セキュリティがエージェンティックAIの拡張を阻む：スタンフォード大学が主要な障壁を確認

スタンフォード大学の人間中心AI研究所（HAI）は今月、2026年AIインデックスレポートを発表しました。多くの報道は米中のテクノロジー競争、つまり中国のAIモデルが米国トップモデルとの差を2.7ポイントまで縮めたことや、2025年の米国AI投資額が2,859億ドルに達したことに焦点を当てています。これらの発見も重要ですが、より本質的な示唆は、多くの報道が見逃した「責任あるAI」「ガバナンス」「エージェンティックAIのスケーリング」に関するセクションにあります。

主なポイント

1. セキュリティとリスクがエージェンティックAI拡大の最大の障壁。スタンフォードの2026年AIインデックスによると、62%の組織がセキュリティとリスクを主な阻害要因として挙げており、技術的制約（38%）、規制の不確実性（38%）、責任あるAIツールの不足（32%）を上回っています。生成AIからエージェンティックAIへと話題が移ると、セキュリティが最も大きな制約となります。
2. AIインシデントは「発生件数」だけでなく「集中化」している。少なくとも1件のAIインシデントを報告した組織の割合は2024年・2025年ともに8%で横ばいですが、インシデントの集中度が大きく変化しました。3～5件のインシデントを報告した組織は30%から50%に増加し、1～2件のみの組織は42%から29%に減少。AIインシデントは同じ組織内で繰り返し発生する傾向が強まっており、特に積極的にAIを導入している組織で顕著です。
3. 自己評価によるインシデント対応能力が低下。AIインシデント対応を「優れている」と評価した組織は2024年の28%から2025年には18%に減少。「良い」とした割合も39%から24%に減少しています。組織はAIインシデントの発生が増える一方で、対応力に自信を持てなくなっています。
4. リスク認識が運用現実に追いついた。サイバーセキュリティリスクへの懸念は66%から72%に、規制コンプライアンスへの懸念は63%から72%に、そして不正確性への懸念は60%から74%へと14ポイント増加。AIによるデータセキュリティやコンプライアンスリスクは、もはや推測ではなく主流の懸念事項となりました。
5. 責任あるAIポリシーの導入は加速したが、実装障壁は依然として存在。RAI（責任あるAI）ポリシー未導入の組織は前年の24%から11%に減少。しかし、知識やトレーニングのギャップが最大の障壁（59%、前年は51%）となっており、リソース不足（41%）、技術的制約（38%）が続きます。組織はさらなるポリシードキュメントではなく、パッケージ化された実効性のあるコントロールを求めています。

この発見こそが、2026年にあらゆる取締役会、CISO、コンプライアンス責任者がAI導入を考える際の発想を変えるべきポイントです。

スタンフォードが組織に「エージェンティックAI（複数ステップのワークフローを自律的に実行し、ツールと連携し、データを操作できるAIエージェント）」の拡大を阻む要因を尋ねたところ、セキュリティとリスクが62%で最上位となりました。技術的制約は38%、規制の不確実性も38%、責任あるAIツールやコントロールの不足は32%。リソース不足やビジネス価値の不明確さはさらに下位です。

この順位を見てください。セキュリティは他の懸念と同列ではありません。規制の不確実性よりも上位で、次点と24ポイントもの差があります。技術の未熟さや予算不足が原因ではなく、自律型エージェントに必要なデータアクセスのガバナンスができないことが拡大の障壁となっています。

インシデントデータは見出し以上に精緻な現実を示す

スタンフォードのレポートの多くの報道は「2025年のAIインシデント数362件、2024年の233件から増加」といったAIインシデントデータベースの被害件数に注目しています。これは正確ですが、分析としては不十分です。

スタンフォードの調査データは、AIインシデントが実際にどこで発生しているかをより精緻に示しています。少なくとも1件のAIインシデントを報告した組織の割合は2024年・2025年ともに8%で横ばい。しかし、インシデントの集中度が変化しました。インシデントを経験した組織のうち、3～5件を報告した割合は30%から50%に増加。1～2件のみの組織は42%から29%に減少しています。

この違いは重要です。AIインシデントはより多くの組織に拡大しているのではなく、既に経験した組織内に集中していることを意味します。最もあり得る説明は、積極的にAIを導入している組織ほどインシデント件数が多く、再発防止の学習が十分に進んでいないということです。

インシデント対応能力のデータもこの傾向を裏付けています。AIインシデント対応を「優れている」と評価した組織は1年で28%から18%に減少。「良い」とした割合も39%から24%に減少。一方、「満足できる」は19%から32%、「改善が必要」は13%から21%に増加。インシデントの頻度が増す中で、組織は対応力への自信を失っています。

パターンは明確です。積極導入組織内でのAIインシデントの再発、対応力の低下、全体としては発生率が横ばい。問題は広がっているのではなく、深刻化しています。

リスク認識がついに現実に追いついた

スタンフォードのデータは、調査対象組織全体でリスク認識が大きく変化したことを示しています。2024年から2025年にかけて、データセキュリティに関連するあらゆるカテゴリーで「AIリスクが関連性あり」と考える回答者の割合が増加しました。

不正確性への懸念は60%から74%へと14ポイント増加。サイバーセキュリティへの懸念は66%から72%、規制コンプライアンスへの懸念は63%から72%へと9ポイント増加。個人のプライバシーも高い水準で微増しています。

もはやこれらは一部の意見ではありません。約4分の3の組織が、AIによるデータセキュリティ・コンプライアンス・正確性リスクを重大な懸念事項として扱っています。2026年Thalesデータ脅威レポートも別の角度からこれを裏付けており、70%の回答者がAIエコシステムの急速な変化を最も懸念するAI関連リスクとしています。2026年DTEX/Ponemonインサイダーリスクレポートでは、92%の組織が生成AIによって従業員の情報共有方法が根本的に変わったと回答しながら、AIをセキュリティ戦略に組み込んでいるのはわずか13%にとどまっています。

もはや認識の欠如が制約ではありません。制約は運用能力にあります。

責任あるAIポリシーだけではギャップは埋まらない理由

スタンフォードはリスク認識データと並行して、もう一つ注目すべき変化を記録しています。責任あるAI（RAI）ポリシーの導入が急速に進み、未導入の組織は2024年の24%から2025年には11%に減少。つまり、約9割の組織が何らかのAIガバナンスを明文化しています。

インパクトデータもポリシーの有効性を示しています。RAIポリシーを持つ組織は、AIインシデントの減少（未導入組織比+8ポイント）、ビジネス成果の向上（+7ポイント）、業務運営の改善（+4ポイント）、顧客信頼の増加（+4ポイント）を報告。ポリシーは効果を発揮しますが、それだけではギャップを埋めきれません。

完全実装への障壁が残りのストーリーを物語っています。スタンフォードは、責任あるAI実装の最大の障壁が知識・トレーニングのギャップ（59%、前年は51%）であると指摘。技術的制約が38%（前年32%）、リソース・予算不足が41%、規制の不確実性が38%と続きます。組織抵抗や経営層の支援不足も見られますが、主要因ではありません。

この傾向が示すのは、組織が責任あるAIに対する信念や方向性を欠いているのではなく、ポリシーを運用に落とし込む専門知識が不足し、ポリシーを強制するツールも未成熟、両方を構築するリソースも限られているということです。明確な示唆は、組織にはパッケージ化された実効性のあるコントロール、つまりデータ分類のポリシーテンプレート、標準搭載のログ機能、同意・保持の強制、AIアクセスのガードレールなど、社内の希少な専門知識への依存を減らす仕組みが必要だということです。

まさにこのギャップを埋めるために、Kiteworks Secure MCP ServerとAI Data Gatewayが存在します。

規制フレームワークはデータ層で収束しつつある

スタンフォードの規制影響データは、2025年にどのフレームワークが責任あるAIの意思決定に影響を与えているかを示しています。EU一般データ保護規則（GDPR）が最も多く挙げられましたが、その影響度は65%から60%に低下。EU AI法および米国AI大統領令は、構想段階から運用段階に移行する中で約2ポイント上昇。ISO/IEC 42001（AIマネジメントシステム規格）は初めて調査対象となり36%。NIST AIリスクマネジメントフレームワークは33%。OECD AI原則は21%から16%に減少。RAI実践に規制影響がないとする組織は17%から12%に減少しています。

この数字から2つの傾向が読み取れます。

第一に、AI固有のフレームワーク（EU AI法、ISO/IEC 42001、NIST AI RMF）は、独立した制度としてではなく、既存のデータ保護フレームワークの拡張として採用されつつあります。AI規制はますますデータ保護の観点（合法性、公平性、目的限定、データ最小化、保持期間制限、処理のセキュリティ）で解釈されています。Kiteworks 2026年予測レポートでは、米国組織の82%がまだEU AI法の影響を感じていないとしつつも、影響を受けていない組織は主要なAIコントロールで22～33ポイント遅れており、2層構造の市場が生まれつつあると指摘しています。

第二に、標準主導のアプローチが運用面で重みを増しています。ISO/IEC 42001の台頭とNIST AI RMFの継続的な重要性は、組織が単なる規制遵守のチェックリストではなく、実装可能な標準を求めていることを示唆しています。この傾向は実装障壁データとも一致しており、知識ギャップや技術的制約に悩む組織は、「何を達成すべきか」だけでなく「何をすべきか」を具体的に示すフレームワークを求めています。

ほとんど注目されなかったサイバーセキュリティベンチマークの変化

スタンフォードのAIインデックスは、すべてのセキュリティリーダーが注目すべき特定のベンチマークを検証しました。CybenchはAIエージェントのサイバーセキュリティタスクにおける性能を評価するベンチマークで、ガイドなしの解決率が2024年の15%から2025年には93%に急上昇しました。

もう一度ご覧ください。サイバーセキュリティタスクにおけるAIエージェントのガイドなし解決率が、わずか1年で15%から93%に上昇しています。

これは責任あるAIの測定ギャップの裏側です。最先端モデルは通常状態で高い安全性（HELM Safetyスコアは2024～2025年リリースの多くで0.90～0.98）を示しますが、スタンフォードはAILuminate v1.0テストで意図的なジェイルブレイク条件下では多くのモデルの性能が大きく低下することを確認しました。結論は明確です。攻撃者はAIを使って高度なサイバーセキュリティタスクを自動化できるようになりつつあり、防御側モデルも通常状態では安全に見えても、ジェイルブレイクで有害な出力を生成できてしまいます。

これは、組織がAIガバナンスアーキテクチャを考える上で重要です。モデルレベルの安全機能が、同じジェイルブレイク手法で攻撃者に回避されるなら、モデルレベルのガードレールだけではセキュリティコントロールとして不十分です。ガバナンスはデータ層で実施される必要があり、モデルやプロンプト、エージェントフレームワークとは独立して強制されるべきです。

Kiteworksはスタンフォードの発見にどう対応するか

Kiteworksは、スタンフォードの発見に対し複数のアーキテクチャレベルで対応しています。

62%が障壁としたエージェンティックAI拡大について：Kiteworksは、アプリケーションレベルだけでなくコンテンツレベルで最小権限アクセスを強制するデータ層ガバナンスを提供します。すべてのAIエージェントによる機密データへのアクセスは、ID認証、属性ベースアクセス制御ポリシー評価、暗号化、改ざん検知可能な監査ログを経由し、エージェントがどのような指示を受けていても例外はありません。スタンフォードのデータが示す「セキュリティ懸念でエージェンティックAI拡大が阻まれている」状況に対し、Kiteworksはその障壁を取り除くコントロールプレーンを提供します。

RAI実装障壁（59%が知識ギャップと回答）について：Kiteworksは、GDPR、HIPAA、CMMCなど各種フレームワークに対応したプリセットのコンプライアンスダッシュボード、すべての機密データ交換チャネルを横断した集中型ポリシー強制、証拠要件を満たす標準搭載のログ機能など、パッケージ化されたコントロールを提供します。組織はAIガバナンスをゼロから設計する必要がありません。

インシデント対応能力の低下について：Kiteworksは、スロットリングなし・プレミアムライセンス不要でリアルタイムの監査証跡を生成し、直接組織のSIEMに連携します。AIインシデント発生時、対応者は最悪ケース想定に頼らず、正確に範囲を評価する証拠を得られます。

ISO/IEC 42001およびNIST AI RMFとの整合性について：Kiteworksは、両フレームワークが要求する可監査性、アクセス制御、証拠保管の連鎖ドキュメントを提供し、AI固有の標準と既存のデータ保護義務（GDPR、HIPAA、CMMC）を橋渡しします。

セキュリティリーダーはスタンフォードのデータをどう活用すべきか

第一に、62%が障壁としたエージェンティックAI拡大を「データ層ガバナンスを今すぐ優先すべき」という根拠と捉えてください。AI固有の規制が完璧に整うのを待つ組織は、競合他社がAIを拡大したときにスケールできない組織となります。障壁はすでに運用上存在しており、最初に動く組織がそのガバナンス基盤を構築して障壁を取り除くことになります。

第二に、自社内でのインシデント集中傾向を監査してください。2025年にAIインシデントを経験した場合、スタンフォードのデータは翌年も追加インシデントを経験する可能性が高いことを示唆しています。再発の要因を調査しましょう。原因は一つとは限りません。

第三に、RAIポリシーを実効性あるインフラとセットで運用してください。RAIポリシー未導入組織は11%と少数派に。もはや「ポリシーを持つか否か」ではなく、「技術的コントロールで裏付けられているか」が問われます。強制力のないポリシーは単なる文書であり、ガバナンスとは言えません。

第四に、自社のAI導入状況をISO/IEC 42001およびNIST AI RMFに照らしてマッピングしてください。これらの標準は規制上の重みを増しており、その要件はGDPR、HIPAA、米国州レベルの新AI法にも直結します。今これらのフレームワークを採用することで、スタンフォードのデータが示す規制加速に備えられます。

第五に、Cybenchの発見をSOC能力強化の警鐘と捉えてください。サイバーセキュリティタスクにおける敵対的AI能力が1年で15%から93%に上昇したなら、防御側AI能力も同等のスピードで進化させる必要があります。しかしより本質的には、Kiteworksが担うデータ層で、モデルの安全性や高度さに依存しないアクセス制御を強制することが不可欠です。

スタンフォード2026年AIインデックスは予測ではなく現状診断です。組織はAIをガバナンス能力以上のスピードで導入しています。インシデント頻度は積極導入組織内で集中化。リスク認識が高まる一方で対応力は低下。セキュリティとリスクが、取締役会が求めるAI拡大の最大の障壁となっています。そして責任あるAIの測定ギャップにより、モデルレベルのガードレールだけでは十分ではありません。

2026年にデータ層でガバナンスを実現する組織こそ、2027年のインシデント件数に加わらず、エージェンティックAIを本格的にスケールできる組織となるでしょう。