Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > ガバナンスされていない最大のデータセキュリティ脅威、それはAIエージェント

ガバナンスされていない最大のデータセキュリティ脅威、それはAIエージェント

by Tim Freestone updated 2月 26, 2026 サイバーセキュリティー・リスク管理
Reading Time: 12 minutes

過去1年でエンタープライズセキュリティに静かな変化が起きていましたが、多くの組織はそれに気づいていません。

AIエージェント――自律的に推論し、行動し、エンタープライズリソースと独立してやり取りするシステム――は、パイロットプログラムから本番ワークフローへと移行しました。クラウドリソースの割り当てを調整し、複数ステップのビジネスプロセスを実行し、データベースをクエリし、外部APIとやり取りしています。これらは機械のスピードで、かつ多くの場合、継続的な人間の監督なしに、かなりの独立性を持って実行されています。

そして、すべてのCISOが注目すべきなのはこの点です。これらのエージェントを管理するセキュリティインフラは、導入のスピードに追いついていません。まったく追いついていないのです。

MicrosoftのCyber Pulseレポートによると、フォーチュン500企業の80%以上が現在、アクティブなAIエージェントを導入しており、その多くはローコードやノーコードツールで構築されているため、エージェントの作成が開発者だけでなくビジネスユーザーの手にも渡っています。同レポートは厳しい警告も発しています。これらのエージェントは「一部の企業が把握できるスピードを超えて拡大している」と指摘しています。この可視性のギャップは、単なる不便ではありません。Microsoftはこれを「緊急のガバナンスとセキュリティが必要なビジネスリスク」と呼んでいます。

もはや「自社がAIエージェントを使うかどうか」ではなく、「制御不能な侵害が起きる前にガバナンスを確立できるかどうか」が問われています。

5つの重要ポイント

  1. AIエージェントはセキュリティチームの可視性を超えるスピードで拡大している。フォーチュン500企業の80%以上が、ローコードやノーコードツールで構築されたアクティブなAIエージェントを導入しています。MicrosoftのCyber Pulseレポートは、これらのエージェントが「一部の企業が把握できるスピードを超えて拡大している」と警告し、レポートではこの可視性ギャップを明確にビジネスリスクと位置付けています。自律システムが独立して推論・行動し、エンタープライズリソースへアクセスできる場合、ガバナンスの欠如は単なるギャップではなく、侵入口そのものです。
  2. 3社に1社が、監督されていないAIエージェントによるデータアクセスを重大な脅威と考えている。Proofpointの2025年データセキュリティランドスケープレポートによると、32%の組織がAIエージェントによる無監督のデータアクセスを重大な脅威と認識しています。これらのエージェントはしばしば「スーパーユーザー」として高い権限を持ち、クラウドやハイブリッド環境で人間の従業員よりはるかに少ない監督下で機密データにアクセスしています。
  3. AIエージェントは隠された指示によって武器化される可能性があり、ユーザー操作ゼロで攻撃が成立する。Trend Microは、マルチモーダルAIエージェントが画像やドキュメントに埋め込まれた隠し指示によって操作され、ユーザーが一切クリックしなくても機密データが流出することを実証しました。arXivの研究者は、悪意あるブログページの隠し指示によってRAGベースのエージェントがナレッジベースから秘密情報を取得し、攻撃者のサーバーに送信するエンドツーエンドのエクスプロイトを構築しました。
  4. 44%の組織が生成AIの利用を十分に監督できていない。Proofpointは、44%の組織が生成AIの利用(ツールやエージェントを含む)を十分に監督できていないと認めていることを明らかにしました。Cloud Security Allianceの調査では、経営層の52%がAI技術に精通していると自己申告する一方、現場スタッフではわずか11%しか同様に答えていません――実際にこれらのツールを日々使用しているのは現場スタッフです。
  5. ガバナンスギャップは財務的な時限爆弾である。平均的なデータ侵害のコストは現在488万ドル(IBMデータ侵害コストレポート2024年版)。EU AI法違反の罰金は最大3,500万ユーロまたは全世界年間売上高の7%。GDPRの制裁金は2,000万ユーロまたは売上高の4%。AI関連のプライバシーインシデントは前年比56.4%増加(スタンフォード2025年AIインデックスレポート)。AIガバナンスを証明できない組織は、財務・法務リスクが複合的に拡大します。

