AIペンテストがデータセキュリティの議論を2.5倍加速させた理由
アプリケーションセキュリティのペンテストで深刻な脆弱性率が13%なら「いつものこと」と受け流せても、32%となればリリースを止めざるを得ません。Cobaltの「2026年ペンテストの現状」では、AIおよびLLMベースのシステムの平均深刻脆弱性率が32%と、従来のエンタープライズアプリケーションの約2.5倍に達していることが明らかになりました。Cobaltの調査は原因も明示しています。プロンプトインジェクションが他のすべてのカテゴリを上回り、OWASPのLLM Top 10でトップリスクとなっています。
モデルツーリング、プラグインオーケストレーター、リトリーバルパイプライン、コネクタ権限といった新たな攻撃面が登場し、従来のアプリセキュリティツールでは測定できない被害範囲が生まれています。また、AIはセキュリティ、データ、プラットフォームエンジニアリングの各チームをまたいで存在するため、対策の責任範囲も多くの組織で曖昧です。
ペンテスターたちが導き出した結論は、業界が避けてきたものです。AIシステムは単なるアプリの新階層ではなく、構造的にリスクの高いシステム群であり、独自の脅威モデル、独自のセキュアSDLC、独自のランタイム制御が必要です。
5つの重要なポイント
1. AIは従来アプリの2.5倍の深刻脆弱性密度を持つ
Cobaltの2026年ペンテストの現状によると、AIおよびLLMの脆弱性の32%が高リスクと評価されており、従来のエンタープライズアプリケーションの13%と比べて大幅に高い結果です。これは単なるチューニングの問題ではなく、攻撃面の構造的な違いであり、独自の脅威モデル、セキュアSDLC、ランタイム制御が求められます。既存のアプリセキュリティプロセスでAIをペンテストすると、深刻な脆弱性率を実際よりも2倍以上過小評価してしまいます。AIガバナンスは、このギャップを明確に認識することから始まります。
2. プロンプトインジェクションが新たなOWASP LLMトップリスク
HackerOneはプロンプトインジェクションのバグ報告が前年比540%増加したと発表しており、攻撃者がAIの普及ペースに追いついたことを示しています。プロンプトインジェクションは現在、OWASPのLLM Top 10のトップリスクとなっており、モデルツーリング、プラグインオーケストレーター、リトリーバルパイプライン、コネクタ権限といった新たな攻撃面が、従来のアプリセキュリティツールでは測定できない被害範囲を生み出しています。
3. 検知ではなく封じ込めが最大のギャップ
63%の組織がAIエージェントの利用目的制限を強制できず、60%が不正なエージェントを即時停止できず、55%がAIシステムを広範なネットワークアクセスから隔離できていません。ガバナンスと封じ込めのギャップは15〜20ポイントで、組織はAIの監視には投資しても、停止には投資していません。楽観的な予測でも、2026年末には約4分の1の組織が、すでに導入済みのAIシステムに対して基本的な封じ込めすら実現できていない見込みです。キルスイッチのない監査証跡は、侵害の証拠にはなっても、予防策にはなりません。
4. ペンテストは「存在するもの」を発見する
プロンプトインジェクション、ツールコールの悪用、コネクタの誤用はすべてデータ層で収束します。攻撃はモデルに着弾し、被害はデータに及びます。被害範囲を決定する問いは「モデルが騙されるか」ではなく(HackerOneの540%増加がそれを裏付け)、”騙されたときにどのデータに触れるか、何が起きたかを誰が証明できるか”です。アプリケーション層の制御は前半にしか答えられませんが、データ層の制御は両方に答えます。
5. データ層ガバナンスだけが生き残るアーキテクチャ
ABACの強制、FIPS 140-3暗号化、改ざん検知可能な監査ログをデータ層で実装することで、攻撃が発生しても被害範囲を最小化できます。モデルが本来アクセスすべきでないデータを要求しても、ポリシーエンジンが拒否し、その試行がログに記録されます。攻撃は規制インシデントではなく、「拒否の記録」となります。
組織のセキュリティを信じていますか。その証明はできますか?
