AIエージェントはIDです。認証し、アクセスを要求し、アクションを実行します。人間でないからといって危険性が低いわけではなく、むしろ人間向けのセキュリティ対策では対応できない速度と規模で動作するため、より危険なのです。

エージェンティックワークスペースにゼロトラストを適用するとは、すべてのAIエージェントを認証・認可が必要な個別のIDとして扱うことを意味します。アクセス権は、各タスクに必要最小限に限定されなければなりません。すべてのデータ操作は改ざん不可能な監査証跡として記録される必要があります。異常検知はエージェントの動作速度に合わせてマシンスピードで行われなければなりません。そして、外部へのデータ流出は、侵害されたエージェントや操作されたプロンプト、設定ミスによるワークフローからであっても、確実に管理されなければなりません。

Trend Microの研究もこのアプローチを裏付けており、堅牢なアクセス制御、高度なコンテンツフィルタリング、リアルタイム監視によるデータ漏洩や不正行為の抑止を推奨しています。arXivの研究者も同様の結論を示しており、組み込みのモデル安全機能だけでは不十分で、追加の防御レイヤーが必要だとしています。

理想的なインフラストラクチャとは

エージェンティックワークスペースのセキュリティには、ネットワーク層だけでなくデータ層で動作するインフラが必要です。ネットワークレベルのセキュリティ――プロキシを通過するトラフィックの監視――では、従業員がAIアプリケーションを利用したことは検知できますが、AIエージェントがエンタープライズリポジトリ内でどのデータにアクセスしたか、どのように利用したか、規制当局が求めるようなコンテンツレベルの監査証跡を提供することはできません。

AIガバナンスギャップを埋めるために必要なインフラには、いくつかの本質的な特徴があります。AIシステムとエンタープライズデータの間にゼロトラスト原則を徹底したセキュアゲートウェイを設けること。AIエージェントの実行をサンドボックス化し、侵害されたプラグインやスキルが許可範囲外のリソースにアクセスできないようにすること。既存のガバナンスフレームワーク――ロールベースや属性ベースアクセス制御――を自律エージェントによる操作も含めてすべてのAIインタラクションに拡張すること。すべてのAI-データインタラクションを、ユーザーID・タイムスタンプ・アクセスデータ・利用AIシステムとともに改ざん不可能な監査証跡として記録すること。そして、エージェントが通常アクセスしない大量データを突然要求したり、異常な宛先にデータ送信を試みたりするなどの行動を、マシンスピードで検知・フラグ化することです。

Kiteworks Private Data Networkは、まさにこの課題に特化して設計されています。AI Data Gatewayは、AIシステムとエンタープライズデータリポジトリ間にゼロトラストの橋渡しを行い、データが保護環境から外に出ることを防ぎます。Secure MCP Serverは、OAuth 2.0認証、異常検知、ガバナンスフレームワークの適用によってAIエージェントの実行をサンドボックス化します。また、統合されたマルチチャネルガバナンスにより、ファイル共有、マネージドファイル転送、メール、Webフォーム、API、AIインタラクションまで、すべてを単一のポリシーエンジンと改ざん不可能な監査証跡でカバーします。

規制業界の組織にとっては、導入の柔軟性も重要です。Kiteworksはオンプレミス、プライベートクラウド、ハイブリッド、FedRAMP High環境に対応し、HIPAA、SOX、GDPR、CCPA、CMMC、NIST CSF、ISO 27001、EU AI法に対する事前マッピング済みのコンプライアンスコントロールを提供します。

先送りのコストは、侵害・罰金・回復不能な損害で測られる

AIデータガバナンスの財務的意義は明確です。データ侵害の平均コストは488万ドル。ヘルスケア分野では1,093万ドルに達します(IBM Cost of a Data Breach Report, 2024)。EU AI法の高リスク違反罰金は最大3,500万ユーロまたは全世界売上高の7%。GDPR違反の罰金は2,000万ユーロまたは4%。ソフトウェアサプライチェーン攻撃による損失は業界全体で600億ドルに上ると予測されています。

しかし、最も深刻な損失は定量化が難しいものかもしれません――パブリックAIのトレーニングセットに永久に埋め込まれた知的財産です。一度機密データがパブリックモデルに取り込まれると、回収も削除も制御もできません。競争上の損害は不可逆的です。

今すぐデータ層でAIガバナンスを導入する組織は、リスクを低減するだけでなく、競争優位性も獲得できます――AIをより迅速かつ自信を持って導入し、規制当局・監査人・顧客がますます求めるコンプライアンス証拠を文書化して提示できるのです。

今すぐすべての組織が取るべき3つのアクション

まず、現状を可視化すること。見えないものは管理できません。AI-データインタラクションをすべてのチャネル――ウェブトラフィックだけでなく、ファイル共有、メール、API、エージェントワークフローまで――で監視できる体制を導入しましょう。機密データがAIシステムにどこから流れているのか、それが許可され、記録され、コンプライアンスに適合しているかを特定します。44%の組織が監督体制の不備を認めている以上、自社も例外ではないと考え、証明できるまで疑いましょう。

