現代セキュリティにおけるアクセスと信頼のギャップを埋める

現代の職場は、従来のセキュリティインフラでは対応できないスピードで動いています。従業員は多数のクラウドアプリケーションを切り替え、企業データをAIツールに入力し、個人デバイスから企業システムへアクセスしています—多くの場合、セキュリティチームがその存在を把握する前に利用が始まります。このギャップが、研究者たちが「アクセス・トラストギャップ」と呼ぶ現象、すなわち組織が管理していると信じている範囲と実際の業務遂行方法との間に広がる隔たりを生み出しています。

最近の2つの調査が、この課題の厳しい現実を浮き彫りにしています。1Passwordの調査によると、シングルサインオン、モバイルデバイス管理、IDアクセス管理などの従来型セキュリティツールは、従業員やAIエージェントによるデータアクセスの実態とすでに合致していません。一方、Anacondaによる300人超のAI実務者を対象とした調査では、AIデータガバナンスの枠組みを持つ組織でさえ、セキュリティ上の懸念、不十分なモニタリング、ツールチェーンの断片化に苦慮していることが明らかになりました。これらの調査結果は、企業が監督を上回るスピードで進むAI導入と、あらゆる新しいツールが潜在的な脆弱性となる根本的なアクセス制御の問題という、二重の危機に直面していることを示しています。

主なポイント

1. シャドーAIが広範囲に蔓延し、ほとんど監視されていない。 現在、従業員の73%が業務でAIツールを利用していますが、27%は会社が把握していない未承認アプリを使用した経験があります。これらのブラウザベースで無料のツールは、従業員が機密データを未検証のシステムに入力することで可視性のギャップを生み出しています。
2. 従来型アクセス制御はSaaS導入のスピードに追いつけない。 エンタープライズアプリケーションのうち、シングルサインオンの背後にあるのは3分の2のみで、残りの多くは管理されていません。従業員の半数以上が、承認されたツールが遅い、または必要な機能がないため、ITの許可なく業務用ツールをダウンロードしたと認めています。
3. 認証情報の窃取が依然として主要な侵害要因。 従業員の3分の2が、認証情報の使い回しやメールでの共有などリスクの高いパスワード運用をしており、盗まれた認証情報は重大な侵害原因の2位です。セキュリティリーダーの89%が、従来型パスワードへの依存を減らすためパスキー導入を推進しています。
4. AIモデルガバナンスはツールチェーンの断片化に苦しんでいる。 AI開発環境が高度に統合されている組織は26%のみで、30%は本番環境でモデルドリフトを検知する正式なモニタリングがありません。セキュリティ上の懸念により、ほぼ3分の2の組織でAI導入が遅延し、依存関係や脆弱性対応に多くの時間が費やされています。
5. 退職者が依然として企業システムにアクセス可能。 従業員の38%が退職後に前職のアカウントやデータへアクセスしたと報告しており、オフボーディングのギャップが深刻です。アクセス権剥奪プロセスの不統一やID管理システムの断片化により、数百のクラウドアプリケーションでこうしたセキュリティ不備が常態化しています。

アクセス・トラストギャップの理解

アクセス・トラストギャップとは、現代のエンタープライズセキュリティにおける根本的なミスマッチを指します。組織は、従業員が会社所有のデバイスから限られた承認済みアプリケーションにアクセスし、管理されたネットワークを利用するという、かつての時代を前提に防御体制を築いてきました。しかし、その世界はもはや存在しません。

今日の職場環境は流動的かつ分散型です。従業員は会社のノートPCと個人のスマートフォンを使い分け、IT管理外のクラウドサービスを導入し、セキュリティチームが把握していないプラットフォームでコラボレーションします。従来のSSOのような制御は、すべての重要アプリがカタログ化・統合されていることを前提としていますが、従業員がクレジットカードとメールアドレスだけで新しいツールを導入できる現状では、その前提が崩れています。

1Passwordの調査は、このギャップが広がる4つの重要分野—AIガバナンス、SaaS・シャドーIT、認証情報、エンドポイントセキュリティ—を特定しています。いずれも、新しいツールや運用の急速な導入に対し、監督や管理が追いつかないという共通パターンが見られます。その結果は、軽微な非効率から重大なセキュリティ侵害まで多岐にわたり、AIが既存のセキュリティモデルにさらなる複雑さを加えることで、問題は加速しています。