Read Now
Kiteworksのデータが示すギャップの理由
Kiteworksの2026年予測レポートは、この因果関係を明確に示しています。ペンテストの脆弱性密度の問題は、調査で数値化された「制御の問題」に起因しています。組織はAIの監視には投資しても、停止には投資していません。63%がAIエージェントの利用目的制限を強制できず、エージェントはポリシーに関係なくコネクタで公開された操作が可能です。60%が不正なエージェントを迅速に停止できず、キルスイッチがなく、展開自体をロールバックするしかありません。55%がAIシステムを広範なネットワークアクセスから隔離できず、ベンダーAPIを呼び出すエージェントは自社ファイル共有にもアクセス可能です。
ガバナンスと封じ込めのギャップは15〜20ポイントで、59%が人による監督、58%が継続的モニタリング、56%がデータ最小化を実施しています。計画中の制御導入を楽観的に見積もっても、2026年末には約4分の1の組織が、すでに導入済みのAIシステムに対して基本的な封じ込めすら実現できていない見込みです。2026年予測レポートは、これを「エージェント型AIセキュリティの根本的な緊張関係」と呼び、自然に解消されることはないと指摘しています。
なぜこれはアプリセキュリティではなくデータ層の問題なのか
Cobaltの各攻撃パターンを、実際に被害が発生する場所まで追跡してみましょう。プロンプトインジェクション:モデルが本来受け取るべきでない指示を受け、出力すべきでない結果を生成します。ツールコールの悪用:モデルが本来渡すべきでない引数で関数を呼び出します。コネクタの誤用:モデルが本来アクセスすべきでないシステムにアクセスします。
いずれも攻撃はモデルに着弾し、被害はデータに及びます。つまり、被害範囲を決定する問いは「モデルが騙されるか」ではなく(騙されることは確実で、HackerOneの540%増加がそれを示しています)、”騙されたときにモデルがどのデータに触れるか、何が起きたかを誰が証明できるか”です。アプリケーション層の制御は前半にしか答えられませんが、データ層の制御は両方に答え、規制当局が求める証拠も提供します。
データ層ガバナンスが実際に意味すること
主に3つの制御が重要であり、それぞれがモデルとデータの接点を変えます:
すべてのデータアクセスに対する属性ベースアクセス制御(ABAC)。すべてのAIエージェントリクエストは、データに触れる前にABACポリシーで評価されます。誰が呼び出しているか、どのデータセットを要求しているか、目的は何か、その組み合わせがポリシーで許可されているか。モデルがデータを要求しても、ポリシーエンジンが「NO」と答えます。
顧客管理鍵によるFIPS 140-3認証暗号化。ポリシーエンジンがアクセスを許可しない限り、モデルは復号された大量データを一切見ることができません。AIベンダーの手の届かない場所で管理される顧客鍵により、オーケストレーション層が侵害されても基盤データは守られます。
SIEMにリアルタイムで送信される改ざん検知可能な監査ログ。規制対象データへのすべてのモデル操作が不変の記録として残ります(呼び出し元、データセット、属性評価、ポリシー判断、タイムスタンプ)。規制当局からプロンプトインジェクション発生時の証拠を求められても、即座に回答できます。
Kiteworksのアプローチ:プロンプトが破られても揺るがないガバナンス
Kiteworks Secure MCP ServerおよびAI Data Gatewayは、AIエージェントのやり取りにもデータ層ガバナンスを拡張します。すべてのモデルリクエストが人間ユーザーと同じ制御(すべての呼び出しに対するABAC、顧客管理鍵によるFIPS 140-3認証暗号化、リアルタイムでの改ざん検知可能な監査証跡、シングルテナント分離によるクロステナント攻撃経路の排除)を通過します。
プロンプトインジェクションは今後も発生します。HackerOneの540%増加は今後も続くでしょう。変わるのは被害範囲です。モデルが本来アクセスすべきでないデータを要求しても、ポリシーエンジンが拒否し、監査ログにその試行が記録されます。攻撃は「拒否の記録」となり、規制インシデントにはなりません。Kiteworks Private Data Networkは、このアーキテクチャをメール、ファイル共有、MFT、SFTP、Webフォーム、APIにまで拡張し、すべてを1つのポリシーエンジンと統合監査ログで管理します。
CISOが今四半期に取るべきアクション