「エージェンティック・ワークスペース」はすでに到来――多くの組織は内部で何が起きているか把握できていない

Proofpointの2025年データセキュリティランドスケープレポートは、現在の状況を的確に表す用語「エージェンティック・ワークスペース」を紹介しました。これは、AI駆動の生産性ツールや自律エージェントが人間と並んで機密データを扱う運用環境を指します。同レポートの結論は明快です――多くの組織は「この新たなエージェンティック・ワークスペースを管理するための可視性と制御を欠いている」のです。

その結論を裏付ける数字は深刻です。回答者のほぼ半数が、クラウドやハイブリッド環境におけるデータの拡散を最重要課題と認識。5社に2社が、パブリックまたはエンタープライズの生成AIツールによるデータ損失を主な懸念事項としています。3分の1以上が、AIモデルのトレーニングに機密データが使用されることを懸念。さらに32%の組織が、しばしば「スーパーユーザー」として動作するAIエージェントによる無監督のデータアクセスを重大な脅威と見なしています。

特に危険なのは、認識と現実のギャップです。Cloud Security Allianceの調査によれば、経営層の52%がAI技術に精通していると自己申告する一方、スタッフで同様に答えたのはわずか11%。これはガバナンスの断絶です。AIポリシーを決定する側は自社の準備状況を過大評価しがちですが、実際にAIツールを使う現場は安全な利用方法を理解していません。

一方で、44%の組織が生成AIの利用を十分に監督できていないと認めています。これは、従業員が日常的に使うツールや、エンタープライズワークフローに組み込まれつつあるエージェントも含まれます。

自社のセキュリティを信じていますか。その証明はできますか

Read Now

AIエージェントが武器化される仕組み:プロンプトインジェクションとデータ流出

可視性ギャップだけが問題なら、まだ対処可能でしょう。しかし、AIエージェントは単なる受動的なリスクではありません。実際に武器化される可能性があり、その証拠となる研究も最近発表され、警鐘を鳴らしています。

Trend MicroのAIエージェント脆弱性に関する研究では、マルチモーダルエージェントが画像やドキュメントに埋め込まれた隠し指示によって操作され、ユーザー操作ゼロで攻撃が成立することを実証しました。隠しプロンプトを含むドキュメントや画像が、エージェントに機密データ――氏名、社会保障番号、連絡先、財務情報、保護対象保健情報、企業秘密、認証情報、アップロードされた機密文書など――を流出させる原因となり、ユーザーはその事実に気づくことすらありません。

攻撃対象はウェブにも広がります。Trend Microは、ウェブ解析エージェントがウェブサイトに埋め込まれた悪意あるプロンプトを読み取り、メモリ内データ(APIキーや連絡先など)を攻撃者の管理する宛先に流出させることを示しました。外部への通信が許可されていれば、エージェントは攻撃者へのデータパイプラインとなります。

arXivの研究者はさらに一歩踏み込みました。彼らは、RAG(検索拡張生成)ベースのAIエージェントを標的に、機密プロジェクト情報を含む内部ナレッジベースをクエリし、外部ウェブコンテンツを取得するツールを使って、完全なエンドツーエンドのエクスプロイトを構築しました。悪意あるブログページには、白地に白文字で隠し指示が埋め込まれており、人間のユーザーには見えません。エージェントがページの要約を求められると、これらの指示を読み取り実行――ナレッジベースから秘密を取得し、URLパラメータに埋め込み、正規のウェブ検索ツールを使って攻撃者サーバーに送信しました。

