Home > セキュリティとコンプライアンスブログ > No category > Verizon DBIR 2026：シャドーAIが新たなインサイダー脅威の最上位に

Verizon DBIR 2026：シャドーAIが新たなインサイダー脅威の最上位に

by Patrick Spencer updated 5月 20, 2026 サイバーセキュリティー・リスク管理

Reading Time: 10 minutes

2026年版Verizonデータ侵害調査報告書（DBIR）で最も重要な発見は、攻撃者ではなく従業員に関するものでした。報告書が対象とした12カ月間で、企業デバイス上でAIツールを利用する従業員の割合は15%から45%へと急増しました。そのうち3分の2は個人アカウントを使ってAIにアクセスしています。そして、これらのサービスにアップロードされている最も一般的なデータタイプは、顧客PIIやマーケティング原稿ではなく、ソースコードです。

主なポイント

シャドーAIはもはや一部の行動ではない。2026年版Verizon DBIRによると、従業員の45%が企業デバイスでAIを日常的に利用しており、前年の15%から大幅に増加しています。シャドーAIは、DLPデータにおける非悪意的なインサイダー行動の中で3番目に多い行動となっています。
AIへのアクセスの3分の2は企業アカウント外で発生。ユーザーの67%が、企業デバイス上で非企業アカウントからパブリックAIサービスにアクセスしています。つまり、企業が管理していない経路から企業データが流出しているということです。
ソースコードがガバナンスされていないLLMへの流入データのトップ。AIツールを対象とした858,440件のDLPイベントのうち、ソースコードが圧倒的に多く、次いで画像、構造化データ、研究・技術文書が続きます。
AIブラウザ拡張機能が静かな第2の流出経路。平均的な企業では、15%以上のユーザーが未承認のAIブラウザ拡張機能をインストールしており、多くは閲覧したページの内容を静かに保持しています。
禁止政策は実証的に失敗している。データはAIの全面禁止を支持しておらず、ポリシーを強制し、すべてのやり取りを記録し、監査可能な証拠を生成するコントロールプレーンを経由した、認可されたガバナンス付きAIアクセスを支持しています。

これは、AIデータガバナンス議論が2年間欠いていた実証的な根拠です。これまでガバナンス付きAIデータアクセスの主張は、仮説や従業員行動に関する調査ベースの推定に依存していました。DBIRはこれらの推定を、858,440件に及ぶデータ損失防止イベントに基づく業界規模の実測行動に変換しました。結論は厳しいものです。シャドーAIは将来の課題ではなく、ガバナンス体制が未整備のほぼすべての組織内で、すでに大規模に進行している現実の問題です。

Table of Contents

以下では、データが実際に示していること、その重要性、そして有効な対応策のアーキテクチャについて解説します。

3倍増：12カ月で15%から45%へ

この主要な発見は明確に述べる価値があります。2025年DBIRデータセットでは、従業員の15%が企業デバイス上でAIを日常的に利用していました。2026年データセットでは、その割合が45%に達しています。わずか1年で3倍増です。参考までに、これほど急速なエンタープライズテクノロジーの普及曲線はほとんどなく、最も近い例は2010年代初頭のスマートフォンの波ですが、それでもこのレベルの職場浸透には2～3年かかりました。

2026年DBIRはまた、シャドーAIがデータ損失防止データセットにおける非悪意的なインサイダー行動の中で3番目に多い行動となっており、前年比で4倍に増加していることも示しています。これはつまり、DLPシステムが悪意なくポリシー違反を検知した際、3番目に多いのが従業員が企業管理外のAIサービスに企業データを移動する行為である、ということです。

このことが示すセキュリティ戦略への示唆は明快です。組織内でのAI利用が稀で例外的、あるいは一部のパイロットチームに限定されているという前提で構築されたAIガバナンスプログラムは、少なくとも1年前から誤った前提に基づいています。今やデフォルトの状態は、企業デバイス上でのAIの広範かつ日常的な利用であり、組織がポリシーを発行しているかどうかに関係ありません。