まず、AIシステムを脅威モデル上で独立した攻撃面として扱いましょう。プロンプトインジェクション、ツールコールの悪用、コネクタ権限を主な障害モードとしたAI専用の脅威モデリングトラックを構築してください。既存のアプリセキュリティプロセスでは、深刻な脆弱性率を2倍以上過小評価してしまいます。
次に、ガバナンス制御よりも先に封じ込め制御を監査しましょう。ガバナンスは投資しやすい分野ですが(ログ取得にはアーキテクチャ変更が不要)、封じ込めはより困難で重要です。不正なエージェントをキルスイッチで停止できなければ、他の制御は意味を持ちません。
三番目に、アクセス制御をアプリケーション層からデータ層へシフトしましょう。規制対象データへのすべてのモデルリクエストにABAC、FIPS 140-3認証暗号化、顧客管理鍵を適用することが、プロンプトインジェクションの大規模発生にも耐えうる唯一のアーキテクチャです。2026年予測レポートによると、年末時点で24〜36%の組織が基本的なキルスイッチや目的バインディングを欠いているため、データ層の強制がない組織は遅れを取ることになります。
四番目に、プロンプトインジェクション発生時の対応プレイブックをリハーサルしましょう。AIエージェントが許可範囲外のデータにアクセスした場合、SOCはどう対応するのか、誰に通知が行くのか、どのログを抽出するのか、規制当局に提出する証拠パッケージは何か。テーブルトップ演習を通じて、理論上のギャップを規制当局に指摘される前に実務で埋めておきましょう。
AIデータガバナンスの詳細については、カスタムデモを今すぐご予約ください。
よくあるご質問
はい。Cobalt 2026によると、AI/LLMシステムの深刻脆弱性率は32%、従来アプリは13%です。Kiteworks 2026年予測では、目的バインディング、キルスイッチ、ネットワーク隔離といった封じ込め制御が最大のギャップです。プロンプトインジェクションやツールコール悪用を主軸としたAI専用の脅威モデリングトラックを構築し、データ層でのABAC強制や改ざん検知可能な監査証跡と組み合わせてください。
規制対象のAI活用には最低3つの制御が必要です。すべてのモデルリクエストに対するABAC、顧客管理鍵によるFIPS 140-3認証暗号化、改ざん検知可能な監査ログです。PCI DSSでは、カード会員データを必要としないモデルから確実に分離することが求められます。これはモデルではなくポリシーエンジンが強制しなければなりません。HIPAAの「最小限必要」基準もPHIレベルで同様のロジックが必要です。
おそらく、想定されている意味での「安全」ではありません。60%の組織が不正なエージェントを迅速に停止できず、最も一般的なギャップは検知です。すでにインシデントが起きていても気づいていない可能性があります。プロンプトインジェクションのバグ報告が540%増加していることは、攻撃者が追いついている証拠です。重要なのは「インシデントがあったかどうか」ではなく、「監査ログがあれば発生を把握できるかどうか」です。
議論の基軸となる数字は3つあります。深刻脆弱性密度(Cobalt調査で32%対13%)、封じ込めギャップ(Kiteworks 2026年予測で63%が目的制限を強制できず、60%がキルスイッチを欠き、55%がAIをネットワークから隔離できない)、AI活用攻撃の増加率(CrowdStrike調査で前年比89%増)です。これらを合わせて、AIリスクは2027年の話ではなく、今四半期のコンプライアンス最優先事項であることを取締役会に伝えましょう。
部分的には解決できます。商用AIサービスは、アクセス制御や保持ポリシー、プラットフォームレベルの監査ログなど、基本的なガバナンス機能を提供しますが、モデルがコネクタ経由で参照する基幹データに対するABACは提供していません。その境界(データとモデルのインターフェース)は、AIベンダーではなく自社のデータアーキテクチャで強制する必要があります。Kiteworks AI Data Gatewayは、どのAIプラットフォームでもその層をガバナンスします。
追加リソース
- ブログ記事
ゼロトラスト戦略で実現する手頃なAIプライバシー保護 - ブログ記事
77%の組織がAIデータセキュリティに失敗している理由 - eBook
AIガバナンスギャップ:2025年、小規模企業の91%がデータセキュリティでロシアンルーレット状態に - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている