Home > セキュリティとコンプライアンスブログ > No category > セキュリティ対策が追いつかないまま、カスタムAIアプリケーションが次々と本番環境へ

セキュリティ対策が追いつかないまま、カスタムAIアプリケーションが次々と本番環境へ

by Patrick Spencer updated 3月 31, 2026 サイバーセキュリティー・リスク管理

Reading Time: 9 minutes

Gartnerの2026年3月の予測は、セキュリティリーダーが数カ月間感じてきたことに具体的な数字を示しています。2028年までに、すべてのエンタープライズにおけるサイバーセキュリティインシデント対応業務の半数が、カスタム構築されたAIアプリケーションを中心に展開されるというものです。この予測はSecurityBriefで発表されており、AI駆動型ソフトウェアがビジネスプロセスや顧客向けサービスに急速に導入され、セキュリティチームが評価・テスト・対応手順の構築を追いつかせる前に本番環境へ移行している市場状況を反映しています。

Table of Contents

主なポイント

Gartnerは、2028年までにエンタープライズのサイバーセキュリティインシデント対応業務の半数がカスタムAIアプリケーションを含むと予測しています。多くのセキュリティチームは、AI特有のインシデントに対するプレイブック、検知ツール、封じ込め手順を持っていません。
手作業によるAIコンプライアンスプロセスにより、2027年末までに規制対象組織の75%がグローバル収益の5%を超える罰金リスクにさらされます。スプレッドシートやアドホックな証拠収集に依存し続ける組織は、AI導入のたびに拡大する規制リスクを抱えています。
2030年までにIT業務の3分の1が「AIデータ負債」の修復に費やされる これはAIシステムが依存するデータセットに蓄積された弱点です。非構造化、分類が不十分、セキュリティが一貫していないデータがファイル共有、SaaSプラットフォーム、レガシーシステムに広がっており、これが組織のAI戦略の基盤となっています。
セキュリティチームは、問題発生時に調査できないAIシステムを構築しています。AIインシデントはセキュリティイベント、ソフトウェア不具合、データ品質問題、またはそのすべてが同時に発生する場合があり、60%の組織が違いを見分ける異常検知ツールを持っていません。
ガバナンスと封じ込めのギャップにより、多くの組織はAIエージェントの異常動作を監視できても停止できません。63%が目的制限を強制できず、60%が異常エージェントを停止できず、55%がAIを機密システムから隔離できていません。

GartnerのバイスプレジデントアナリストであるChristopher Mixterは、この問題をアーキテクチャの観点で説明しています。これらのシステムは複雑で動的、かつ長期的なセキュリティ維持が困難です。カスタムAIアプリケーションは導入後も変化し続けます。モデルは再学習し、データパイプラインは変化し、統合も進化します。導入時に検証されたセキュリティ前提が、3カ月後には通用しない場合もあります。

Kiteworksの2026年データセキュリティ＆コンプライアンスリスク予測レポートもこの傾向を大規模に裏付けています。調査対象組織の100%がエージェンティックAIの導入計画を持っていますが、60%がAI異常検知を持たず、51%が手動のインシデント対応プレイブックを運用し、52%がリカバリータイムやリカバリーポイント目標をテストしていません。基盤となる機能（イミュータブルなバックアップ68%、監査証跡67%）は存在しますが、カスタムAI導入に必要なAI特有の検知・対応機能は不足しています。

AIインシデントは従来のセキュリティイベントとは異なる

インシデント対応チームは通常、「検知→封じ込め→根絶→復旧」というおなじみの流れで対応しますが、AIシステムはこのモデルを崩します。カスタムAIアプリケーションの障害は、意図しない範囲でモデルが動作し、権限外のデータアクセスが発生するなどセキュリティイベントとして現れる場合もあれば、モデルと下流サービス間の統合障害というソフトウェア不具合、あるいは誤ったデータを取り込んだトレーニングパイプラインというデータ品質問題として現れる場合もあります。多くの場合、これらが同時に発生します。

