はじめに
本稿では、AI(人工知能)の活用が急速に進む現代において、企業が見落としがちなセキュリティリスクについて解説します。AIはビジネスに大きな可能性をもたらす一方で、その導入を急ぐあまり、セキュリティ対策が追いついていない「監視のギャップ」という新たな課題が生まれています。
この記事は、IBMが発行した最新の調査レポート「2025 Cost of a Data Breach Report: Navigating the AI rush without sidelining security」を基に、AI時代におけるデータ侵害の実態と、企業が取るべき具体的な対策をご紹介します。
参考記事
- タイトル: 2025 Cost of a Data Breach Report: Navigating the AI rush without sidelining security
- 著者: Limor Kessem
- 発行元: IBM
- 発行日: 2025年7月30日
- URL: https://www.ibm.com/think/x-force/2025-cost-of-a-data-breach-navigating-ai
要点
- IBMの2025年レポートによると、データ侵害の平均コストは5年ぶりに減少した。これはAIを活用した防御による侵害検知・封じ込め期間の短縮が要因である。
- 一方で、AIの急速な導入にセキュリティ対策が追いつかない「AI監視のギャップ」が新たなリスクとなっている。
- 多くの組織でAIガバナンスやアクセス制御が不十分であり、特に従業員が許可なく利用する「シャドーAI」は侵害コストを大幅に増加させる。
- このリスクに対処するためには、「ID・アクセス管理の強化」「クラウドセキュリティの見直し」「AIガバナンスの確立」「継続的な教育」が不可欠である。
詳細解説
AIがもたらした光と影 – データ侵害コストの減少と新たなリスク
IBMの最新レポートによると、データ侵害1件あたりの世界平均コストは、過去最高の488万ドルから444万ドルへと9%減少し、5年ぶりに低下に転じました。これは、AIを活用したセキュリティ対策によって、侵害の発見から封じ込めまでにかかる時間が平均241日と、過去9年間で最短になったことが大きな要因です。AIがサイバー攻撃からの防御に貢献していることは、明るいニュースと言えるでしょう。
しかし、レポートは同時に警鐘を鳴らしています。AI導入のスピードにセキュリティ対策が追いつかず、新たなリスクを生み出しているのです。この現象を「AI監視のギャップ」と呼びます。多くの企業が競争上の優位性を得るためにAIの導入を急ぐ一方で、その基盤となるセキュリティ対策の評価を怠っています。この結果、後で大きな問題を引き起こしかねない「セキュリティ負債」が蓄積されているのです。
「AI監視のギャップ」が引き起こす深刻な問題
この「AI監視のギャップ」は、具体的にどのような問題を引き起こしているのでしょうか。レポートは衝撃的なデータを明らかにしています。
- AI関連のセキュリティインシデントを経験した組織のうち、実に97%が適切なAIへのアクセス管理を欠いていました。
- 調査対象となった600組織のうち、63%がAIを管理するためのガバナンス(統治)方針を設けていませんでした。
特に深刻なのが「シャドーAI」の問題です。これは、従業員が会社の許可を得ずに、インターネット上で提供されているAIツールを業務に利用してしまう状況を指します。例えば、機密情報を含む会議の議事録を、無許可の外部AIサービスで要約してしまうといったケースが考えられます。こうしたシャドーAIの利用レベルが高い組織では、データ侵害が発生した際の平均コストが67万ドル(約1億円)も上乗せされるという結果が出ています。
攻撃者もこの弱点を見逃しません。彼らはAIシステムそのものを価値の高いターゲットとみなし、攻撃を仕掛けてきます。レポートによれば、調査対象組織の13%が、すでに自社のAIモデルやアプリケーションへの攻撃を経験しています。この数字は、今後1年でさらに増加すると予測されています。
AI時代に求められる4つの必須セキュリティ対策
では、企業はこの新たな脅威にどう立ち向かえばよいのでしょうか。レポートでは、以下の4つの基本的な対策を徹底することが不可欠だと提言しています。
1. ID・アクセス管理の強化
AIシステムは、人間だけでなく、他のシステムやアプリケーション(非人間ID)とも連携して動作します。そのため、誰が、あるいは何がAIにアクセスできるのかを厳格に管理することが重要です。従来のパスワード認証だけでなく、SMS(ショートメッセージ)を使わない高度な多要素認証(MFA)を導入し、特権的なアクセス権限を厳しく管理する必要があります。
2. クラウドセキュリティの見直しと強化
AIが扱うデータやプログラムの多くは、クラウド環境で稼働しています。クラウドの設定ミスや不適切な権限付与は、大規模な情報漏洩に直結する可能性があります。自社のクラウド環境の設定を定期的に監査し、AIを活用した監視ツールを導入して、リスクを迅速に検知・修正できる体制を整えることが求められます。
3. AIガバナンス、リスク、コンプライアンス(GRC)の強化
AIを安全に利用するための組織全体のルール作りと管理体制(AIガバナンス)を確立することが急務です。これには、AIの開発や導入に関する方針、管理プロセス、そしてAIがもたらす特有のリスクに対応するための管理策が含まれます。
また、「データリネージ」を追跡する技術の導入も有効です。これは、データが組織内のどこで生まれ、どのように加工され、最終的にどこで使われるのか、その全行程を可視化するものです。これにより、データの透明性が高まり、万が一問題が発生した際も迅速な対応が可能になります。
4. 継続的な教育とトレーニング
AIに関連する脅威は日々進化しています。従業員に対して、最新の脅威やセキュリティのベストプラクティスに関する教育を定期的に実施することが不可欠です。また、実際のインシデントを想定した「机上演習」などを通じて、対応チームの実践的な能力を高めておくことも重要です。
まとめ
本稿では、IBMの「2025年データ侵害コストレポート」を基に、AIの急速な普及がもたらす新たなセキュリティ課題「AI監視のギャップ」について解説しました。
AIは、サイバー攻撃に対する防御力を高める一方で、その導入プロセスにおけるセキュリティ対策の遅れが、シャドーAIのような新たな脆弱性を生み出しています。このギャップを埋めるためには、目先の利便性だけを追うのではなく、ID管理、クラウドセキュリティ、ガバナンス、そして人材教育といった基本的な対策を着実に実行することが不可欠です。
AIという強力なツールを安全に活用し、その恩恵を最大限に享受するためにも、今一度自社のセキュリティ体制を見直してみてはいかがでしょうか。
