国内企業の約7割がAIを最大のリスクと認識、新たな「内部脅威」に警鐘かタレス調査報告

タレスは2026年データ脅威レポートを発表し、AIの急速な普及が企業におけるデータセキュリティの優先課題を変化させている現状を明らかにしました。国内企業・組織の約7割がAIを最大のセキュリティリスクと認識しており、AIのアクセス権拡大が新たな「内部脅威」となり得ると警鐘を鳴らしています。

AIが新たな「内部脅威」に

見出し

1 AIが新たな「内部脅威」に
2 広がる監視体制の死角
3 IDを標的とした攻撃の増加とAIの悪用
4 セキュリティ投資は追いつかず
5 ソース元

同レポートによると、国内企業・組織の約7割（73%）が、データセキュリティにおける最大のリスクとしてAIを指摘しています。この懸念は、悪意ある外部からの攻撃としてのAIだけでなく、企業内に導入され信頼されたツールとしてのAIに付与される「アクセス権限」に対しても向けられているといいます。

AIはワークフロー、分析、カスタマーサービス、開発パイプラインなど、企業の多岐にわたる業務に組み込まれています。これらのシステムは、広範囲にわたる企業データへのアクセスを自動的に許可するものの、人間ユーザーと同等の厳格な管理が適用されていないケースがあるといいます。

タレスDISジャパン株式会社サイバーセキュリティプロダクト事業本部長の兼子晃氏は、「内部脅威はもはや人間だけの問題ではありません。過度に信頼された自動化システムもまた、リスクの一因になっています」と述べています。ID管理やアクセス管理ポリシー、あるいはデータの暗号化が不十分な場合、AIは人間の想像をはるかに超えるスピードで企業環境の弱点を見つけ出し、全体に影響を及ぼす可能性があるとしています。

広がる監視体制の死角

AI導入が進む一方で、データ管理との間に深刻なギャップが存在することが明らかになっています。データの重要度にかかわらず、自社が持つデータすべての所在を把握している企業は国内で37%にとどまり、完全にデータを分類できている企業は42%に過ぎません。また、機密性の高いクラウド上のデータの約半数（47%）が暗号化されないままとなっている現状も示されています。

AIシステムがクラウドやSaaS環境全体のデータを取り込み、処理・活用するようになるにつれて、どこにどのデータがあり、誰がアクセスできるのかを十分に把握することが難しくなっています。これにより、業務に本当に必要な最小限のアクセス権だけを与える「最小権限の原則」を徹底することが困難になり、認証情報が漏えいした場合の被害が広範囲に及ぶ可能性が増しているといいます。

IDを標的とした攻撃の増加とAIの悪用

現在、ID基盤は攻撃者に最も狙われやすい領域の一つとなっています。クラウド攻撃を受けた組織の約7割（66%）が、クラウド管理基盤への攻撃において、認証情報の窃取が主な手口であると報告しています。また、約4割（41%）の組織が「シークレット管理」（マシンIDやAPIキー、トークンなどの管理）をアプリケーションセキュリティにおける最重要課題の一つと位置づけていることも判明しました。

企業がAIの導入を急ぐ一方で、攻撃者も同様にAIを活用しています。約6割（55%）の企業がディープフェイクを用いた攻撃を受けたと報告しており、約半数（48%）がAIによって生成された偽情報やなりすましキャンペーンに関連する被害を経験しているといいます。

AIは新たなリスクをもたらすだけでなく、従来のリスクも増幅させています。情報漏えいの約3割（30%）が人的要因（ヒューマンエラー）によるものであり、そこに自動化が組み込まれることで、小さなミスがより速く、より広範囲に拡大する可能性があると指摘されています。

セキュリティ投資は追いつかず

多くの企業がAIのアクセス権拡大や自動化の急速な進展への対応の必要性を認識しているものの、投資が十分に追いついていない現状がうかがえます。現在、AIセキュリティに特化した予算を確保している組織は国内で24%にとどまり、依然として過半数（57%）は、人力対応や境界防御を前提に設計された従来型のセキュリティ対策に依存しているといいます。

S&P Global Market Intelligence 451 Researchの主席アナリストであるEric Hanselman氏は、「AIが企業のオペレーションに深く組み込まれる中で、データの継続的な可視化と保護は、もはや選択肢ではありません。組織はデータセキュリティ戦略を企業活動の基盤として位置付ける必要があり、革新的なものとして切り離してはいけません」と述べています。

AIは従来の脅威を置き換えるものではなく、その速度、規模、影響範囲を拡大し、脅威を増幅させているといえるでしょう。自動化されたシステムが企業データへの広範なアクセス権を持つようになる中、企業や組織はID管理、暗号化、データ可視性を中核とするインフラを構築することが求められています。AI戦略に強固なガバナンスを組み込むことができる組織こそが、安全にイノベーションを推進し、AIを新たな「内部脅威」にするリスクを回避できるとみられています。