アカウントの問題：AIアクセスの3分の2が企業管理外

もし従業員の45%が企業アカウントを通じて認可されたエンタープライズプラットフォームでAIを利用しているのであれば、ガバナンス上の課題はあっても管理可能な範囲です。しかし、実際はそうではありません。2026年DBIRによると、ユーザーの67%が企業デバイス上で非企業アカウントからAIサービスにアクセスしています。Verizonはこれを「組織の管理外で企業データが存在する未管理のAIシステム」と明言しています。

これは構造的にはシャドーITと同じ問題ですが、決定的な違いがあります。シャドーITでは、従業員が個人のDropboxでファイルを共有する場合、単発の露出イベントが発生します。シャドーAIでは、あらゆるプロンプトが恒久的な学習データやログとして、企業が管理しないインフラ上に残る可能性があります。データは一度だけ移動するのではなく、企業が審査・監査できず、特定すら困難なシステムによって取り込まれ、処理され、保持されます。

2026年Thalesデータ脅威レポートも有用な知見を示しています。機密データの所在を完全に把握している組織は33%に過ぎません。これにDBIRの非企業AIアカウント利用の発見を組み合わせると、状況がより鮮明になります。3分の2の組織は機密データの所在を完全に把握できておらず、3分の2の従業員が企業管理外のAIアカウントを利用しています。これら2つの統計は、異なる視点から同じガバナンスギャップを示しています。

データタイプの問題：スプレッドシートではなくソースコード

2026年DBIRは、生成AIツールへのアップロードを伴う858,440件のDLPイベントを分析し、提出されたデータタイプを頻度順にランキングしました。ソースコードが圧倒的なトップで、次いで画像と構造化データが続きます。ポリシー違反の3.2%では、研究・技術文書が未承認のAIシステムにアップロードされていました。Verizon自身のコメントも異例の率直さです。「ソースコードだけでも十分問題だが、知的財産が流出している可能性がある」と指摘しています。

この発見は、AIデータ漏洩議論全体の枠組みを変えます。シャドーAIの初期議論は主にPIIやPHIの露出、すなわち顧客記録や医療データなど、漏洩時に通知義務が生じる規制対象データに焦点が当てられていました。これらのリスクも現実的ですが、DBIRデータは、実際に最も多く流出しているのは、組織の競争力に長期的なダメージを与えかねないエンジニアリングや研究、独自の成果物であることを示しています。

2026年DTEXインサイダー脅威レポートも別の角度からこれを裏付けています。DTEXは、シャドーAIが過失によるインサイダーインシデントの主因であると特定し、92%の組織が生成AIによって従業員の情報共有方法が変化したと回答している一方で、AIを正式なインサイダー脅威戦略に組み込んでいるのはわずか13%であると報告しています。行動は変化しましたが、戦略はほとんどの場合、変わっていません。

第2の流出経路：AIブラウザ拡張機能

DBIRは、多くの組織が計測していないAI関連データ漏洩の静かな形態、すなわちAIブラウザ拡張機能についても記録しています。2026年報告書によると、平均的な企業では15%以上のユーザーが未承認のAI拡張機能をブラウザにインストールしています。これらの多くは、AIによる要約や提案、ワークフロー自動化を提供するために、ユーザーが閲覧したページの内容を収集・保持する設計になっています。DBIRはその影響を明確に述べています。「企業ユーザーが社内サイトを閲覧している場合、その非公開データの一部が吸い上げられている」と。

これはAIによるデータ流出のストーリーを大きく拡張するものです。シャドーAIの議論は主に、ChatGPTやClaudeなどにコンテンツを貼り付けるという能動的な行動に集中してきました。ブラウザ拡張機能は受動的な収集経路です。従業員が意図的にAIサービスへ何もアップロードしなくても、拡張機能をインストールして社内ポータルやチケッティングシステム、ドキュメント管理画面、SaaSダッシュボードを閲覧するだけで、内部情報が漏洩する可能性があります。

従来のDLPツールは、送信ネットワークトラフィックの検査や特定のアップロード操作のブロックに特化しているため、このパターンを検知できないことが多いです。拡張機能はブラウザの一部であり、データの移動は通常のページレンダリングやテレメトリに見えるためです。これに対処するには、ガバナンスをネットワークや行動層ではなく、データ層に近づける必要があります。

