見えないAI:2026年のガバナンスを左右する「可視性」問題
主なポイント
- AI全体の可視性はゼロ。 全CISOがAI運用の完全な可視性を報告しておらず、66%が組織内でシャドーAIの存在を認めています。
- クライアントサイドAIが新たなフロンティアに。 ウェブサイト上のAIスクリプト、ウィジェット、プラグインが、従来のセキュリティ監視範囲外で機密データを収集しています。
- 分散したコントロールがガバナンスを制限。 中央集約型のAIデータゲートウェイを維持している組織は43%のみで、大半は部分的または拡張性のない保護にとどまっています。
- アーキテクチャが可視性ギャップを解決。 統合されたデータ交換コントロールプレーンにより、定期的なスキャンに頼らず、継続的かつポリシーベースのAIガバナンスを実現します。
Reflectizの分析は、PenteraのAIセキュリティ&エクスポージャーベンチマーク2026(米国CISO 300名を対象とした調査)をもとに、セキュリティリーダーがここ1年で疑ってきたことを裏付けました。すなわち、AIの運用状況を組織全体で完全に把握しているCISOはゼロであり、66%が限定的な可視性しか持たず、シャドーAIの存在を認めています。Reflectizの分析は、この傾向がクライアントサイドのウェブ層にも及んでいることを示しています。AI搭載のサードパーティスクリプト、トラッキングピクセル、レコメンデーションエンジン、チャットボットプラグインが、従来のセキュリティツールの監視範囲外で個人情報や機密データを収集・処理しています。
この発見は、2026年のガバナンス課題を明確に示しています。すなわち「見えないAIはガバナンスできない」。NIST AI RMF、EU AI法、州レベルのAI規制、HIPAA、SECのサイバーセキュリティ開示要件など、あらゆるAIガバナンスフレームワークは、組織がAIの利用状況、取り扱うデータ、設定内容を把握していることを前提としています。しかし、この前提はもはや成立しなくなっています。
5つの主なポイント
1. クライアントサイドAIが新たなシャドーAIのフロンティア
ウェブサイトに埋め込まれたAIスクリプト、ウィジェット、プラグインは、従来の監視範囲外で機密データを収集・処理しています。マーケティングページやカスタマーポータルに読み込まれるAIチャットボットプラグイン、レコメンデーションエンジン、トラッキングスクリプトはすべてデータプロセッサであり、その多くは担当するセキュリティチームから見えません。四半期ごとに環境をテストしている組織は、年1回のテスト組織(71%)よりもAIセキュリティへの自信が高い(80%)というPenteraのベンチマーク結果も出ています。
2. 多くの組織が自社のAIフットプリントを把握できていない
Kiteworks 2026年予測によると、中央集約型AIデータゲートウェイを持つ組織は43%のみ。27%は1~2件のAIパイロットを超えて拡張できない分散型コントロール、19%は一貫性のないポイントソリューション、7%はAIガバナンスコントロール自体を持っていません。分断されたアーキテクチャ上に構築されるガバナンス投資は、部分的・陳腐化・矛盾のいずれかに陥ります。
3. 可視性ギャップは取引先にも広がっている
Kiteworks 2026年予測によると、パートナーがAIシステムでデータをどう扱っているか可視化できている組織はわずか36%。残りはアンケートや契約文言に頼っていますが、これらはAI機能が毎月リリースされるSaaSのサイクルを捉えられません。89%の組織はパートナーと共同インシデント対応演習を一度も実施しておらず、AI関連のインシデントでは初回対応が「本番」となっています。
4. 可視性はスキャンの問題ではない
定期的なスキャンやベンダーリスク評価では、AI機能がエンタープライズツールやウェブサイトに組み込まれるスピードに追いつけません。AI機能は毎月リリースされ、AIプラットフォームへのOAuth許可は個々の従業員が承認し、エージェント型AIは複数システム間でツール呼び出しを数秒で連鎖させます。日々変化する環境の「ある時点」のスナップショットは、もはやコントロールではなく、過去の記録にすぎません。
5. 可視性はアーキテクチャの問題
唯一持続可能な解決策は、すべてのAIリクエスト(プラグイン、ウィジェット、エージェント、RAGパイプラインなど)が同じポリシーエンジンで認証・記録・管理される統合データ交換コントロールプレーンを構築することです。AIツールがガバナンスされたデータ層を経由しなければ機密データにアクセスできない仕組みにすれば、監査証跡の可視性はアーキテクチャの副産物となり、別途プログラムを立ち上げる必要がなくなります。
