イギリスのケンブリッジを拠点とするサイバーセキュリティ企業、ダークトレースが最近発表した報告書「2026年版AIサイバーセキュリティの現状」によると、企業のIT担当者は企業内で普及するエージェント型AIに対して強い懸念を抱いているようです。
データ露出や規制違反の可能性、AIツールの乱用
ダークトレースのこの報告書はアメリカ、イギリス、ドイツ、オーストラリア、シンガポール、日本など計14カ国のサイバーセキュリティリーダーや実務者ら計1540人を対象にオンラインで行った調査結果をまとめたものです。回答者はCISOからITセキュリティマネージャー、ITセキュリティアナリスト、インシデント対応者と多岐にわたるということですが、大多数はCIO、CISO、ITセキュリティエグゼクティブなどの管理職だということです。ですので概ね企業のIT担当の管理職や役員に対するAIに関するサイバーセキュリティの意識調査と言えると思います。
それによると、調査対象者の4分の3がAIエージェントによるセキュリティ上の影響について心配をしているということです。具体的な懸念の内容は、データの露出が61%(日本は66%)と最も大きく、次いでデータセキュリティやプライバシー規制への違反の可能性(56%、日本も同)、そしてAIツールの乱用や悪用(51%、日本は52%)と続いています。一方でAIの安全な導入に関する正式なポリシーを持っていると回答した割合は37%(日本は28%)にとどまったということです。
情報窃取型マルウェアのインフォスティーラーがAIエージェントを狙っているというハドソンロックのレポートをすでにお伝えしていますが、AIエージェントは機密性の高いデータや重要な業務プロセスに直接アクセスしてスマートコントラクト、自動化を実現します。しかし、組織の機密データがAIエージェントを介して外部に流出するリスクもあるということです。また、既存のデータ保護規則に加えてAIに対する規制に各国は乗り出しており、ヨーロッパではすでにEU AI規則が発行しています。EU AI規則は2030年末までに段階的に完全施行され、違反が認められれば高い罰金が科せられるということですから、グローバルに事業を展開している企業の経営者や管理職にとっては、AIの使用で生じる規制違反の可能性に対する心配が大きいようです。
シャドウAIやAIを使った攻撃に追い付いていない企業
一方でAIの安全な導入に関する正式なポリシーを持っているとの回答は37%(日本は28%)にとどまっているということですから、現場でのAIの使用に関して企業側の対応が追い付いていない実態があると言えそうです。IT部門の正式な承認がないまま従業員がAIツールやアプリケーションを許可なく使用している実態をシャドウAIといいサイバーセキュリティ上の重大な問題として注目されていますが、さまざまなAIツールが次々と投入されている中、企業の現場や従業員個人が作業を効率化するAIを導入するケースはますます増えており、シャドウAIはサイバー犯罪者の「金鉱」になる可能性があるとの指摘もあります。
ダークトレースの報告書によるとAIを使ったフィッシングなどAIを使ったサイバー攻撃に対する懸念も高く、73%(日本は62%)がAIを使ったサイバー脅威がすでに組織に対して大きな影響を及ぼしていると回答、AIによって攻撃が大幅に増加していると回答した人の割合は87%(日本は79%)にのぼっているということです。AIによってリスクが高くなった攻撃としては、高度にパーソナライズされたフィッシングや自動化された脆弱性スキャン、適応型マルウェア、ディープフェイクによる音声詐欺があげられています。AIを使った攻撃に対する防御に対しては46%(日本は77%)が準備ができていないと回答しているということですから、企業のAI対策は特に日本においては普及に追い付いていない実態があると言えそうです。
【出典】