Sarang Warudkar - Skyhigh Security シニアテクニカルPMM (CASBおよびAI) 著
2025年5月8日 5 分で読めます
12ヶ月前、あなたのCFOはまだチャットボットを疑っていました。しかし今日では、「ChatGPTに役員会議の議事録を作成させられないか」と尋ねています。慎重な好奇心からCopilotを活用したスプレッドシートに至るまで、企業はAIに全面的に投資しています。スピード、規模、創造性といった利益は確かにありますが、リスクはどうでしょうか?それらは非常に現実的なものです。
Skyhigh Securityの2025年クラウド導入とリスクレポートから、300万人以上のユーザーと毎日20億件以上のクラウドイベントから得られた洞察を基に、最大のトレンド、脅威、そして思わず顔を覆いたくなるような瞬間を分析していきましょう。心してかかってください。
AIは今やオフィスのMVPです。最近のMITの研究によると、ChatGPTは執筆時間を40%短縮すると言います。これは、かつてファイルをどこに保存したかを探すのに費やしていた時間とほぼ同じです。JPMorganのエンジニアは生産性を20%向上させ、あるインターンは初日前にCopilotに辞表を書かせたという噂もあります。
Skyhighでは、AIの急増を目の当たりにしてきました。当社のデータでは、AIアプリへのトラフィックは急増し、その量は3倍以上に膨れ上がっています。同時に、これらのプラットフォームへの機密データのアップロードも急速に増加しています。一方、従来の「非AI」ビジネスアプリはどうでしょうか?それらはかろうじて追いついている状態です。職場はAIを受け入れているだけでなく、AIに向かって猛進しています。
要するに: AIが優勢です。あなたのファイアウォールは?それほどではありません。
「シャドーAI」は次の必見Netflixシリーズのように聞こえるかもしれませんが、それはあらゆる企業でリアルタイムに展開されています。想像してみてください。従業員がChatGPT、Claude、DeepSeek、その他数十ものAIツールをIT部門の監視から完全に外れたところで静かに利用しているのです。それは映画館にこっそりお菓子を持ち込むようなものですが、今回のお菓子は顧客データ、財務情報、知的財産です。
その数字は驚くべきものです。平均的な企業では現在320ものAIアプリケーションが利用されています。よくあるのは?ChatGPT、Gemini、Poe、Claude、Beautiful.AIなど、強力であると同時に承認されていないツールです。それらは承認されておらず、監視されていません。そして、「監査」という言葉が出ない限り、それらは潜在的に止められない存在です。
AIアプリは楽しいものです。しかし、チームのオフサイトミーティングに招かれざる客のようにGDPRの罰金がやってくるまでは。Skyhighのデータは、このAIへの熱狂のあまり良くない側面を明らかにしています。結局のところ、AIアプリの95%がGDPRの下で中〜高リスクゾーンに分類されます。つまり、フレンドリーなUIを持つ危険信号なのです。
HIPAA、PCI、ISOのような厳格なコンプライアンス基準を満たすことになるとどうでしょうか?わずか22%しか基準を満たしていません。残りは行き当たりばったりです。保存時の暗号化は?ほとんどのAIアプリはその通知を無視しており、84%が対応していません。そして多要素認証は?83%が不要と答えています。しかしご心配なく、その多くは絵文字をサポートしています。優先順位の問題ですね。
規制当局は監視しています。そして、あなたの上司とは異なり、彼らはレポート全体を読みます。
ChatGPTにバグのあるコードを与え、誤って半導体の秘密を漏洩させてしまったSamsungのエンジニアを覚えていますか?それはもはや単なる警告話ではありません。事実上、研修事例となっています。
Skyhighによると、AIアプリにアップロードされたファイルの11%が機密性の高いコンテンツを含んでいます。驚くべきことに、10社に1社未満しか適切なData Loss Prevention (DLP) 対策を導入していません。その一方で、従業員はまるで日常業務のように、第3四半期の戦略文書を使ってClaudeに製品発表計画の作成を依頼しています。何か問題が起こるはずがない、とでも言うのでしょうか?