AIガバナンスの課題：表裏一体の現実

AIは、近年のテクノロジーの中でも極めて速いペースで日常業務に組み込まれています。1Passwordの調査によれば、従業員の73%が業務の一部でAIを利用しています。しかし、3分の1以上がAI利用に関する社内ルールを必ずしも守っておらず、そもそもルール自体を把握していない人もいます。導入とガバナンスの乖離が、即座にリスクを生み出しています。

問題は単なるルール違反にとどまりません。約27%の従業員が、会社の承認を受けていないAIツールを利用した経験があります。これらのシャドーAIツールは多くがブラウザベースで無料、導入が容易な一方で、ITチームによる検知はほぼ不可能です。従業員が未検証のシステムに機密データを入力することで、組織が導入したすべてのセキュリティ制御を回避する露出ポイントが生まれます。

この問題は、コミュニケーションの失敗によってさらに深刻化しています。セキュリティチームの多くは自社にAIポリシーがあると考えていますが、実際にははるかに多くの従業員がその存在を認識していません。つまり、ポリシーは文書上存在しても、実際に遵守すべき人に届いておらず、意図と実践の間に危険なギャップが生じています。

AIガバナンスの技術面も同様に深刻な課題を抱えています。Anacondaの調査では、セキュリティがAI開発における最も一般的なリスクであると39%が回答。約3分の2の組織がセキュリティ上の懸念からAI導入が遅延しています。多くのチームが、特にオープンソースのPythonパッケージにおける依存関係のトラブルシューティングに多くの時間を割かれていると報告しています。

パッケージのセキュリティやコンプライアンス検証のプロセスがあっても、現状の手法ではAIプロジェクトの規模や複雑さに追いつけていません。自動脆弱性スキャン、社内パッケージレジストリ、手動レビューなどを組み合わせていますが、セキュリティインシデントの頻度から見て、これらの方法だけでは十分でないことが示唆されています。問題は認識や努力の不足ではなく、攻撃対象領域の拡大が防御ツールの進化を上回っている点にあります。

モニタリングの状況も同様に不均一です。83%の組織が基盤モデルの由来を記録し、81%がモデルの依存関係を管理していますが、すべての記録が網羅的とは限りません。5人に1人近くが正式なドキュメントを持たないと回答。パフォーマンスモニタリングも同様で、70%がモデルドリフトや予期せぬ挙動を検知する仕組みを持つ一方、30%は本番環境で正式なモニタリングを行っていません。

こうしたブラインドスポットは重大です。継続的なモニタリングがなければ、モデルの劣化や予期せぬ挙動、機密情報の露出を検知できません。AIが顧客対応や金融取引、業務プロセスの意思決定に深く組み込まれる中、モデル挙動の追跡不能は重大なガバナンス不備となります。

ツールチェーンの断片化も深刻です。AI開発ツールチェーンが高度に統合されていると答えた組織は26%のみ。大半は部分的または断片的な環境で作業しており、「非常に断片化している」と表現するケースもあります。この断片化が可視性のギャップや重複作業、不統一なセキュリティ制御を生み出しています。

文化的要因も課題を複雑にしています。4分の1の回答者が、データサイエンスチームによるセキュリティ対策への抵抗を主要課題に挙げています。異なるシステムにガバナンスプロセスを重ねると、運用が遅く煩雑になり、現場は回避策を取るようになります。その結果、シャドーITや未承認ツールが増え、ポリシーと実践のギャップがさらに広がります。

SaaSスプロールとシャドーITの現実

クラウドアプリケーションの爆発的な増加は、企業の運営方法を根本から変えました。今や組織は数百ものクラウドアプリに依存していますが、その多くはITの可視性・管理外にあります。1Passwordの調査では、従業員の半数以上が承認を得ずに業務用ツールをダウンロードしたと認めており、その理由は「承認済みツールが遅い」「必要な機能がない」などです。

この行動が、セキュリティ専門家が「SaaSスプロール」と呼ぶ、ソフトウェア・アズ・ア・サービスの無秩序な拡大を引き起こしています。数字は深刻です。セキュリティ専門家の70%が、SSOツールだけではIDの保護に不十分だと回答。平均してエンタープライズアプリの3分の2しかSSOの背後にないため、多くのアプリケーションが管理外・未把握のままです。

この回避行動の理由は明快です。従業員は実際の業務課題を抱え、それを解決するツールを必要としています。承認プロセスに数週間かかり、未承認ツールなら数分で導入できる場合、多くは利便性を優先します。公式ツールが遅い・直感的でない・必要な機能がない場合、代替手段を探します。これは悪意ではなく、効率的に業務を遂行しようとする自然な行動です。

オフボーディングのギャップは、この問題の根深さを示しています。従業員の38%が退職後に前職のアカウントやデータへアクセスしたと回答。この数字は、どのセキュリティリーダーにとっても警鐘です。アクセス権剥奪プロセスが一貫しておらず、多くのアカウントやツールがオフボーディングワークフローから漏れ、退職者がどこにアクセス権を持ち続けているか組織が把握できていないことを示しています。

アクセス管理システムの断片化により、こうした不備は例外ではなく日常的に発生します。企業が数十、数百のクラウドサービスを利用し、それぞれが独自のアクセス管理を持つ場合、完全なオフボーディングは極めて困難です。1つのアプリケーションの見落としが、退職後も数カ月、数年にわたりアクセスを許してしまいます。

認証情報：持続する脆弱なリンク

長年のセキュリティ意識向上トレーニングや高度な認証技術の進化にもかかわらず、パスワードセキュリティは依然として根本的な課題です。1Passwordの調査では、従業員の3分の2が、複数サイトでのパスワード使い回し、同僚との認証情報共有、デフォルトパスワードの利用、メールやメッセージアプリでの認証情報送信など、安全でない運用をしていると認めています。

こうした行動は、非技術系スタッフだけに限りません。セキュリティ専門家自身も同様のリスク行動を取っており、問題は意識の有無ではなく、安全な認証情報管理に伴う手間や摩擦に起因していることが示唆されます。多数のアカウントごとに複雑でユニークなパスワードが求められる現状では、多くの人がセキュリティを損なう近道に頼りがちです。

その結果は明確かつ深刻です。調査回答者のほぼ半数が、従業員による弱い・侵害されたパスワードの利用を最大のセキュリティ課題と認識。過去3年以内に重大な侵害を経験した組織では、盗まれた認証情報がソフトウェア脆弱性に次ぐ2番目の主因でした。

パターンは明白です。認証情報は価値が高く、比較的侵害しやすいため、依然として魅力的かつ効果的な攻撃ベクターです。フィッシング、クレデンシャルスタッフィング、ソーシャルエンジニアリングは、ほとんどのセキュリティチェーンの最も脆弱な部分—ユーザー名とパスワード—を狙います。

組織は、パスキーやパスワードレス認証への移行を進めています。セキュリティリーダーの89%が、パスキー利用を推奨または推奨予定と回答。パスキーは従来のパスワードを生体認証やデバイスベース認証に置き換え、フィッシング耐性を高め、ユーザーの負担を軽減し、規制コンプライアンスにも対応します。

「パスキーへの熱意は当然です。パスキーを推進する企業が、ワンクリックで簡単に移行できる仕組みを提供しているからです」とGray MediaのCISO、Brian Morris氏は語り、新しい認証方式の実用的な魅力を強調しています。

ただし、この移行は一朝一夕には進みません。パスワードは今後も数年間、新しい認証システムと併存し、組織はレガシーシステムやサードパーティ統合、ユーザーの段階的移行を管理する必要があります。現実的な目標は、短期的にパスワードを完全廃止することではなく、ユーザーが生の認証情報を扱う頻度を減らし、残された認証情報には追加の保護を重ねることです。

ハイブリッドワーク時代のデバイス管理

ハイブリッドやリモートワークへの移行により、デバイス管理は格段に複雑になりました。従業員の約4分の3が、少なくとも時折は業務に個人デバイスを使用し、半数以上が週単位で利用しています。これは企業リソースへの接続方法の根本的な変化ですが、そのアクセスを管理するセキュリティツールは進化に追いついていません。