シャドーAIは単一の現象ではない—5つの現象が並行して進行
「シャドーAI」という単語だけで語ると問題の本質を見誤ります。シャドーAIは今や少なくとも5つの異なる現象であり、それぞれに脅威モデルとコントロールギャップがあります。
エンドポイントでの従業員主導型シャドーAI。 DTEX 2026 Insider Threat Reportは、シャドーAIが不注意なインサイダーインシデントの主因であることを指摘しています。未監視のファイル共有や個人Webメールと並び、インサイダーリスクによる年間損失は1組織あたり1,950万ドルにのぼります。92%が生成AIによって従業員の情報共有方法が変化したと回答する一方、AIをセキュリティ戦略に統合しているのはわずか13%。このギャップこそがエンドポイント層でのシャドーAIの定義です。
ウェブサイト上のクライアントサイドAI。 サードパーティのAIウィジェット、チャットボットプラグイン、レコメンデーションエンジン、トラッキングスクリプトがマーケティングページやカスタマーポータル、ECチェックアウトに読み込まれ、行動データ、個人情報、決済シグナル、場合によってはセッションレベルのコンテンツまで収集します。これらはエンドポイントセキュリティツールやSIEM、DLPの監視外です。
エンタープライズSaaS内のAI。 過去18カ月であらゆるエンタープライズツールがAIアシスタントを追加しました。オブザーバビリティプラットフォーム、CRM、コラボレーションスイート、チケット管理、コードエディタなどです。各ツールには機密データへのアクセス、信頼できない入力の処理、外部リクエストの発信ができるAIコンポーネントがあり、その多くは顧客組織で脅威モデル化されていません。
エージェント層で動作するAIエージェント。 Kiteworks 2026年予測によれば、インシデント時にAIエージェントを迅速に停止できない組織は60%、エージェントの権限に目的制限を設けていない組織は63%にのぼります。エージェント型AIは、1つのエージェントが複数のツールとデータストアを連鎖的に呼び出せるため、侵害時の被害範囲が拡大します。
パートナーエコシステム内のAI。 WEFグローバルサイバーセキュリティアウトルック2026は、サプライチェーンで最も懸念されるリスクとして「継承リスク」(サードパーティソフトウェアやサービスの完全性を保証できないこと)を挙げています。パートナーは自社のワークフローにAIを導入し、しばしば自社データも処理しています。パートナーがAIシステムでデータをどう扱っているか可視化できている組織はわずか36%。多くの可視化プログラムは、これら5つの側面のうち1~2つしかカバーできていません。
コントロール成熟度データが示す「まだ構築されていないシステム」
Kiteworks 2026年予測は、業界横断で組織を調査し、共通の傾向を明らかにしました。すなわち認識は高いが、コントロールは不十分という現状です。AIセキュリティの主な懸念トップ5は、サードパーティAIベンダーの取り扱い(30%)、トレーニングデータのポイズニング(29%)、出力を通じたPII漏洩(27%)、AIによるインサイダー脅威の増幅(26%)、シャドーAI(23%)であり、いずれも既存コントロールがほとんど及んでいません。
サードパーティAIの取り扱いを可視化できているのは36%、トレーニング前のバリデーションを実施しているのは22%、AI運用に目的制限を設けているのは37%、PII感度の高い出力に人間が介在するレビューを行っているのは59%のみ。シャドーAIの発見ツールを専用で導入している組織はごくわずかです。
業界ごとの差も顕著です。政府機関は1世代遅れで、90%が目的制限なし、76%がキルスイッチなし、33%がAI専用コントロール自体を持っていません。医療業界はPHIの機密性にもかかわらず、77%がリカバリータイム目標のテスト未実施、64%がAI異常検知なし。製造業はあらゆる面で死角が多く、67%がデータ分類や可視性のギャップを指摘し、これは世界平均より21ポイント高い数値です。
これらの組織は、2026年にAI関連インシデントに直面した際、十分なテレメトリや実効性のあるポリシー、規制当局に説明できる一貫した記録がないまま、事後対応を迫られることになります。
なぜ定期スキャンやベンダーアンケートでは追いつけないのか
従来のサードパーティリスク管理ツールは、より変化の遅い時代を前提に作られていました。年次のベンダーアンケート、定期的なDPIA、四半期ごとのペンテスト、時点リスク評価などは、評価間でリスクの表面が安定していることを前提としています。しかしAIはこの前提を崩しました。