この論文の結論は、すべてのセキュリティリーダーが注目すべきものです。ツール利用やRAGを備えた現行のLLMエージェントは「間接的なプロンプトインジェクション攻撃に対する根本的な脆弱性」を持ち、追加の防御レイヤーなしでは組み込みのモデル安全機能だけでは不十分だとしています。

これは理論上の話ではありません。まさに現在企業が導入しているエージェントアーキテクチャに対する実証済みの攻撃です。

危機を招く3つの複合的脆弱性

AIエージェントのリスクは、3つの複合的な脆弱性によって企業にかつてないリスクをもたらすものとして理解できます。

1つ目の脆弱性は過剰なデータアクセス――エージェントが到達できるデータ量の多さです。AIエージェントは効果的に機能するために広範なデータアクセスを必要としますが、そのアクセスが膨大な露出面を生み出します。組織には平均で15,000件の有効なまま放置されたアカウントと31,000件以上の古い権限が存在しており(Varonis 2025 State of Data Security Report)、AIエージェントが導入されるたびに、この既に拡大した攻撃対象領域に新たな非人間IDが加わります。従来のID・アクセス管理は人間向けに設計されており、マシンが要求・処理・転送するデータに対して最小権限を強制する細かさが不足しています。

2つ目の脆弱性は制御されないデータ利用――エージェントが処理できるデータの種類と、そのデータの行き先です。調査によれば、最大のグループ(27%)がAIツールに送信する情報の30%以上に個人情報(社会保障番号、医療記録、クレジットカード情報、保護された知的財産など)が含まれていると認めています。さらに17%は従業員が何を共有しているか全く把握できていません。一度パブリックモデルのトレーニングセットにデータが入ると、回収も削除も制御もできません。汚染は永久的です。

3つ目の脆弱性はエージェントの操作――プロンプトインジェクション、悪意あるスキル、サプライチェーン攻撃によるエージェントの悪用です。外部サービスやプラグイン、エージェントネットワークと連携するAIエージェントは、Trend MicroやarXivの研究者が実証したような間接的なプロンプトインジェクション攻撃に脆弱です。侵害されたAIスキルは数時間でエージェントネットワーク全体に拡散する可能性があります。自律エージェントは、認証情報の流出、機密ファイルへのアクセス、コンプライアンス違反の発生など、人間のインサイダー脅威よりもはるかに高速で操作される恐れがあります。

これら3つの脆弱性は単独では存在しません。複合します。過剰なアクセス権を持ち、制御されないデータを処理し、操作に脆弱なエージェントは、単なるリスクではなく、侵害が起きるのを待っている状態です。

シャドーAIが事態をさらに悪化させる

こうした構造的な脆弱性に加えて、「シャドーAI」問題が重なります。生成AIユーザーのほぼ半数が、組織の可視性の外で動作する個人用・非公認のAIアプリケーションを利用しています。従業員は日常的にソースコードや規制対象データ、知的財産を要約・デバッグ・コンテンツ生成のためにこれらのツールへアップロードしており、多くの場合、そのデータがパブリックモデルのトレーニングに使われる可能性を認識していません。

その規模は驚異的です。平均的な組織は月に223件のAI関連データポリシー違反を経験しており、インシデントの42%がソースコード、32%が規制対象データに関するものです(Netskope Cloud and Threat Report 2026)。AIプライバシーインシデントは前年比56.4%増加(スタンフォード2025年AIインデックスレポート)。また、98%の企業で従業員が非公認アプリを利用しており、1社あたり平均1,200個の非公式アプリが使われています(Varonis 2025 State of Data Security Report)。

パブリックAIツールへのアクセスをDLPスキャンと組み合わせて技術的にブロックしている組織はわずか17%。さらに40%はトレーニングや監査だけに頼っており、13%はポリシー自体が存在しません。

AIを完全にブロックするのは解決策ではありません――実際に試した組織は皆それを知っています。従業員は抜け道を見つけ、個人アカウントを使い、スマートフォンから無料ツールにデータをアップロードします。その結果、AI利用が減るのではなく、「見えないAI利用」が増え、はるかに危険な状態となります。

ガバナンスギャップは組織が認める以上に深刻

こうしたリスクが高まる中でも、多くの組織は依然として準備不足です。AIガバナンス専任体制を持つのはわずか12%、何らかのフレームワークすら持たないのが55%。「AIガバナンス成熟度が十分」とアナリストが評価するのはわずか9%であり、「高度に準備できている」と自己申告する23%との間には14ポイントの過信ギャップが存在し、これ自体がリスクです。

同時に、86%の組織がAIデータフローの可視性を欠き、45%が「迅速な導入圧力」をガバナンスの最大障壁としています。技術リーダー層ではその割合が56%に上昇。結果として、ガバナンス・セキュリティ・コンプライアンス体制が「人間だけが機密データにアクセスしていた時代」のままの状態で、AIエージェントが本番環境に導入されるという現象が業界全体で起きています。

規制環境は、組織が追いつくのを待ってくれません。過去1年だけで59件の新たなデータプライバシー規制が施行されました。EU AI法は高リスク違反に最大3,500万ユーロまたは全世界年間売上高の7%の罰金を課します。GDPRの制裁金は2,000万ユーロまたは売上高の4%。HIPAA、SOX、GLBA、CMMCなどの業界固有の規制も、AIエージェントが機密データへアクセス・処理・送信する方法と直接交差しています。

AIエージェントにゼロトラストを:最適なセキュリティモデル

MicrosoftのCyber Pulseレポートは、セキュリティ専門家に馴染み深い用語で解決策を提示しています。それが「ゼロトラスト」です。同レポートは、組織が人間ユーザーに適用しているゼロトラストの原則を、AIエージェントにも適用する必要があるとしています――最小権限アクセス、「誰が・何が」アクセスを要求しているかの明示的な検証、そして「侵害を前提とした設計思想」です。

このフレームワークは直感的にも理にかなっています。AIエージェントもIDです。認証し、アクセスを要求し、行動します。人間でないからといって危険性が下がるのではなく、むしろ人間向けのセキュリティ制御が想定していなかったスピードと規模で動作するため、より危険です。

エージェンティック・ワークスペースにゼロトラストを適用するには、すべてのAIエージェントを認証・認可が必要な独立したIDとして扱う必要があります。アクセス権は各タスクに必要な最小限に限定。すべてのデータ操作は不変の監査証跡に記録。異常検知はエージェントの動作速度に合わせて機械的に実施。外部へのデータ流出は、侵害されたエージェントや操作されたプロンプト、設定ミスによるワークフローであっても防止されなければなりません。

Trend Microの研究もこのアプローチを補強しており、堅牢なアクセス制御、高度なコンテンツフィルタリング、リアルタイム監視によるデータ漏洩と不正行為の抑制を推奨しています。arXivの研究者も同じ結論を支持――組み込みのモデル安全機能だけでは不十分であり、追加の防御レイヤーが必要です。

理想的なインフラストラクチャとは

エージェンティック・ワークスペースのセキュリティには、ネットワーク層だけでなくデータ層で動作するインフラが必要です。ネットワークレベルのセキュリティ――プロキシ経由でトラフィックを検査する――では、従業員がAIアプリケーションにアクセスしたことは検知できますが、AIエージェントがエンタープライズリポジトリ内のどのデータにアクセスしたか、データの利用方法に関する細かなポリシーの強制、規制当局が求めるコンテンツレベルの監査証跡の提供まではできません。

AIガバナンスギャップを埋めるために必要なインフラには、いくつかの必須要件があります。AIシステムとエンタープライズデータの間にゼロトラスト原則を各インタラクションで強制するセキュアゲートウェイを提供すること。AIエージェントの実行をサンドボックス化し、侵害されたプラグインやスキルが認可範囲外のリソースにアクセスできないようにすること。既存のガバナンスフレームワーク――ロールベースや属性ベースアクセス制御――を自律エージェントによる操作も含めてすべてのAIインタラクションに拡張すること。すべてのAI-データインタラクションをユーザーID、タイムスタンプ、アクセスデータ、利用AIシステムとともに不変の監査証跡に記録すること。さらに、エージェントが通常アクセスしない大量データを突然要求したり、異常な宛先にデータ送信を試みたりする行動を機械的に検知・フラグ付けできることも必要です。