DeepSeekは2025年に登場し、ダウンロード数、話題性、そして驚くべきデータ量で注目を集めました。Skyhighのお客様だけでも、1ヶ月で176GBもの企業データがアップロードされました。印象的でしょうか?間違いなく。警戒すべきでしょうか?間違いなく。詳細はこちらです。
学生の間では、洗練されていて高速で、非常に人気があります。しかし、SOC 2監査にとっては、デジタル地雷となるでしょう。
シャドウAIが門限を破ってこっそり出かける反抗期のティーンエイジャーだとすれば、Copilotは、洗練されていて人気があり、なぜかすでにリーダーシップの道を歩んでいる優等生です。現在、企業の82%で利用されており、トラフィックは3,600倍、アップロードは6,000倍に増加しています。正直なところ、過去5人のインターンよりも優れたパフォーマンスを発揮しており、コーヒーブレイクすら要求しません。
しかし、優等生でさえ監督が必要です。賢明な企業は、Copilotが触れるすべてのものをスキャンし、プロンプトと出力をDLPで保護し、機密情報を「学習」しないようにすることで、Copilotを管理しています。(Copilot、申し訳ありませんが、第4四半期のロードマップのネタバレは禁止です。)
大規模言語モデル (LLM) は、博士号を持つ幼児のようなものです。ある瞬間は天才的ですが、次の瞬間には完全に混沌とします。主なLLMのリスク:
主要な統計:
AIが実際に機密情報を漏洩させたり、ランサムウェアを作成したりしているなら、それはパラノイアではありません。Skyhighの調査によると、AIアプリの94%には、少なくとも1つの大規模言語モデル (LLM) のリスクが内在しています。それはほぼすべてです。
さらに悪いことに、90%がジェイルブレイクに対して脆弱であり、ユーザーが本来すべきではないことをさせるように騙すことができるということです。そして76%は、コマンドでマルウェアを生成する可能性があります。つまり、会議の議事録作成を支援する同じアプリが、サイバー犯罪者のインターンとして副業する可能性もあるのです。
企業は「自分で構築できるのに、なぜパブリックツールを信頼するのか?」と言っています。
現在、プライベートAIアプリは以下を処理しています:
主要な統計:
顧客の78%が独自のプライベートAIアプリを運用しています。機械知能の実験を行うのであれば、非公開で行うのが賢明だからです。3分の2はAWS上で構築しています(BedrockとSageMakerのおかげであることは明らかです)。これはAI版のゲーテッドコミュニティのようなものです。
しかし、「プライベート」だからといって問題がないわけではありません。これらのボットは自社開発のものであっても、問題を引き起こす可能性があります。だからこそ、賢明な企業は、予期せぬ事態が発生する前に社内AIを穏やかに、しかし確実に監視するために、Private AccessとDLPを備えたSSEソリューションを展開しています。
はっきりさせておきましょう。AIは敵ではありません。管理されていないAIが敵なのです。
Skyhigh Securityの2025年レポートによると、私たちはエンタープライズテクノロジーにおける世代に一度の変革期を迎えています。しかし重要なのは、セキュリティはイノベーションを遅らせるものではないということです。それは、使用するAIが役員会議の資料をRedditに送信しないようにすることです。ですから、一息ついてレポートを読み、次のことを思い出してください。
なぜなら、未来はAI主導であり、適切なツールがあれば、リスクを回避することもできるからです。
特典:完全版2025年クラウド導入とリスクレポートをダウンロードするか、AIアシスタントに要約を依頼してください。ただし、DeepSeekにはアップロードしないでください。
著者について
Stuart Bayliss and Sarang Warudkar June 25, 2026
Sarang Warudkar June 17, 2026
サラン・ワルドカー、スチュアート・ベイリス 2026年5月21日
サラン・ワルドカル 2026年5月19日