AI導入の加速と監視体制の遅れ

2025年AIデータセキュリティレポートが、企業セキュリティにおける深刻な矛盾を明らかにしました。AIの導入はほぼ全ての組織で進んでいる一方で、その監視体制は著しく遅れている現状が浮き彫りになっています。組織の83%が日常業務でAIを利用しているにもかかわらず、これらのシステムが機密データをどのように扱っているかについて、強力な可視性を持つと回答した企業はわずか13%に過ぎません。

この調査はCybersecurity InsidersがCyera Research Labsの協力のもと、921名のサイバーセキュリティおよびIT専門家から回答を得て作成されました。データは、AIが「統治されていないアイデンティティ」として振る舞い、人間よりも速く読み取り、より多くアクセスし、継続的に稼働する「非人間ユーザー」となっていることを示しています。

AIに起因するデータセキュリティの課題

多くの組織では依然として人間中心のアイデンティティモデルを使用しており、AIが持つ「マシンの速度」に対応できていません。その結果、以下のようないくつかの懸念すべき状況が報告されています。

• 3分の2の組織が、AIツールが機密データに過剰にアクセスしていることを確認。
• 23%の組織が、AIのプロンプトや出力に対する制御を全く持っていないと回答。
• 特に自律型AIエージェントは最も露出度の高い領域であり、76%の回答者がこれらのシステムをセキュアに保つのが最も難しいと認識。
• 57%の組織が、リスクのあるAIの行動をリアルタイムでブロックする能力がない。
• AIの使用状況に関する可視性も薄く、約半数が「全く可視性がない」、3分の1が「最小限の洞察しかない」と回答しており、AIがどこで動作し、どのデータに触れているのかを把握できていない企業がほとんどです。

ガバナンス構造の遅延と求められる対策

ガバナンス構造もAI導入の速度に追いついていません。AIガバナンス専門チームを持つ組織はわずか7%であり、出現する規制要件に対応できる準備ができていると感じているのは11%に過ぎません。この状況は、準備不足のギャップが急速に拡大していることを明確に示しています。

レポートは、データ中心のAI監視への転換を強く提唱しています。これには、AI利用の継続的な発見、プロンプトと出力のリアルタイム監視、そしてデータ感度に応じてアクセス範囲を厳密に限定するAI固有のアイデンティティポリシーの導入が含まれます。

Cybersecurity InsidersのHolger Schulze氏は、「AIはもはや単なるツールではありません。それは企業内で、決して眠らず、しばしば境界線を無視する新しいアイデンティティとして機能しています」と述べています。彼は続けて、「可視性と堅牢なガバナンスがなければ、企業は意図しない場所にデータがあることを発見し続けるでしょう」と警告しています。

レポートが警告するように、「特定できないAIエージェントを保護することはできず、見えないものを統治することはできない」のです。企業は、この新たな脅威に対応するための緊急かつ抜本的な対策を講じる必要があります。

元記事: https://gbhackers.com/ai-adoption-surges-shadow-identity-risk/