シャドーAI利用が企業セキュリティの主要な脅威に

セキュリティ企業Netskopeが発表した最新レポートによると、企業におけるAIの無秩序な導入が依然として重大なセキュリティリスクを引き起こしています。多くの従業員は、適切なセキュリティ対策が施されていない個人アカウントを通じてAIツールを利用し続けており、これがハッカーによるツール操作や企業ネットワークへの侵入の機会を生み出しています。

Netskopeは、「AI駆動の新たな脅威とレガシーなセキュリティ問題の組み合わせが、2026年の進化する脅威の状況を定義している」と指摘しています。

シャドーAI利用の実態と改善の兆し

「シャドーAI」は長年にわたり認識されている問題ですが、AIを業務フローに組み込むことを急ぐ組織にとって、依然として根強い課題です。Netskopeのレポート（2024年10月から2025年10月までのクラウドセキュリティ分析に基づく）によれば、生成AIプラットフォームを利用する人々のほぼ半数（47%）が、企業の監視下にない個人アカウントを使用しています。

このデータは、個人AI利用の傾向について複雑な状況を示しています。一方で、個人AIアプリの利用率は前年の78%から47%へと大幅に減少しました。また、企業承認済みアカウントの利用率は25%から62%に増加しています。しかし、個人アカウントと企業アカウントを切り替える人々の割合は、前年の4%から9%へとわずかに増加しました。Netskopeはこの結果から、「企業は、ユーザーが求める利便性や機能を提供する上で、まだやるべきことがある」と分析しています。

シャドーAIがもたらす具体的なリスク

企業環境における個人AIの利用は、複数のリスクを生み出します。これには、規制順守の不徹底、外部AIサービスと社内サーバー間の安全でないAPI接続が含まれます。最も一般的な結果の一つはデータ漏洩であり、Netskopeは、ユーザーが機密データをAIアプリに送信するインシデントが前年比で倍増し、平均的な企業では毎月223件ものインシデントが発生していることを観測しています。

この問題は、AIコンパニオンアプリ「Character.AI」を巡る、14歳の息子がAIとの交流後に自殺したとする訴訟事例にも関連して言及されており、AI利用における倫理的・セキュリティ的な側面が注目されています。

AIガバナンス強化による対策の必要性

セキュリティ専門家は、シャドーAIの利用を抑制し、このようなインシデントを防ぐ最善の方法は、AIガバナンスプロセスの導入を優先することであると述べています。Netskopeは、「管理されたAIアカウントへの移行は奨励されるべきだが、従業員の行動がガバナンスをいかに迅速に追い越すかをも浮き彫りにしている」と述べ、企業に対して以下の対策を推奨しています。

• より明確なポリシーの策定
• 適切なプロビジョニングの実施
• AIツールが従業員全体でどのように利用されているかについての継続的な可視化

これらの対策を通じて、企業はAI利用に伴うセキュリティリスクを効果的に管理し、安全なデジタル環境を維持する必要があります。

---

元記事: https://www.cybersecuritydive.com/news/shadow-ai-security-risks-netskope/808860/