企業に無視されるAIセキュリティ – 攻撃者も認識

企業に無視されるAIセキュリティ – 攻撃者も認識

The Register – Wed 30 Jul 2025

AIが急速な発展を遂げる中、その導入を急ぐあまり、AI関連のリスクをめぐるセキュリティやガバナンスが疎かになっている企業が少なくないという。IBMのレポートにより明らかになった。

2024年3月から2025年2月に世界各国の600組織から報告されたデータに基づくIBMのレポート「Cost of a Data Breach Report 2025（2025年度データ侵害のコストに関する調査）」によると、これらの組織が経験したセキュリティインシデント全体のうち、AI関連のものはまだほんの13%しかない。しかし、企業システムへのAI導入が進むにつれ、その割合は増えていくことが予想されるという。

AI関連のインシデントのうち、60%はデータ漏洩、31%は業務や運用の中断を伴うもの。

こうしたインシデントを経験した企業のうち、23％は攻撃の結果として金銭的損失を被ったと回答しており、17%はレピュテーションが傷付いたと語った。またインシデント原因としては、侵害されたアプリやAPI、プラグインなどを使ったサプライチェーン攻撃が一般的で、AI関連の侵入事案を報告した組織の大半が、攻撃の入り口となったのはサードパーティベンダーのSaaSであったと述べている。

IBMのレポートではまた、87%の組織がAIリスク緩和のためのガバナンスを有していないと回答。さらに侵害を経験した組織の3分の2がリスク評価のための定期的な監査を行なっていなかった上、4分の3が自組織のAIモデルに対する攻撃テストを行っていなかったこともわかった。加えて、組織が認識も承認もしていない状態で業務利用されているシャドーITならぬ「シャドーAI」の問題も浮き彫りになっている。

今回のレポートにより、セキュリティとガバナンスを無視してAIの導入を急いでいる組織は多数存在するであろうことが示唆されている。これには、テクノロジーをめぐる「周囲に遅れを取るわけにはいかない」という焦りが関係している可能性が高い。IBMのセキュリティ・ランタイム製品部門VPであるSuja Viswesan氏は、レポートにより「AIシステムに関する基本的なアクセス制御の欠如」が明らかになっているとして、機密性の高いデータが窃取されたりAIモデルが不正な操作を受けたりするリスクが放置されていることへの懸念を表明。加えて、「AIの採用と監督との間に既にギャップが存在し、脅威アクターがそれを悪用し始めていることをデータが表している」と述べ、対策が十分でない状況への危機感を示した。

【無料配布中！】地政学情勢×サイバー動向の解説レポート

レポート『デジタル時代における世界の紛争 – 地政学情勢はサイバー作戦へどう影響を及ぼしているのか』

以下のバナーより、国際紛争や政治動向といった地政学的情勢がサイバー空間に与える影響について解説したSilobreaker社のレポート『デジタル時代における世界の紛争』の日本語訳バージョンを無料でダウンロードいただけます。

＜レポートの主なトピック＞

本レポートでは、ロシア・ウクライナ戦争やイスラエル・ハマス戦争などの紛争や各国での選挙といった地政学的イベントについて振り返りつつ、それに伴うサイバー攻撃やハクティビズム、偽情報キャンペーンなどのサイバー空間での動きを解説します。また、中国・ロシア・北朝鮮・イランの各国について、関連するハクティビストグループやAPTグループの攻撃事例・特徴などを紹介しながら、サイバーインテリジェンスにおける領域横断的なアプローチの必要性について考えていきます。

目次

• 序論
• ハクティビズム
  • ハクティビズムの変遷
  • 戦争におけるハクティビズム
  • 「選挙イヤー」におけるハクティビズム
  • 絡み合う動機
  • 国家の支援を受けたハッカー集団
• 偽情報
  • 国家間対立
  • 偽情報とロシア・ウクライナ戦争
  • 偽情報とイスラエル・ハマス戦争
  • 偽情報と選挙が世界にあふれた2024年
• 国家型APTの活動
  • 中国
  • ロシア
  • 北朝鮮
  • イラン
• マルチチャネルインテリジェンスの運用化における課題と関連リスク