Press Release

組織はAIの導入を急ぐが、それに見合ったセキュリティとコンプライアンスの管理が整っていない

Kiteworksは、組織がプライベートデータの送信、共有、受信、使用のリスクを効果的に管理できるようにするため、サイバーセキュリティ、IT、リスク管理、コンプライアンスの専門家461人を対象にしたAIデータセキュリティとコンプライアンスリスク調査の結果を発表しました。この調査はCentimentによって実施され、重要な実施上の失敗を明らかにしています。組織のわずか17%がDLPスキャンと組み合わせた公共AIツールへのアクセスをブロックする技術的なコントロールを持っており、26%は公共AIツールで取り込まれるデータの30%以上がプライベートデータであると報告しています。

これらの調査結果は、AI関連のインシデントが急増している中で浮上しています。スタンフォードの2025年AIインデックスレポートによると、AIプライバシーインシデントは前年比56.4%増加し、昨年は233件に達しました。Kiteworksの調査は、組織が依然として準備不足であることを明らかにしています。40%がトレーニングと監査を通じてAIツールの使用を制限し、20%は監視なしで警告に頼り、13%は公共AIツールの使用に関する特定のポリシーを持っていません。これにより、大多数が新たな脅威に対して脆弱な状態にあります。

“私たちの研究は、AIの採用とセキュリティの実施の間に根本的な断絶があることを示しています。”とKiteworksのチーフマーケティングオフィサー、ティム・フリーストーンは述べています。”技術的なブロッキングコントロールとDLPスキャンを持つのがわずか17%であるとき、私たちはシステム的なガバナンスの失敗を目の当たりにしています。Googleがゼロデイ攻撃の44%がデータ交換システムを標的にしていると報告している事実は、組織が保護に依存しているシステムそのものを弱体化させています。”

業界ベンチマークが危険な過信のギャップを明らかに

Kiteworksの調査は、AIガバナンスの準備における重大な過信の危機を明らかにしています。調査回答者の3分の1が包括的なガバナンスコントロールと追跡を行っていると主張していますが、これはガートナーの調査結果と大きく対照的です。ガートナーによれば、専用のAIガバナンス構造を持つ組織はわずか12%であり、55%は何のフレームワークも持っていません。この認識と現実の間の劇的なギャップは、前例のないリスク露出を生み出しています。

デロイトの調査はさらに厳しい文脈を提供しています。組織のわずか9%が「準備完了」レベルのAIガバナンス成熟度を達成している一方で、23%が「非常に準備が整っている」と主張しています。これは14ポイントの過信のギャップです。この不一致は、業界調査によれば、86%の組織がAIデータフローの可視性を欠いていることを考えると特に懸念されます。

適切なコントロールなしでAIを採用する動きが加速しています。最近のEYの調査によれば、技術企業の48%がすでにAIエージェントを展開しており、92%がAIへの投資を増やす計画を立てています。これは2024年3月から10%の増加です。しかし、この熱意はEYが「大きな圧力」と呼ぶROIを示す必要性を伴い、セキュリティよりもスピードを優先するインセンティブを生み出しています。

“自己申告された能力と測定された成熟度の間のギャップは、危険な組織的盲点を表しています。”とKiteworksのコーポレートマーケティングおよびリサーチ担当VP、パトリック・スペンサーは説明しています。”ガバナンスを主張する組織が、デロイトによれば追跡が予想以上に多くのリスクを明らかにし、91%が基本的または進行中のAIガバナンス能力しか持っていないとき、この過信は脅威がエスカレートしているときにリスク露出を倍増させます。”

法務部門が実施認識ギャップを例示

Kiteworksの調査によれば、法務専門家はデータ漏洩について31%の最高の懸念を報告していますが、実施は依然として弱いです。15%は会社データを使用する公共AIツールに関する特定のポリシーやコントロールを持っておらず、19%は監視されていない警告に頼っています。