この曖昧さこそが、AIインシデント対応を本質的に難しくしています。従来のインシデントは影響範囲が明確ですが、AIインシデントは拡散的です。2026年2月にMIT、ハーバード、スタンフォード、CMUの20人の研究者が発表したAgents of Chaos調査では、実際の導入環境でAIエージェントが機密情報を漏洩し、権限のないリクエストに応じ、意図外の行動を実行した事例が記録されていますが、いずれも従来のセキュリティアラートは発報されませんでした。これらの失敗は従来型のエクスプロイトではなく、既存の検知ツールが想定していない新たな挙動でした。

Kiteworks予測では、政府組織が最も厳しい状況にあり、76%がAI異常検知を持たず、76%が手動IRプレイブックを運用しています。ヘルスケアも同様で、64%がAI異常検知を持たず、77%が復旧能力をテストしていません。これらは最も機密性の高い規制データを扱う業界でありながら、Gartnerが2028年までに主流になると指摘するインシデントへの備えが最も遅れています。

手作業AIコンプライアンスは期限付きのリスク

Gartnerの2つ目の予測も明快です。2027年末までに、手作業によるAIコンプライアンスプロセスにより、規制対象組織の75%がグローバル収益の5%を超える罰金リスクにさらされます。この予測は、AIリスク管理をスプレッドシートやアドホックな証拠収集、手動承認ワークフローで行っている組織を対象としています。これらのプロセスは、コンプライアンスが定期的でAIが実験的だった時代には何とか機能していました。

しかし、状況は変わりました。EU AI法は2026年までに段階的に施行され、ハイリスクシステムの義務は2026年8月までに完全施行されます。コロラドAI法も2026年に発効します。カリフォルニア州CPPAの自動意思決定規制は2027年1月から施行開始です。各新規制は、記録・監視・報告すべき範囲を拡大し、四半期ごとのスナップショットではなく継続的な証拠提出を求めています。

Kiteworks予測は運用ギャップを数値化しています。全組織の25%が依然として手動または定期的なコンプライアンスを主要な手法としています。政府組織では38%が手動コンプライアンスに依存し、ヘルスケアは32%です。これらの組織は、コンプライアンスを無視しているからではなく、AI導入のスピードにコンプライアンス基盤が追いつかないため、Gartnerの予測通りのリスクに直面しやすいのです。

AIデータ負債：隠れたインフラ課題

2030年までに、GartnerはIT業務の33%が「AIデータ負債」の修復に費やされると予測しています。これは、組織がAIシステムのために依存する基盤データセットに潜む弱点を指します。非構造化、分類不十分、一貫性のないセキュリティでファイル共有、SaaS、レガシーシステムに分散しているデータが該当します。

これが根本的な課題です。AIアプリケーションのガバナンスは、アクセスするデータのガバナンスレベルに依存します。データ分類が不完全、アクセス制御が一貫せず、保持ポリシーが徹底されていない場合、その基盤上に構築されるすべてのAIシステムも同じ脆弱性を引き継ぎます。

Kiteworks予測はこの点を制御レベルで明らかにしています。61%の組織がシステム全体で一貫したデータタグ付けを強制できず、78%がAIトレーニングパイプラインに入る前のデータ検証ができず、53%がインシデント発生後にトレーニングデータを復旧できません。2026年Thalesデータ脅威レポートはさらに別の側面を示しています。データの所在を完全に把握していると報告する組織はわずか33%です。3分の2の組織が自社データの所在を把握していない状況では、AIデータ負債は将来のリスクではなく、すでに現在進行形のリスクです。

データ損失防止（DLP）プログラムはAI駆動のデータフローにも拡大していますが、その拡大はアーキテクチャの限界に直面しています。生成AIツールやエージェンティックAIシステムが複数ソースから情報を取得するリクエストを監視するには、モデル層やアプリケーション層ではなく、データ層で動作するガバナンスレイヤーが必要です。従来のDLPは人間によるファイル送信を想定して設計されており、AIエージェントがデータシステムを横断してAPIコールを行う状況には対応していません。Black Kite 2026年サードパーティ侵害レポートでは、2025年だけで136件の第三者侵害イベントが検証されており、AIシステムが社内外のデータストアへの自動接続数を拡大することで、攻撃対象領域も複雑化しています。

主権・アイデンティティ・拡大するAI攻撃面

Gartnerの残りの予測は、複合的な圧力の全体像を描きます。2027年までに、30%の組織がクラウドセキュリティ制御の包括的な主権を必要とし、これはデータの所在、アクセス権限、国境を越えたセキュリティ運用に関する地政学的・規制的要請によるものです。2028年までに、CISOの70%がアイデンティティの可視性とインテリジェンス機能を導入し、ID・アクセス管理の攻撃面を縮小します。