AI機能は毎月エンタープライズSaaSにリリースされ、クライアントサイドAIウィジェットはマーケティングチームがセキュリティレビューなしで追加可能。AIプラットフォームへのOAuth許可も個々の従業員が承認でき、エージェント型AIは複数システム間でツール呼び出しを数秒で連鎖させます。つまり、1つのプロンプトが1時間で人間の1週間分以上のデータに触れることも可能です。
Penteraの調査で、四半期ごとのテストがAIセキュリティへの自信向上(80%対71%)と相関するという結果も出ていますが、それでもスキャン間の3カ月間は「ドリフト」が生じます。求められるのは、データ交換と連動した継続的かつポリシーベースのガバナンスであり、並行して実施する定期スキャンではありません。
AIの可視性をスキャンの問題ではなくアーキテクチャの問題として捉えるべき理由はここにあります。スキャンは既に存在するAIを発見できますが、アーキテクチャは未管理AIが機密データにアクセスすること自体を防げます。
アーキテクチャの論点:スキャンによる可視性ではなく、標準での可視性
AI可視性ギャップへの唯一持続可能な解決策は、構造的なものです。すべてのAIリクエスト(プラグイン、ウィジェット、エージェント、RAGパイプラインなど)がガバナンスされたデータ層を通過する仕組みを構築すれば、可視性はアーキテクチャの副産物となり、別途プログラムを立ち上げる必要はありません。
Kiteworksのプライベートデータネットワークは、メール、ファイル共有、マネージドファイル転送、SFTP、ウェブフォーム、API、AI連携を、1つの強化プラットフォーム上で統合し、1つのポリシーエンジン、統合監査ログ、統一されたセキュリティ体制を実現します。Kiteworks Secure MCP ServerとAIデータゲートウェイは、このガバナンス層をAIプラットフォームにも拡張。すべてのAIデータリクエストはOAuth 2.0で認証され、ロールベースや属性ベースアクセス制御で評価され、リアルタイムで記録され、大量列挙を防ぐためにレート制限されます。
このアーキテクチャの影響は大きいです。AIツールがガバナンスされたデータゲートウェイ経由でしか機密データにアクセスできない場合、組織はすべてのAIデータインタラクションのインベントリを自動的に取得できます。すべてのリクエストがデータ返却前にポリシー評価されることで、権限のないAIツールによる情報流出も防げます。監査ログが全チャネルで統合されていれば、インシデント後のフォレンジック調査も数カ月かかる相関作業ではなく、クエリで済みます。
規制当局も、定期的なレビューではなく継続的な監視、広範なロールベース権限ではなくきめ細かなアクセス制御、12個のベンダーログではなく統合監査証跡を求める傾向が強まっています。統合ポリシーエンジンの副産物として生成される統合監査ログこそ、規制当局が求め始めている証拠です。
今後90日間で組織が取るべきアクション
まず、エンドポイントツールだけでなく、すべてのAI接点をインベントリ化しましょう。ウェブサイト上のクライアントサイドスクリプト、エンタープライズSaaSのAI機能、IDプロバイダーでのOAuth許可、ワークフロー全体のエージェント、パートナーが運用するAIシステムまで。インベントリ化していないものはガバナンスできません。
次に、デジタル資産のクライアントサイド継続スキャンを実施。Content Security Policyコントロールやスクリプト許可リストを導入しましょう。すべてのサードパーティAIウィジェットをGDPR、CCPA、または適用されるプライバシーフレームワークの下でデータプロセッサとみなし、高リスク連携にはDPIAを義務付けます。
三つ目に、ベンダーアンケートから、パートナーのAI運用を常時監視する体制へ移行しましょう。最も機密性の高いデータを扱うパートナーから始め、AIシステムのテレメトリ、共同インシデント対応計画、実際の演習(机上シミュレーションではなく)を要求します。
四つ目に、コントロールギャップを埋める前にアーキテクチャギャップを解消しましょう。メール、ファイル共有、MFT、SFTP、ウェブフォーム、AI連携を1つのガバナンスデータ層に統合します。統合コントロールプレーンがあれば、以降のAIガバナンス投資の基盤となります。分断されたアーキテクチャでは、すべてのコントロールが部分的または矛盾することが保証されてしまいます。