この実施ギャップはプライバシー投資戦略においてより顕著になります。すべての組織の23%がAIシステムの導入前に定期的な監査を伴う包括的なプライバシーコントロールを維持していますが、法務企業のわずか15%が正式なプライバシーコントロールを持たず、迅速なAI採用を優先しています。これはすべてのセクターの平均23%に対して8ポイントの改善ですが、彼らの信託義務を考えると依然として懸念されます。

この断絶は、トムソン・ロイターのデータと一致しています。法務企業の41%のみがAIポリシーを持っている一方で、95%がAIが5年以内に中心的な存在になると予想しています。この法務部門における現在の準備と将来の期待の間のギャップは、前例とリスク軽減に基づく業界が変革的技術を受け入れる一方で重要なセキュリティ実施を先送りする傾向を例示しています。

AIセキュリティギャップ: 認識と現実が交わるとき

公共AIツールへのアクセスをブロックする技術的コントロールをDLPスキャンと組み合わせて実施しているのがわずか17%であるという調査結果は、進化する脅威の状況を考えるとさらに懸念されます。Googleの研究によれば、ゼロデイ脆弱性の44%がデータ交換システムを標的にしており、企業を対象としたゼロデイの60%がセキュリティおよびネットワーキングツールを悪用しています。これらは機密データを保護するためのシステムです。

リスクの認識にもかかわらず、Kiteworksの調査は、組織が脆弱性への対処において深く分かれていることを示しています:

• 34%がデータ最小化と選択的プライバシー強化技術を用いたバランスの取れたアプローチを報告
• 23%が定期的な監査を伴う包括的なプライバシーコントロールを維持
• 10%が基本的なプライバシーポリシーを持ちつつAIの革新を優先
• 10%が法的に必要な場合にのみコンプライアンスに焦点を当て、プライバシーの懸念に反応的に対処
• 23%が正式なプライバシーコントロールを持たず、迅速なAI採用を優先

弱いコントロール、限られた可視性、エスカレートする脅威の収束に基づいて、組織は次のことを行う必要があります:

1. 現実を認識する: 自己評価されたガバナンスが業界ベンチマークに基づいて実際の成熟度を大幅に過大評価している可能性を認識する
2. 検証可能なコントロールを展開する: コンプライアンスを主張するだけでなく、実証できる自動化されたガバナンストラッキングとコントロールを実施する
3. 規制の監視に備える: 露出ギャップを定量化し、測定可能な改善を実施する

“データは、組織がAIガバナンスの成熟度を大幅に過大評価していることを示しています。”とフリーストーンは結論付けました。”インシデントが急増し、ゼロデイ攻撃がセキュリティインフラ自体を標的にしている中で、大多数が実際の可視性やコントロールを欠いているため、意味のある保護を実施するための時間は急速に閉じつつあります。”

レポート全体をダウンロードしてください。

Kiteworksのミッションは、組織が機密データの送信、共有、受信、利用のあらゆる場面でリスクを効果的に管理できるよう支援することです。Kiteworksプラットフォームは、顧客にデータガバナンス、規制コンプライアンス、データ保護を提供するプライベートデータネットワークを提供します。このプラットフォームは、組織内外を移動する機密データを統合・追跡・制御・保護し、リスク管理を大幅に向上させ、すべての機密データ交換における規制コンプライアンスを確実にします。本社はシリコンバレーにあり、Kiteworksは1億人以上のエンドユーザーと1,500社を超えるグローバル企業および政府機関を保護しています。

Centimentについて

Centimentは、サイバーセキュリティおよび技術分野のデータ収集と分析を専門とする市場調査会社です。同社はカスタマイズされた調査設計、ターゲットを絞った回答者の募集、洗練された分析を通じて実用的な洞察を提供します。Centimentの独自の調査プラットフォームは、専門家による人間の監督を通じて卓越したデータ品質を保証します。同社はフォーチュン500企業、技術ベンダー、政府機関にサービスを提供し、進化する市場での戦略的決定のためのインテリジェンスを提供しています。デンバーに本社を置き、Centimentはグローバルに調査を実施し、組織が複雑な技術環境とサイバーセキュリティのトレンドを理解するのを支援しています。

PR/メディア連絡先:
デイビッド・シュッツマン
PRマネージャー
David.schutzman@kiteworks.com