国内の生成AIデータポリシー違反、月500件超で世界平均の2倍以上に – Netskope Threat Labsが報告

Netskope Threat Labsの最新レポートによると、国内企業における生成AI関連のデータポリシー違反が月平均500件以上に達し、世界平均の2倍以上であることが明らかになりました。一方で、日本はシャドーAIの排除において世界をリードしていることも示されています。

生成AIの利用拡大とデータポリシー違反の実態

見出し

1 生成AIの利用拡大とデータポリシー違反の実態
2 シャドーAI排除で日本が世界をリード
3 国内でGoogle GeminiがChatGPTを上回る
4 クラウドアプリケーションとマルウェア配信のリスク
5 ソース元

日本に拠点を置く組織では、従業員の約80%が生成AIを利用しており、1年前の約69%から増加しています。Netskope Threat Labsが観測する生成AIツールの数も1,800以上に増加し、利用可能なツールの急増を裏付けています。

利用の拡大に伴い、プロンプトへの機密データ入力や文書アップロードによるリスクが顕在化しています。データポリシー違反の内訳を見ると、規制対象データが約48%を占め、知的財産が約38%、ソースコードが約9%、パスワードとAPIキーが約5%と続いています。

シャドーAI排除で日本が世界をリード

こうした状況を受け、日本の組織は企業が管理できる生成AIツールの導入を積極的に進めています。従業員が個人アカウントで生成AIを使用すると、企業側で利用状況を把握できず、データ流出を防ぐセキュリティ対策を適用できないためです。この取り組みにより、過去1年間で利用状況が大きく変化しました。

シャドーAIの排除において、日本は世界をリードしています。職場での個人アカウントによる生成AI使用率は約85%から約11%へと急減しました。これは世界平均の約47%と比較しても顕著な減少です。一方で、企業管理アカウントの使用率は約15%から約79%へと急増しており、世界平均の約62%を上回っています。

国内でGoogle GeminiがChatGPTを上回る

Netskope Threat Labsが2023年初頭に企業における生成AIアプリの使用状況調査を開始して以来、ChatGPTは競合他社をリードしてきました。しかし、日本ではGoogle Geminiが使用率でChatGPTを上回り、世界で初めてChatGPT以外のサービスが首位となりました。

企業承認済みの生成AIツールの導入が加速する中、主要ソフトウェアに統合された生成AIツールの利用も全体的に拡大しています。

Netskope Threat LabsのディレクターであるRay Canzanese氏は、「組織がイノベーションを推進する際、イノベーションとセキュリティのバランスを取ることは常に難しい課題です。組織は、機密データをリスクにさらすことなく、従業員が生成AI技術の潜在能力を最大限に活用できる環境を整える必要があります」と述べています。同氏はまた、「日本に拠点を置く組織は、1年前まで広く見られたシャドーAIの排除において、大きな進展を遂げました。しかし、承認済みのツールの導入によって生成AIの使用状況を可視化することは、あくまで最初のステップに過ぎません。データ漏えいを防ぐための適切なデータ保護対策がなければ、生成AIのセキュリティの課題に真に対処することも、セキュリティとイノベーションのバランスを実現することもできません」と続けています。

クラウドアプリケーションとマルウェア配信のリスク

職場でのクラウドアプリケーションの広範な使用は、引き続き日本の組織におけるデータ漏えいとマルウェア配信の経路となっています。従業員が職場で個人用クラウドアプリケーションを使用すると、企業データと個人データの管理境界が曖昧になります。組織では平均して月17件、個人用アプリケーションに関連するデータポリシー違反が発生しています。

ポリシー違反の内訳は、知的財産が半数を占め、規制対象データが約37%、パスワードとAPIキーが約10%、ソースコードが約2%と続いています。このリスクを軽減するための対策として、従業員が管理されていないサービスと機密情報を共有しないよう自動的にリアルタイムでガイダンスを提供したり、個人用アプリへのアップロードをブロックしたりする方法があります。過去1年間で、このようなポリシーを導入した組織では、約34%のユーザーが個人のGoogle Driveアカウントへのファイルアップロードをブロックされています。Google Driveに続いたのは、Gmail（約19%）、OneDrive（約18%）でした。

また、攻撃者は従業員が信頼して使用しているクラウドアプリケーションやそこに保存されているファイルを悪用しています。日本では、Box、GitHub、Microsoft OneDriveが、国内の組織で広く利用されていることから、攻撃者によるマルウェア配信に最も頻繁に悪用されるプラットフォームとなっています。それぞれ約10%、約7.6%、約7.1%の組織で、従業員がこれらのアプリからマルウェアをダウンロードしようとした試みが確認されています。

Canzanese氏は、「これらのプラットフォームは悪意のあるコンテンツを迅速に削除するための多層防御がありますが、検知されるまでのわずかな遅延でも、マルウェアの配信や社内への拡散を許してしまう可能性があります。そのため組織は、クラウド使用を包括的にカバーするセキュリティ機能の導入を検討することが重要です。特に無料アカウントや未承認のアカウントは、通常、脅威の発生源となるため注意が必要です」と強調しています。

より詳細な脅威分析と統計については、完全版レポートで確認できます。

Netskope Threat Labsについて: https://www.netskope.com/jp/netskope-threat-labs
完全版レポート: https://www.netskope.com/resources/threat-labs-reports/threat-labs-report-japan-2026
Netskopeについて: https://www.netskope.com/jp/

ソース元

ページタイトル: Netskope Threat Labs 日本独自レポートを公開：国内の生成AI関連のデータポリシー違反は月平均500件以上、グローバル平均の2倍以上
URL: （プレスリリースからの直接リンクではないため記載なし。本記事はNetskope Threat Labsのレポートに基づいています。）