これらの予測はいずれもAIセキュリティと直結しています。Kiteworks 2026年データ主権レポートによれば、過去12カ月で3社に1社がデータ主権インシデントを経験しています。Kiteworks予測では29%の組織が国境を越えたAIデータ露出をリスクと認識していますが、AIシステムが実際にどこでデータ処理を行っているか可視化できているのは36%のみです。ストレージ主権だけでは、AI処理が異なる法域で行われる場合に不十分です。

アイデンティティも同様に脆弱です。AIエージェントは、既存のIAMツールが管理対象として想定していない新たな機械アイデンティティを生み出します。CrowdStrike 2026年グローバル脅威レポートでは、検知の82%がマルウェアを伴わないものであり、攻撃者は有効な認証情報や標準ツールを悪用しています。AIエージェントも同様に有効な認証情報や標準ツールで動作するため、正当な自動化行動と認証情報ベースの攻撃の境界線は、AIアイデンティティガバナンスがなければ極めて曖昧になります。

Gartnerはまた、2028年までに半数以上の企業がAIセキュリティプラットフォームを導入し、サードパーティAIサービスとカスタム構築アプリケーションの両方を管理すると予測しています。これはプロンプトインジェクション攻撃、データの誤用、各部門が異なるAIサービスを独自に導入する際の制御不一致が背景です。セキュリティリーダーは、自社ツールが社内外のAI利用双方をカバーし、すべての導入パターンでAIアクティビティの可視化とポリシー強制ができるか評価すべきです。DTEX 2026年インサイダー脅威レポートもこの緊急性を強調しており、シャドーAIが過失インサイダーインシデントの主因となっている一方で、AIをセキュリティ戦略に統合している組織はわずか13%です。

KiteworksによるカスタムAIセキュリティとコンプライアンスギャップへの対応

Gartnerの予測が示すのは、AIシステムが手動プロセスによるセキュリティ・調査・ガバナンスのスピードを上回って導入される市場です。Kiteworksはこれらのギャップに対し、単なる監視レイヤー追加ではなく、どのAIモデル・フレームワーク・エージェントが導入されても独立して動作するデータ層ガバナンスでアーキテクチャ的に対応します。

AIインシデント対応においては、KiteworksがAIエージェントによる機密データへのすべてのアクセスを改ざん検知可能な監査証跡として記録します。誰がエージェントを承認し、どのデータに、どのポリシーで、いつアクセスしたかを一元管理。インシデント発生時、調査担当者は5つのシステムから断片的なログを再構築する必要がなく、証拠はすでに整理・構造化され、エクスポート可能です。

AIコンプライアンス自動化では、Kiteworksが手動レビューゲートを継続的ガバナンスに置き換えます。すべてのAIエージェントワークフローは自動的にコンプライアンス制御（属性ベースアクセス制御（ABAC）、FIPS 140-3認定暗号化、エージェントの目的制限）を継承。事前構築されたコンプライアンスダッシュボードがHIPAA、サイバーセキュリティ成熟度モデル認証、GDPR、PCI DSS、SOXに直接マッピングし、定期監査の慌ただしさを継続的な証拠生成に変えます。

AIデータ負債対策としては、Kiteworksが安全なデータ交換の制御プレーンとして機能します。1つのポリシーエンジン、1つの監査ログ、1つのセキュリティアーキテクチャで、メール、ファイル共有、SFTP、マネージドファイル転送、API、データフォーム、AI連携をSecure MCP Server経由で一元管理。データ分類とアクセス制御をすべてのチャネルで一貫して強制し、「データの所在把握」と「AIによるアクセス制御」のギャップを解消します。

2028年までにセキュリティリーダーが優先すべきこと

第一に、AI特有のインシデント対応プレイブックを今すぐ構築しましょう。Kiteworks予測では、51%の組織が依然として手動IRプレイブックを運用し、89%がサードパーティパートナーとインシデント対応訓練を行ったことがありません。モデル挙動・データ処理・サービス統合にまたがるAIインシデントは、従来型の侵害プレイブックでは調査できません。