脅威アクターは攻撃チェーン全体でAIを活用—ただし新手法ではない

2026年DBIRには、シャドーAIデータと対になる並行的な発見があります。Anthropicとの協力により、AIプラットフォームを悪用したとして制裁を受けた793人の悪意ある脅威アクターを分析しました。中央値で1人あたり約15種類のMITRE ATT&CK技術についてAI支援を求めており、極端なケースでは40～50種類の技術についてAIを「共同開発者」として活用していました。AI支援による初期アクセス技術のうち、44%がフィッシング、32%が脆弱性悪用に該当します。

しかしDBIRが発見したのは、AI支援技術のうち2.5%未満しか珍しい・新しい攻撃手法を含んでいなかったということです。中央値の技術はすでに同じ機能を持つ既知のマルウェアが55例存在していました。つまり、攻撃者はAIを使って既知の攻撃をより迅速に実行しているのであり、まったく新しい攻撃クラスを生み出しているわけではありません。2026年CrowdStrikeグローバル脅威レポートも、AI活用攻撃者活動の前年比89%増加、ゼロデイ攻撃の42%増加という独自の発見でこれを裏付けています。

このことがシャドーAI議論で重要なのはなぜでしょうか？それは、AI禁止の最も強い論拠を否定するからです。もしAI禁止が攻撃者の優位性を実質的に減少させるのであれば、禁止政策にも一定の正当性があるかもしれません。しかしDBIRデータはそうではないことを示しています。攻撃者はどのみちAIを使います。AIを禁止することで失うのは防御側の生産性です。

アーキテクチャ的対応：禁止ではなくガバナンス付きAIデータアクセス

DBIRデータが示す構造的な教訓は、未承認AIの利用を禁止するポリシーが、業務用メールの個人アカウント利用禁止が失敗したのと同じ理由で失敗するということです。従業員は業務遂行を優先するからです。2026年DBIRは、Privilege Misuse分析でこれを直接記録しています。今年のデータセットにおける悪意あるインサイダー侵害の60%は「利便性」が動機であり、典型例は「自宅作業のために会社データを個人アカウントにメール送信する」行為です。シャドーAI版は、同じ従業員が会議前に契約書を要約するためにパブリックLLMに貼り付ける行為です。

この環境で成功するガバナンスは、ユーザー行動層ではなくデータ層で機能しなければなりません。つまり、3つのアーキテクチャ的コミットメントが必要です：

第一に、ガバナンス付きパイプを通じた認可AIアクセス。従業員はどのみちAIを使います。問題は、企業インフラを通じてポリシーが強制され、やり取りが記録され、機密データが保護される形で使うか、それとも企業が管理しない個人アカウントで使うかです。Kiteworks Secure MCP ServerとAI Data Gatewayは、この層のために設計されています。AIシステムと企業データの間にガバナンス付きの橋を架け、すべてのリクエストに属性ベースアクセス制御を適用し、OAuth 2.0で認証し、どのAIシステムが誰の代理で、いつ何にアクセスしたかの完全な監査証跡を生成します。

第二に、ユーザー操作だけでなく、すべてのAIデータリクエストに対するポリシー強制。従来のDLPはユーザーの行動を検査しますが、データ層ガバナンスはデータの移動自体を検査します。リクエストが人によるものかエージェントによるものかを問わず、データが存在する層でガバナンスされていれば、どんな統合パターンでも統制できます。これにより、ブラウザ拡張機能やエージェンティックAIのギャップも同時に解消されます。

第三に、すべてのAIやり取りの監査証拠を即時に記録。規制当局は待ってくれません。HIPAA、GDPR、EU AI法、米国各州の新たなAI法はいずれも、規制データをAIで処理する組織に「どのデータを、誰の権限で、どのような保護のもとAIがアクセスしたか」を証明できることを求めています。すべてのAIリクエストをリアルタイムでSIEMにストリーミングする改ざん検知可能なログが、その証拠記録の基盤です。AIベンダーのコンソールから推測したログに頼る組織は、後になってその推測がフォレンジックレビューに耐えないことに気付くでしょう。

これこそが、DBIRデータが主張するガバナンス付きAIアクセスのモデルです。マーケティング上の立場ではなく、現実に組織内でAIがどのように使われているかという実証パターンに唯一合致するアーキテクチャです。

今四半期にセキュリティリーダーが取るべき行動

2026年DBIRデータは、今後90日間で具体的なアクションを促すべきです。以下の5つのステップが、最低限取るべき合理的な対応です。

第一に、自組織内のシャドーAIの実態規模を計測すること。ほとんどのDLPやCASB導入環境では、1週間以内に従業員によるパブリックAIサービスへのアップロードを検知できるよう設定可能です。自組織が45%のベースラインなのか、67%の非企業アカウント利用なのか、それともそれ以上・以下なのかを把握することが、最初の成果物となります。

第二に、実際に流出しているデータタイプを特定すること。2026年DBIRの「ソースコードが最多」という発見が出発点ですが、各組織で分布は異なります。金融機関なら契約書や取引文書、医療機関なら診療記録、製造業ならCADファイルやサプライヤー仕様書などが該当するでしょう。どのデータタイプが実際に漏洩しているかを把握しなければ、対策計画は立てられません。

第三に、1つ以上のエンタープライズAI経路を認可すること。禁止政策は失敗します。代替策は、組織が審査し、適切なデータ取扱条件で契約し、データ層でポリシーを強制するコントロールプレーンを通じて、エンタープライズアカウントでガバナンス付きAIアクセスを提供することです。

第四に、AIブラウザ拡張機能の現状を監査すること。これは多くの組織が未計測のギャップです。平均的な企業で15%以上のユーザーが未承認AI拡張機能をインストールしているなら、自組織も同様の可能性が高いです。エンドポイント管理ツールでインストール済み拡張機能を棚卸しし、どの拡張機能を認可し、どのように管理するかをポリシーとして定める必要があります。

第五に、規制当局から要求される前に証拠記録を構築すること。規制データをAIで処理するすべてのやり取りについて、「どのデータを、どのシステムが、誰の代理で、どのような保護のもとアクセスしたか」を記録するログが必要です。監査や規制当局から要求された後で構築するより、事前に整備しておく方がはるかにコスト効率的です。

2026年DBIRが発表したのは単なる統計ではありません。「禁止論争の終焉」を示したのです。45%という数字が新たな基準です。今後問われるのは、どの組織がこの現実に合わせてガバナンスを構築するか、そしてどの組織が「なぜソースコードが本来あるべきでない場所に現れているのか」を取締役会で説明し続けるか、ということです。

よくある質問

2026年Verizon DBIRによると、企業デバイス上でのAIの定常利用率が1年で15%から45%に急増し、ユーザーの67%が非企業アカウントからAIサービスにアクセスしています。シャドーAIはDLPデータにおける非悪意的なインサイダー行動の中で3番目に多く、前年比4倍の増加です。この行動はもはや一部のものではなく主流です。

非常に深刻に受け止めるべきです。2026年Verizon DBIRはAIツールを伴う858,440件のDLPイベントを分析し、ソースコードが圧倒的に多くアップロードされていることを確認しました。次いで画像、構造化データ、研究文書が続きます。パブリックLLMに流出したソースコードは、他者の学習パイプラインに組み込まれる知的財産です。

2026年Verizon DBIRによると、DLPポリシー違反の3.2%で研究・技術文書が未承認AIシステムにアップロードされており、ソースコードの流出が主流です。医療分野固有の露出は個別には示されていませんが、医療業界の「その他のエラー」パターンは10年以上にわたり上位3位の侵害要因であり、シャドーAI経由のリスクがそれをさらに増幅しています。

いいえ。2026年Verizon DBIRは、悪意あるインサイダー侵害の60%が「利便性」を動機としていることを示しており、従業員がポリシーより業務遂行を優先するため、AI禁止政策はメールの個人アカウント利用禁止と同様に失敗することが予測されます。Kiteworksのアプローチは、禁止ではなく、ガバナンス付きデータ層を通じた認可AIアクセスです。

2026年Verizon DBIRデータに基づき、以下の5つの要件を満たすことが必要です：データ層でポリシーを強制するガバナンス付きAIデータアクセス、すべてのAIセッションでのOAuth 2.0認証、すべてのリクエストに対する属性ベースアクセス制御、SIEMにリアルタイムでストリーミングされる改ざん検知可能な監査ログ、そしてAIエージェント・人間ユーザーの双方に対応する内容認識型コントロール。Kiteworks Secure MCP ServerとAI Data Gatewayは、まさにこれらに対応しています。