モバイルデバイス管理は依然として会社所有ハードウェア向けの標準制御手段ですが、セキュリティリーダーはその限界を強く認識し始めています。MDMツールは、企業がデバイスを所有し、OSを管理し、包括的なポリシーを強制できる環境を前提に作られています。従業員が個人・会社デバイスを行き来し、従来のネットワーク境界外のクラウドサービスにアクセスする現状には対応していません。

実際の運用でも限界が明らかです。セキュリティリーダーは、MDMが管理デバイスの保護やコンプライアンス確保に十分でないと報告しています。個人デバイスには企業マシンのようなエンドポイント保護や集中管理された暗号化、確実なパッチ管理がなく、それでも従業員はメール、ドキュメント編集、ビデオ会議、業務アプリへのアクセスに利用しています。

BYOD（私物デバイスの業務利用）を禁止しても、実際の運用は徹底されていません。従業員は通勤中や在宅勤務時に個人端末から企業データにアクセスします。選択肢は、アクセスを完全遮断して生産性を損なうか、リスクを受け入れて許可するかの二択になりがちです。

実践的なソリューションと推奨事項

アクセス・トラストギャップやAIガバナンスの課題に対応するには、組織はセキュリティへのアプローチを根本的に見直す必要があります。包括的な禁止や硬直した制御は、従業員が即座に新ツールを導入し、どこからでも働ける現代では機能しません。今後は、可視性・ガイダンス・統合制御を重視し、障壁や制限ではなく支援を目指すべきです。

• AIガバナンス

  • AIの利用を一律にブロックするのではなく、利用状況の監視とガイドラインの提示へ転換する。
  • 承認済み・未承認ツールの利用を継続的に発見できる仕組みを導入する。
  • AIポリシーを全従業員に明確に伝達する。
  • ガバナンスを開発ワークフローに直接組み込み、抵抗を減らしイノベーションと監督を両立させる。
  • モデル構成要素の可視性向上、包括的なトレーニング、ドリフトや異常検知の自動モニタリングに投資する。

• SaaSスプロールとシャドーIT

  • SSO連携済みだけでなく、すべてのツールにわたるアクセス履歴を追跡できるガバナンスを自動化する。
  • ネットワークセグメンテーションやエンドポイント可視化ツール、定期的な発見プロセスでシャドーITを顕在化させる。
  • 包括的なオフボーディングを重視し、チェックリスト作成・アクセス権自動剥奪・定期的なアクセスレビューを実施する。

• 認証情報セキュリティ

  • ハイリスクアプリからパスキーやパスワードレス認証を導入し、段階的に拡大する。
  • パスワードマネージャーの利用を必須化し、SSOの適用範囲を拡大する。
  • ユーザーが生の認証情報を扱う頻度を減らす。

• デバイス・エンドポイントセキュリティ

  • ハイブリッドワークの現実を受け入れ、それに合わせた制御を設計する。
  • すべてのアクセス要求を検証するゼロトラストアーキテクチャを導入する。
  • 機密データにアクセスする従業員には会社所有デバイスを提供するか、デバイスの状態やユーザー行動に基づく条件付きアクセス制御を適用する。

これらすべての取り組みで重要なのはバランスです。従業員の業務を著しく困難にするセキュリティ制御は回避されます。最も効果的なセキュリティ対策は、人々の働き方に合致し、過度な摩擦を生まずに保護を提供するものです。

セキュリティは業務スピードに追従すべき

アクセス・トラストギャップやAIガバナンスの課題は、技術の成熟とともに自然解決する一時的な問題ではありません。これらは、分散型・柔軟・AI活用型ワークフローへの根本的なシフト—従来のセキュリティツールでは管理できない新たな働き方—を象徴しています。

これらのギャップを埋める組織は、より強固なセキュリティと迅速なイノベーションの両面で競争優位を獲得します。無視すれば、ポリシーと実践の乖離が拡大し、リスクが増大します。解決には、進捗を妨げずに監督できる、適応的かつ可視性重視のアプローチが必要です。

セキュリティチームは、ゲートキーパーからイネーブラーへ、制御重視から可視性重視へ、受動的から能動的へと進化しなければなりません。職場環境は不可逆的に変化しており、セキュリティ運用もそれに合わせて変革する必要があります。