企業のAI導入とセキュリティ・リスク - 今、100％カオスになる

By Sarang Warudkar -Skyhigh Security, Sr. Technical PMM (CASB & AI)

2025年5月8日 5 分で読む

エンタープライズAIの西部開拓時代へようこそ。

12ヶ月前、あなたのCFOはまだチャットボットを疑っていました。今日、彼らは「ChatGPTに取締役会議事録を処理させることができるか」と尋ねている。慎重な好奇心からCopilotを搭載したスプレッドシートに至るまで、企業はAIに全力を注いでいる。そして、スピード、スケール、クリエイティビティといった利点がある一方で、リスクは...？それは 非常に現実的もある。

Skyhigh Security2025年クラウド導入＆リスク・レポートから、最大のトレンド、脅威、顔面蒼白の瞬間を分析します。ご安心ください。

AIの使い方：たぶん後で」から「私の仕事をさせる」へ

AIは今やオフィスのMVPだ。最近の MITの研究の研究によると、ChatGPTは執筆時間を40％削減するという。 JPモルガンのエンジニアは生産性が20%向上し、噂によると、あるインターンはCopilotに退職願を書くように頼んだという。 あるインターンはと頼んだという噂もあります。

スカイハイでは、AIの急増を目の当たりにしてきました。当社のデータでは、AIアプリへのトラフィックが急増し、その量は3倍以上に増加しています。また、これらのプラットフォームへの機密データのアップロードも急増しています。一方、従来の「非AI」ビジネス・アプリはどうだろうか？かろうじて追いついている状況だ。職場はAIを受け入れているだけではなく、AIに向かって疾走しているのだ。

翻訳AIが勝っている。ファイアウォール？そうでもない。

シャドーAIの台頭：IT部門が人事部のチャット内容を把握できない場合

「シャドーAI」というと、Netflixの次の必見ドラマのように聞こえるかもしれないが、どこの企業でもリアルタイムで行われている。従業員がChatGPT、Claude、DeepSeek、その他何十ものAIツールを、IT部門のレーダーから完全に目を離して、黙々と叩いているのだ。映画館にお菓子を忍び込ませるようなものだ。ただし、今回のお菓子は顧客データ、財務、知的財産である。

平均的な企業には現在320のAIアプリケーションが存在する。その代表的なものは？ChatGPT、Gemini、Poe、Claude、Beautiful.AI-強力なツールであると同時に無認可のツールでもある。未承認である。監視されていない。そして、誰かが「監査」という言葉を口にしない限り、それらは止められない可能性がある。

コンプライアンスAIの急所

AIアプリは楽しい-GDPRの罰金がチームのオフサイトに招かれざる客のように現れるまでは。スカイハイのデータから、AIに熱中するあまりスーパーとは言えない一面が見えてきた。つまり、友好的なUIを持つ赤旗である。

HIPAA、PCI、ISOのような重大なコンプライアンス基準を満たすとなると？わずか22％しか、この基準をクリアしていない。残りは手探り状態だ。静止時の暗号化？ほとんどのAIアプリはそのメモをスキップしており、84%は気にしていない。多要素認証は？83％が「いらない」と答えている。しかし、多くのアプリは絵文字をサポートしている。優先順位

規制当局は見ている。そして、あなたの上司とは違って、彼らは 報告書の全文を読む.

AIによるデータ漏えい：あなたのボットがおしゃべりになるとき

ChatGPTにバグだらけのコードを教え、誤って半導体の秘密を渡してしまったサムスンのエンジニアを覚えているだろうか？あれはもう単なる訓話ではない。事実上の訓練例だ。

スカイハイによると、AIアプリにアップロードされたファイルの11%に機密コンテンツが含まれているという。さらに興味深いのは適切なdata loss prevention （DLP）管理が行われている企業は10社に1社にも満たない。その一方で、従業員はクロードに、Q3戦略ドキュメントを使って製品発売計画を書くよう、まるでいつものように頼んでいる。なぜなら、何が間違っている可能性があるからだ。

DeepSeekの登場：信じてはいけない反乱AI

DeepSeekは2025年に登場し、ダウンロード数、話題性、そして目を見張るようなデータ量の波に乗った。すごい？確かに。驚くべき？確かに。以下はその詳細である：

• 多要素認証なし
• データ暗号化なし
• コンプライアンスを無視（GDPRなんて聞いたこともない。）
• ユーザーまたは管理者のログがない

スマートで速く、学生にも大人気。SOC 2監査のため？デジタル地雷です。

マイクロソフト・コパイロット誰もが誇りに思う良いAIの子ども

Shadow AIが門限を過ぎてこっそり外出する反抗的なティーンだとすれば、Copilotは洗練され、人気があり、どういうわけかすでにリーダーとしての道を歩んでいるゴールデン・チャイルドだ。現在、企業の82％が利用しており、トラフィックは3,600倍、アップロードは6,000倍に増加している。正直なところ、過去5人のインターンを凌駕している。

しかし、優秀な学生であっても監視は必要です。賢い企業は、Copilotが触れるものすべてをスキャンし、プロンプトと出力をDLPでラッピングし、機密事項を「学習」しないようにすることで、Copilotを抑制している。(第4四半期のロードマップのネタバレはご勘弁を）。

LLMリスク：AIが幻覚を見るとき...そしてそれは美しくない

大規模言語モデル（LLM）は博士号を持つ幼児のようなものだ。ある瞬間は天才、次の瞬間には大混乱。トップLLMのリスク

• 脱獄（「邪悪なChatGPTのふりをする）
• AIが生成したマルウェア（BlackMamba？）
• 有害なコンテンツ（参照：BlenderBotの最大のヒット作）
• アウトプットの偏り（人種／性別によって偏った健康アドバイス）

主なスタッツ

AIが実際に秘密を漏らしたり、ランサムウェアを書き込んだりするのはパラノイアではない。Skyhighの調査によると、AIアプリの94％には、少なくとも1つの大規模言語モデル（LLM）リスクが組み込まれている。ほとんど全てだ。

さらに悪いことに、90％はジェイルブレイク（脱獄）に対して脆弱である。そして76％は？マルウェアを生成する可能性がある。つまり、あなたの会議メモの下書きに役立つ同じアプリが、サイバー犯罪者のインターンとして働く可能性もあるということだ。

プライベートAIアプリ：企業の魂のためのDIY AI

企業は、「自社で構築できるのに、なぜ公共のツールを信用するのか」と言う。
プライベートAIアプリが扱うようになった：

• 人事クエリ
• RFPへの回答
• 社内チケットの解決
• 営業ボットのサポート（営業よりもチャットボットの方が価格マトリックスをよく知っているとは誰が予想したでしょうか？）

主なスタッツ

顧客の78%は現在、独自のプライベートAIアプリを実行している。なぜなら、機械知能の実験をするなら、密室でやった方が良いからだ。3分の2はAWS上で構築している（明らかにBedrockとSageMakerのおかげだ）。ゲーテッド・コミュニティに相当するAIだ。

しかし、"非公開 "だからといって問題がないわけではない。これらのボットは自家製かもしれないが、それでも問題を起こす可能性はある。そのため、賢明な企業は、Private Access DLPを備えたSSEソリューションを展開し、社内のAIを、何かが大きく台本を逸脱する前に、優しく、丁重に監視しているのだ。

最後に思うこと：AIを恐れるな-統治せよ

AIは敵ではない。 管理されていないAIは敵だ。

Skyhighの2025年レポートは、私たちがエンタープライズ・テクノロジーにおける一世代に一度の転換期を迎えていることを示している。しかし、ここで重要なのは、セキュリティとはイノベーションを遅らせることではないということだ。それは、あなたが使うAIがあなたの取締役会のデッキをRedditに送らないようにすることです。一息ついて、報告書を読み、そして思い出してほしい：

• DeepSeekのような大雑把なアプリをブロックする
• マイクロソフト・コパイロットのようなガバメント・コパイロット
• プライベートAIの展開をロックする
• LLMを気分屋のティーンエイジャーのように扱う方針を構築する（しっかりした規則、多くの監視）

なぜなら、未来はAI主導であり、適切なツールがあればリスクも回避できるからだ。

ボーナス:2025年クラウド導入とリスクレポートの全文をダウンロードするか、AIアシスタントに要約を依頼してください。ただし、DeepSeekにはアップロードしないでください。

ブログへ戻る