第二に、AIコンプライアンス証拠収集を自動化しましょう。Gartnerの「手動コンプライアンスが規制組織の75%に巨額罰金をもたらす」という予測は、単なる予想ではなく明確な期限です。継続的かつ改ざん検知可能なコンプライアンス証拠を生成するプラットフォームを導入し、四半期ごとの監査ファイルから脱却しましょう。

第三に、AIシステムがアクセスするデータの棚卸しと分類を徹底しましょう。Kiteworks予測では、61%の組織が一貫したデータタグ付けを強制できていません。データの内容や所在が不明なままでは、AIによるデータアクセスをガバナンスできません。

第四に、すべてのAI連携にデータ層ガバナンスを導入しましょう。モデル層のガードレールやシステムプロンプトはコンプライアンス制御ではありません。Kiteworks予測では、63%の組織がAIエージェントの目的制限を強制できていません。データ層ガバナンス（ID検証、ABACポリシー強制、証拠品質のロギング）が、モデル・フレームワーク・導入パターンを問わず拡張可能な唯一のアプローチです。

第五に、AIストレージだけでなくAI処理にも主権制御を拡張しましょう。Gartnerは2027年までに30%の組織が包括的なクラウドセキュリティ主権を必要とすると予測しています。Kiteworksデータ主権レポートでは、多くの組織がストレージ以外への主権制御拡張ができておらず、AI処理が監視されない国境を越えたリスクとなっています。

Gartnerの予測は2年間の猶予期間を示しています。この期間にAI対応のインシデント対応、コンプライアンス自動化基盤、データ層ガバナンスを構築した組織は、サイバーインシデントの半数がカスタムAIに関わる世界に備えることができます。そうでない組織は、インシデント発生時に自らのギャップを痛感することになり、それが最も高くつく学び方となるでしょう。

よくある質問

AIサイバーセキュリティインシデントは、セキュリティイベント、ソフトウェア不具合、データ品質問題が複雑に絡み合い、従来のIRプレイブックでは切り分けが困難です。モデルが権限外のデータにアクセスしたり、誤った出力を生成したり、再学習後に予測不能な挙動を示しても、従来型アラートは発報されません。Gartnerの予測では、2028年までにエンタープライズIRの半数がカスタムAIを含むとされ、Kiteworks予測では現時点で60%がAI異常検知を持っていません。

規制対象の金融サービス企業における手作業AIコンプライアンスは、AIデータアクセスの継続的かつ証拠品質の記録が求められる現在、スプレッドシート監査のような定期的な手法では規制要件を満たせず、罰金リスクとなります。Gartnerは、手動アプローチのままでは2027年までに規制組織の75%が収益の5%超の罰金に直面すると予測。EU AI法は金融サービスの高リスクAIに構造化されたリスク管理を要求し、最大3,500万ユーロまたはグローバル売上高の7%の罰則が科されます。

AIデータ負債とは、AIシステムが依存するデータセットに蓄積された弱点（未分類、セキュリティ不十分、ガバナンス不統一なデータがファイル共有、SaaS、レガシーシステムに分散）を指します。Kiteworks予測では、61%が一貫したデータタグ付けを強制できず、78%がトレーニングパイプラインへのデータ投入時の検証ができていません。Gartnerは、AIが社内データストアへのアクセスを拡大する中で、この負債の修復に2030年までにIT業務の33%が費やされると見込んでいます。

エージェンティックAIのガバナンス強化には、モデルやフレームワークに依存しないデータ層での制御が不可欠です。Kiteworks予測では、63%が目的制限、60%がAIエージェントのキルスイッチを持っていません。Kiteworksはデータ層での属性ベースアクセス制御により、目的制限、期間限定権限、改ざん検知可能なロギングをAIプラットフォームを問わず全エージェントに適用します。

カスタムAIアプリケーションにおけるクラウドセキュリティ主権は、ストレージの所在だけでなく処理が行われる法域まで拡張されます。Gartnerは2027年までに30%の組織がクラウドセキュリティ制御の包括的主権を必要とすると予測。Kiteworksデータ主権レポートでは、過去1年で3社に1社が主権インシデントを経験し、AIシステムの実際のデータ処理場所を可視化できているのは36%のみです。地理的アクセス制限付きのシングルテナント導入がこのギャップを解消します。