Kiteworksのプライベートデータネットワークは、まさにこの課題に特化して設計されています。AIデータゲートウェイは、AIシステムとエンタープライズデータリポジトリ間にゼロトラストの橋を構築し、データが保護された環境から外に出ることを防ぎます。Secure MCP Serverは、OAuth 2.0認証、異常検知、ガバナンスフレームワークの強制によりAIエージェントの実行をサンドボックス化します。さらに、ファイル共有、マネージドファイル転送、メール、Webフォーム、API、AIインタラクションまで、すべてを単一のポリシーエンジンと単一の不変監査証跡で統合ガバナンスします。

規制業界の組織にとっては、導入の柔軟性も重要です。Kiteworksはオンプレミス、プライベートクラウド、ハイブリッド、FedRAMP High環境に対応し、HIPAA、SOX、GDPR、CCPA、CMMC、NIST CSF、ISO 27001、EU AI法に対するコンプライアンスコントロールも事前にマッピングされています。

待つことのコストは、侵害・罰金・回復不能な損失で測られる

AIデータガバナンスの財務的な意義は明白です。平均的なデータ侵害コストは488万ドル。ヘルスケア分野では1,093万ドルに達します(IBMデータ侵害コストレポート2024年版)。EU AI法の高リスク違反に対する罰金は最大3,500万ユーロまたは全世界年間売上高の7%。GDPRの制裁金は2,000万ユーロまたは4%。ソフトウェアサプライチェーン攻撃による損失は業界全体で600億ドルにのぼる見通しです。

しかし、最も深刻な損失は数値化が難しいものかもしれません――パブリックAIトレーニングセットに永久に埋め込まれた知的財産です。一度機密データがパブリックモデルに入ると、回収も削除も制御もできません。競争上の損失は不可逆的です。

今すぐデータ層でAIガバナンスを導入する組織は、リスクを低減するだけでなく、競争優位性――AIをより迅速かつ自信を持って導入し、規制当局・監査人・顧客がますます求めるコンプライアンス証跡を確保する力――を手にします。

すべての組織が今すぐ取るべき3つのアクション

まず、現状を可視化すること。見えないものは管理できません。AI-データインタラクションをすべてのチャネル――ウェブトラフィックだけでなく、ファイル共有、メール、API、エージェントワークフロー――で監視できる仕組みを導入しましょう。機密データがどこからAIシステムに流れているか、それが認可・記録・コンプライアンスに準拠しているかを特定します。44%の組織が「十分な監督ができていない」と認めている以上、自社も例外ではないと考え、証明できるまで疑ってかかるべきです。

次に、すべてのAIエージェントにゼロトラストを拡張すること。すべてのAIエージェントを、人間ユーザーと同じ認証・認可・アクセス制御が必要な非人間IDとして扱い、機械的なスピードに対応した追加のセーフガードも実装します。最小権限アクセスを徹底し、エージェントの実行をサンドボックス化し、異常行動を監視。各タスクに必要な範囲を超えてデータへアクセスできるエージェントが存在しないようにします。

最後に、ガバナンスを組み込んだAI利用を実現する――AIをブロックしないこと。AI利用を全面禁止しようとする組織は必ず失敗します。従業員は抜け道を見つけ、シャドーAIが蔓延します。持続可能なアプローチは、従業員が生産的にAIツールを使える一方で、機密データが保護環境から外に出ないよう自動的にガバナンスが働くインフラです。生産性を妨げずに裏側で自動的にガバナンスが機能するモデルだけが拡張可能です。

エンタープライズAI革命は「これから」ではありません。「すでに到来」しています。問われているのは、自社がAIをガバナンスできるか――それとも、その結果にガバナンスされる側になるか、です。

Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください

よくあるご質問

従来のAIチャットボットは、限定されたインターフェース内でプロンプトに応答し、自律的な行動は取りません。AIエージェントは本質的に異なり、推論・計画・自律的な行動をエンタープライズシステム全体で行い、データベースのクエリ、APIの呼び出し、複数ステップのプロセス実行、データ送信を最小限の人間監督で実施します。この自律性こそがセキュリティリスクを生みます。エージェントは単なる質問応答ではなく、機密データにアクセスできる特権的な非人間IDとして動作し、人間向けのセキュリティ制御が想定しないスピードと規模で活動します。侵害や操作を受けた場合、アラートが出る前に数千件の記録を流出させることも可能です。

間接的プロンプトインジェクションは、AIエージェントが処理するコンテンツ――ドキュメント、画像、ウェブページなど――に隠された指示を埋め込み、エージェントの元のプログラムを上書きする攻撃です。エージェントがそのコンテンツを処理すると、攻撃者の指示を実行してしまいます。Trend Microは、これがユーザー操作ゼロでデータ流出を引き起こすことを実証しました。arXivの研究者は、RAGベースのエージェントが内部の秘密情報を取得し、攻撃者サーバーに送信する実働エクスプロイトを構築しました。従来のセキュリティツール――DLP、ファイアウォール、エンドポイント保護――では、流出がエージェント本来の正規チャネルを通じて発生するため防げません。

シャドーAIとは、従業員が組織の管理外でAIツール――個人アカウント、無料製品、ブラウザ拡張機能など――を利用することを指します。調査によれば、98%の企業で従業員が非公認アプリケーションを利用しており、平均的な組織では月に223件のAI関連データポリシー違反が発生しています。この露出は恒久的です。従業員がソースコード、医療記録、財務データ、知的財産などをパブリックAIモデルにアップロードすると、そのデータはモデルのトレーニングセットに組み込まれる可能性があり、後から回収・削除・制御はできません。AIを全面的にブロックしても解決せず、利用が地下化し、管理できない露出が生まれるだけです。

AIエージェントへのゼロトラストは、人間ユーザーに適用する原則と同じですが、機械的なスピードに対応した追加のセーフガードが必要です。すべてのエージェントを明示的な認証・認可が必要な独立IDとして扱います。アクセス権は各タスクに必要な最小限に限定し、広範なリポジトリアクセスは許可しません。すべてのデータ操作は不変の監査証跡に記録。異常検知は機械的な速度で実施し、大量データリクエストや想定外宛先への送信などの異常行動をフラグ付けします。外部へのデータ流出は、侵害されたエージェントが正規チャネルを使っても防止されます。ロールベースや属性ベースアクセス制御も非人間IDに明示的に拡張する必要があります――多くのIAMシステムはエージェントを想定していません。

現在、AIエージェントのガバナンスと直接交差する主要なフレームワークが複数存在します。EU AI法は高リスク違反に最大3,500万ユーロまたは全世界年間売上高の7%の罰金を課し、人的監督とデータトレーサビリティの文書化を義務付けています。GDPRは、個人データ処理(自動化エージェントによるものも含む)に対し、合法的根拠と適切な保護措置を要求します。HIPAAは、保護対象保健情報に触れるすべてのシステムにアクセス制御と監査証跡を義務付けています。CMMCは、制御されていない分類情報を扱う連邦請負業者にFedRAMP認証ソリューションを要求。GLBAは金融データアクセスの保護策を義務化。過去1年だけで59件の新たなデータプライバシー規制が施行されており、AIガバナンスは業界横断で「ベストプラクティス」から「必須要件」へと移行しています。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:決して信頼せず、常に検証する
  • 動画 Microsoft GCC High:防衛請負業者がより賢い優位性を求める理由
  • ブログ記事 DSPMで機密データが検知された後のセキュリティ対策
  • ブログ記事 ゼロトラストアプローチで生成AIへの信頼を構築する
  • 動画 ITリーダーのための機密データ安全ストレージ完全ガイド

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks