企業に無視されるAIセキュリティ – 攻撃者も認識

佐々山 Tacos

2025.10.24

企業に無視されるAIセキュリティ – 攻撃者も認識

The Register – Wed 30 Jul 2025

AIが急速な発展を遂げる中、その導入を急ぐあまり、AI関連のリスクをめぐるセキュリティやガバナンスが疎かになっている企業が少なくないという。IBMのレポートにより明らかになった。

2024年3月から2025年2月に世界各国の600組織から報告されたデータに基づくIBMのレポート「Cost of a Data Breach Report 2025（2025年度データ侵害のコストに関する調査）」によると、これらの組織が経験したセキュリティインシデント全体のうち、AI関連のものはまだほんの13%しかない。しかし、企業システムへのAI導入が進むにつれ、その割合は増えていくことが予想されるという。

AI関連のインシデントのうち、60%はデータ漏洩、31%は業務や運用の中断を伴うもの。

こうしたインシデントを経験した企業のうち、23％は攻撃の結果として金銭的損失を被ったと回答しており、17%はレピュテーションが傷付いたと語った。またインシデント原因としては、侵害されたアプリやAPI、プラグインなどを使ったサプライチェーン攻撃が一般的で、AI関連の侵入事案を報告した組織の大半が、攻撃の入り口となったのはサードパーティベンダーのSaaSであったと述べている。

IBMのレポートではまた、87%の組織がAIリスク緩和のためのガバナンスを有していないと回答。さらに侵害を経験した組織の3分の2がリスク評価のための定期的な監査を行なっていなかった上、4分の3が自組織のAIモデルに対する攻撃テストを行っていなかったこともわかった。加えて、組織が認識も承認もしていない状態で業務利用されているシャドーITならぬ「シャドーAI」の問題も浮き彫りになっている。

今回のレポートにより、セキュリティとガバナンスを無視してAIの導入を急いでいる組織は多数存在するであろうことが示唆されている。これには、テクノロジーをめぐる「周囲に遅れを取るわけにはいかない」という焦りが関係している可能性が高い。IBMのセキュリティ・ランタイム製品部門VPであるSuja Viswesan氏は、レポートにより「AIシステムに関する基本的なアクセス制御の欠如」が明らかになっているとして、機密性の高いデータが窃取されたりAIモデルが不正な操作を受けたりするリスクが放置されていることへの懸念を表明。加えて、「AIの採用と監督との間に既にギャップが存在し、脅威アクターがそれを悪用し始めていることをデータが表している」と述べ、対策が十分でない状況への危機感を示した。