次に、すべてのAIエージェントにゼロトラストを拡張すること。すべてのAIエージェントを、認証・認可・アクセス制御が必要な非人間IDとして扱い、マシンスピード運用に対応した追加の安全策も講じましょう。最小権限アクセスを徹底し、エージェントの実行をサンドボックス化し、異常行動を監視します。どのエージェントも、担当タスクに必要な範囲を超えてデータにアクセスできないようにしましょう。

最後に、ガバナンスを組み込んだAI活用を実現すること――AI利用をブロックしない。AI利用を全面禁止しようとする組織は、必ずその戦いに敗れます。従業員は抜け道を見つけ、シャドーAIが蔓延します。持続可能なアプローチは、従業員が生産的にAIツールを活用しつつ、機密データが保護環境から出ないようにするインフラです。生産性を妨げず、裏側で自動的にガバナンスが機能する仕組みこそ、スケールする唯一のモデルです。

エンタープライズAI革命は、もはや「これから来る」のではありません。すでに始まっています。問われているのは、あなたの組織がAIをガバナンスできるか――それとも、その結果に支配されるかです。

Kiteworksがどのように支援できるかを知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

従来のAIチャットボットは、限定されたインターフェース内でプロンプトに応答し、自律的な行動は取りません。AIエージェントは本質的に異なり、推論・計画・自律的な行動をエンタープライズシステム全体で実行し、データベースのクエリ、APIの呼び出し、複数ステップのプロセス実行、データ送信などを最小限の人間監督で行います。この自律性こそがセキュリティリスクを生みます。エージェントは単なる質問応答ではなく、機密データにアクセスできる特権的な非人間IDとして動作し、人間向けのセキュリティ対策では想定されていない速度と規模で活動します。侵害や操作を受けると、アラートが発報される前に数千件の記録を流出させることも可能です。

間接的なプロンプトインジェクションは、AIエージェントが処理するコンテンツ――ドキュメント、画像、ウェブページなど――に隠し指示を埋め込み、エージェントの元々のプログラムを上書きさせる攻撃です。エージェントがそのコンテンツを処理すると、攻撃者の指示を実行します。Trend Microは、これによりユーザー操作なしでデータ流出が発生することを実証しました。arXivの研究者は、RAGベースのエージェントに内部機密を取得させ、攻撃者サーバーに送信させる実働エクスプロイトを構築しました。従来のセキュリティツール――DLP、ファイアウォール、エンドポイント保護――では、流出がエージェント本来の正規チャネルを通じて発生するため防げません。

シャドーAIとは、従業員が組織の管理外で非公認AIツール――個人アカウント、無料製品、ブラウザ拡張など――を利用することを指します。調査によると、98%の企業で従業員が非公認アプリを利用しており、平均的な組織で月223件のAI関連データポリシー違反が発生しています。この露出は永久的です。従業員がソースコード、医療記録、財務データ、知的財産をパブリックAIモデルにアップロードすると、そのデータがモデルのトレーニングセットに組み込まれる可能性があります。一度取り込まれると、回収も削除も制御もできません。AIを完全にブロックしても解決せず、むしろ利用が地下化し、管理できない露出が生じます。

AIエージェントへのゼロトラストは、人間ユーザーに適用する原則と同様ですが、マシンスピード運用への追加対策が必要です。すべてのエージェントを明示的な認証・認可が必要な個別IDとして扱います。アクセス権は各タスクに必要な最小限に限定し、広範なリポジトリアクセスは認めません。すべてのデータ操作は改ざん不可能な監査証跡として記録されます。異常検知はマシンスピードで実行し、大量データ要求や予期しない宛先への送信などの異常行動をフラグ化します。また、外部へのデータ流出も管理し、侵害されたエージェントが正規チャネル経由でデータを流出させることを防ぎます。ロールベースや属性ベースのアクセス制御も非人間IDに明示的に拡張する必要があります――多くのIAMシステムはエージェントを想定していません。

現在、主要なフレームワークがAIエージェントガバナンスと直接交差しています。EU AI法は高リスク違反に最大3,500万ユーロまたは全世界売上高の7%の罰金を科し、人間による監督とデータトレーサビリティの文書化を要求します。GDPRは、個人データ処理(自動化エージェントによるものも含む)に対し合法的根拠と適切な保護措置を求めます。HIPAAは、保護対象保健情報に関わるすべてのシステムにアクセス制御と監査証跡を義務付けます。CMMCは、制御されていない分類情報を扱う連邦請負業者にFedRAMP認証済みソリューションを要求します。GLBAは金融データアクセスの保護を義務付けます。過去1年だけで59件の新たなデータプライバシー規制が施行されており、AIガバナンスは業界横断でベストプラクティスからコンプライアンス要件へと移行しています。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:決して信頼せず、常に検証する
  • 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
  • ブログ記事 DSPMで機密データが検出された後のセキュリティ対策
  • ブログ記事 ゼロトラストアプローチで生成AIの信頼性を高める方法
  • 動画 ITリーダーのための機密データ安全保管決定版ガイド

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks