メインコンテンツへスキップ
ブログへ戻る 業界の視点

企業におけるAI導入とセキュリティリスク – 今や100%増の混乱を伴う

Sarang Warudkar - Skyhigh Security シニアテクニカルPMM (CASBおよびAI) 著

2025年5月8日 5 分で読めます

エンタープライズAIの無法地帯へようこそ。

12ヶ月前、あなたのCFOはまだチャットボットを疑っていました。しかし今日では、「ChatGPTに役員会議の議事録を作成させられないか」と尋ねています。慎重な好奇心からCopilotを活用したスプレッドシートに至るまで、企業はAIに全面的に投資しています。スピード、規模、創造性といった利益は確かにありますが、リスクはどうでしょうか?それらは非常に現実的なものです。

Skyhigh Securityの2025年クラウド導入とリスクレポートから、300万人以上のユーザーと毎日20億件以上のクラウドイベントから得られた洞察を基に、最大のトレンド、脅威、そして思わず顔を覆いたくなるような瞬間を分析していきましょう。心してかかってください。

AIの利用状況:「後で検討」から「自分の仕事をさせよう」へ

AIは今やオフィスのMVPです。最近のMITの研究によると、ChatGPTは執筆時間を40%短縮すると言います。これは、かつてファイルをどこに保存したかを探すのに費やしていた時間とほぼ同じです。JPMorganのエンジニアは生産性を20%向上させ、あるインターンは初日にCopilotに辞表を書かせたという噂もあります。

Skyhighでは、AIの急増を目の当たりにしてきました。当社のデータでは、AIアプリへのトラフィックは急増し、その量は3倍以上に膨れ上がっています。同時に、これらのプラットフォームへの機密データのアップロードも急速に増加しています。一方、従来の「非AI」ビジネスアプリはどうでしょうか?それらはかろうじて追いついている状態です。職場はAIを受け入れているだけでなく、AIに向かって猛進しています。

要するに: AIが優勢です。あなたのファイアウォールは?それほどではありません。

シャドーAIの台頭:IT部門が人事部門が何とチャットしているかを知らない時

「シャドーAI」は次の必見Netflixシリーズのように聞こえるかもしれませんが、それはあらゆる企業でリアルタイムに展開されています。想像してみてください。従業員がChatGPT、Claude、DeepSeek、その他数十ものAIツールをIT部門の監視から完全に外れたところで静かに利用しているのです。それは映画館にこっそりお菓子を持ち込むようなものですが、今回のお菓子は顧客データ、財務情報、知的財産です。

その数字は驚くべきものです。平均的な企業では現在320ものAIアプリケーションが利用されています。よくあるのは?ChatGPT、Gemini、Poe、Claude、Beautiful.AIなど、強力であると同時に承認されていないツールです。それらは承認されておらず、監視されていません。そして、「監査」という言葉が出ない限り、それらは潜在的に止められない存在です。

コンプライアンス:AIの弱点

AIアプリは楽しいものです。しかし、チームのオフサイトミーティングに招かれざる客のようにGDPRの罰金がやってくるまでは。Skyhighのデータは、このAIへの熱狂のあまり良くない側面を明らかにしています。結局のところ、AIアプリの95%がGDPRの下で中〜高リスクゾーンに分類されます。つまり、フレンドリーなUIを持つ危険信号なのです。

HIPAA、PCI、ISOのような厳格なコンプライアンス基準を満たすことになるとどうでしょうか?わずか22%しか基準を満たしていません。残りは行き当たりばったりです。保存時の暗号化は?ほとんどのAIアプリはその通知を無視しており、84%が対応していません。そして多要素認証は?83%が不要と答えています。しかしご心配なく、その多くは絵文字をサポートしています。優先順位の問題ですね。

規制当局は監視しています。そして、あなたの上司とは異なり、彼らはレポート全体を読みます

AIを介したデータ漏洩:あなたのボットが情報漏洩源になった時

ChatGPTにバグのあるコードを与え、誤って半導体の秘密を漏洩させてしまったSamsungのエンジニアを覚えていますか?それはもはや単なる警告話ではありません。事実上、研修事例となっています。

Skyhighによると、AIアプリにアップロードされたファイルの11%が機密性の高いコンテンツを含んでいます。驚くべきことに、10社に1社未満しか適切なData Loss Prevention (DLP) 対策を導入していません。その一方で、従業員はまるで日常業務のように、第3四半期の戦略文書を使ってClaudeに製品発表計画の作成を依頼しています。何か問題が起こるはずがない、とでも言うのでしょうか?

DeepSeekの登場:信頼すべきではない反逆のAI

DeepSeekは2025年に登場し、ダウンロード数、話題性、そして驚くべきデータ量で注目を集めました。Skyhighのお客様だけでも、1ヶ月で176GBもの企業データがアップロードされました。印象的でしょうか?間違いなく。警戒すべきでしょうか?間違いなく。詳細はこちらです。

  • 多要素認証なし
  • データ暗号化なし
  • コンプライアンスへの配慮なし (GDPR?聞いたことがありません。)
  • ユーザーまたは管理者ログなし

学生の間では、洗練されていて高速で、非常に人気があります。しかし、SOC 2監査にとっては、デジタル地雷となるでしょう。

Microsoft Copilot:誰もが誇りに思う優等生AI

シャドウAIが門限を破ってこっそり出かける反抗期のティーンエイジャーだとすれば、Copilotは、洗練されていて人気があり、なぜかすでにリーダーシップの道を歩んでいる優等生です。現在、企業の82%で利用されており、トラフィックは3,600倍、アップロードは6,000倍に増加しています。正直なところ、過去5人のインターンよりも優れたパフォーマンスを発揮しており、コーヒーブレイクすら要求しません。

しかし、優等生でさえ監督が必要です。賢明な企業は、Copilotが触れるすべてのものをスキャンし、プロンプトと出力をDLPで保護し、機密情報を「学習」しないようにすることで、Copilotを管理しています。(Copilot、申し訳ありませんが、第4四半期のロードマップのネタバレは禁止です。)

LLMのリスク:AIが幻覚を起こすとき…そしてそれは見苦しい

大規模言語モデル (LLM) は、博士号を持つ幼児のようなものです。ある瞬間は天才的ですが、次の瞬間には完全に混沌とします。主なLLMのリスク:

  • ジェイルブレイク (「悪のChatGPTのふりをして」)
  • AI生成マルウェア (BlackMamba、ご存知ですか?)
  • 有害なコンテンツ (参照:BlenderBotの傑作集)
  • 出力におけるバイアス (人種/性別によって偏った健康アドバイス)

主要な統計:

AIが実際に機密情報を漏洩させたり、ランサムウェアを作成したりしているなら、それはパラノイアではありません。Skyhighの調査によると、AIアプリの94%には、少なくとも1つの大規模言語モデル (LLM) のリスクが内在しています。それはほぼすべてです。

さらに悪いことに、90%がジェイルブレイクに対して脆弱であり、ユーザーが本来すべきではないことをさせるように騙すことができるということです。そして76%は、コマンドでマルウェアを生成する可能性があります。つまり、会議の議事録作成を支援する同じアプリが、サイバー犯罪者のインターンとして副業する可能性もあるのです。

プライベートAIアプリ:企業のためのDIY AI

企業は「自分で構築できるのに、なぜパブリックツールを信頼するのか?」と言っています。
現在、プライベートAIアプリは以下を処理しています:

  • 人事関連の問い合わせ
  • RFPへの回答
  • 社内チケットの解決
  • 営業ボットによるサポート (チャットボットが営業担当者よりも価格マトリックスをよく知っているとは、誰が想像したでしょうか?)

主要な統計:

顧客の78%が独自のプライベートAIアプリを運用しています。機械知能の実験を行うのであれば、非公開で行うのが賢明だからです。3分の2はAWS上で構築しています(BedrockとSageMakerのおかげであることは明らかです)。これはAI版のゲーテッドコミュニティのようなものです。

しかし、「プライベート」だからといって問題がないわけではありません。これらのボットは自社開発のものであっても、問題を引き起こす可能性があります。だからこそ、賢明な企業は、予期せぬ事態が発生する前に社内AIを穏やかに、しかし確実に監視するために、Private AccessとDLPを備えたSSEソリューションを展開しています。

最後に:AIを恐れるな、ただ管理せよ

はっきりさせておきましょう。AIは敵ではありません。管理されていないAIが敵なのです。

Skyhigh Securityの2025年レポートによると、私たちはエンタープライズテクノロジーにおける世代に一度の変革期を迎えています。しかし重要なのは、セキュリティはイノベーションを遅らせるものではないということです。それは、使用するAIが役員会議の資料をRedditに送信しないようにすることです。ですから、一息ついてレポートを読み、次のことを思い出してください。

  • DeepSeekのような怪しいアプリをブロックする
  • Microsoft Copilotのようなコパイロットを管理する
  • プライベートAIの展開をロックダウンする
  • LLMを気難しいティーンエイジャーのように扱うポリシーを構築する(厳格なルール、徹底した監視)

なぜなら、未来はAI主導であり、適切なツールがあれば、リスクを回避することもできるからです。

特典:完全版2025年クラウド導入とリスクレポートをダウンロードするか、AIアシスタントに要約を依頼してください。ただし、DeepSeekにはアップロードしないでください。

著者について

サラン・ワルドカール

サラン・ワルドカール

シニア テクニカルPMM (CASB & AI)

Sarang Warudkarは、サイバーセキュリティ分野で10年以上の経験を持つ経験豊富なプロダクトマーケティングマネージャーであり、技術革新を市場のニーズに合わせることに長けています。CASB、DLP、AI駆動型脅威検出などのソリューションに関する深い専門知識を持ち、効果的な市場投入戦略と顧客エンゲージメントを推進しています。サランはIIMバンガロールでMBAを、プネ大学で工学の学位を取得しており、技術的および戦略的洞察力を兼ね備えています。

ブログへ戻る

トレンドブログ

業界の視点

Skyhigh Security 、2026年におけるIRAP評価を「PROTECTED」レベルでSkyhigh Security

サラン・ワルドカー、スチュアート・ベイリス 2026年5月21日

業界の視点

AI Tools Created a Security Gap Your Network Cannot See. Browser Controls Close it.

サラン・ワルドカル 2026年5月19日

業界の視点

現代企業の分断化への対応:データホスティングのジレンマ

ステ・ナディン 2026年5月14日