五つ目に、AIの可視性を取締役会レベルのリスク報告に組み込みましょう。WEF 2026年レポートでは、サプライチェーンリスクが2年連続でCISOのサイバー課題2位となっています。特に政府系では、取締役会の71%がAIガバナンスにまだ関与していません。AIツールのリストではなく、「AIがデータ交換スタックのどこに位置するか」というアーキテクチャの意思決定として課題を提示しましょう。
よくあるご質問
インフラ層でContent Security Policyコントロールやスクリプト許可リストを導入し、新規スクリプトが正式なレビューではなく軽量なセキュリティゲートを通過する仕組みにしましょう。運用モデルは定期承認ではなく継続スキャンです。Penteraのベンチマークでは、四半期ごとのテストが年1回のテストよりもAIセキュリティへの自信を高める(80%対71%)ことが示されています。すべてのサードパーティAIウィジェットを、該当するプライバシーフレームワーク下でDPIAが必要なデータプロセッサとして扱いましょう。
はい。個人データを収集・処理するAIスクリプトやウィジェットは、GDPR第28条の下でデータプロセッサに該当し、DPA要件や高リスク処理に対するDPIA義務、侵害通知責任が発生します。Kiteworks 2026年予測によると、パートナーAIの取り扱いを可視化できている組織は36%のみで、多くの規制企業は監査・ガバナンスできないプロセッサ関係で運用しています。
既存コントロールはマルウェア、フィッシング、ネットワーク侵入など従来型攻撃ベクトル向けに設計されています。AIはプロンプトインジェクション、エージェント悪用、未管理サードパーティ処理、クライアントサイドスクリプトによる情報流出など、従来カバーできない新たなリスク経路を生み出します。Kiteworks 2026年予測では、AIリスクがセキュリティポートフォリオで最も急増している一方、コントロール導入は懸念スコアに追いついていません。既存コントロールは必要ですが、AIガバナンスには十分ではありません。
すべてのエージェントによるデータリクエストを、認証・ポリシー評価・リアルタイム監査ログ付きのガバナンスデータゲートウェイ経由でルーティングしましょう。Kiteworks Secure MCP ServerとAIデータゲートウェイがこのパターンを実装しており、可視性はアーキテクチャの副産物となり、別途スキャンプログラムを設ける必要がありません。現在、63%の組織がエージェント権限に目的制限を設けていないため、データ層でのガバナンスが唯一持続可能なコントロールとなります。
ポイントツールはプロンプトインジェクション検知、PIIマスキング、エージェント監視など問題の一部しか解決できず、アーキテクチャが分断されたままです。コントロールプレーンは、メール、ファイル共有、MFT、ウェブフォーム、API、AI連携を1つのポリシーエンジンと監査ログで統合します。Kiteworksプライベートデータネットワークは、アーキテクチャの副産物として統合可視性を生み出し、AI導入が加速しても唯一スケールするモデルです。
追加リソース
- ブログ記事
手頃なAIプライバシー保護のためのゼロトラスト戦略 - ブログ記事
77%の組織がAIデータセキュリティに失敗している理由 - eBook
AIガバナンスギャップ:91%の中小企業が2025年にデータセキュリティでロシアンルーレット状態 - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている
よくあるご質問
Penteraの2026年ベンチマーク調査をReflectizが分析した結果、組織全体のAI運用を完全に可視化できていると報告したCISOはゼロであり、66%が限定的な可視性しか持たず、シャドーAIの存在を認めています。
AI機能は毎月リリースされ、クライアントサイドウィジェットはレビューなしで追加され、エージェント型AIは数秒で複数システムを連鎖的に呼び出します。時点評価では数カ月のギャップが生じるため、統合データ層による継続的かつポリシーベースのガバナンスだけが有効なアプローチです。
シャドーAIは、エンドポイントでの従業員主導ツール、ウェブサイト上のクライアントサイドAIスクリプト、エンタープライズSaaS内のAI機能、エージェント層の自律型AIエージェント、エコシステム内パートナーが導入するAIシステムの5種類に分類されます。
エンドポイント以外も含め、すべてのAI接点(クライアントサイドスクリプト、SaaSツールのAI機能、OAuth許可、ワークフロー全体のエージェント、パートナー運用のAIシステム)をインベントリ化しましょう。インベントリ化していないものはガバナンスできません。