生成AIはデータ流出の主要経路に 従業員がついやってしまう漏えいパターン:セキュリティニュースアラート
LayerX Securityは企業のAI利用実態を分析し、生成AIが主要なデータ流出経路となっていると警鐘を鳴らした。AI活用が進む中、同社は、企業がガバナンス整備を急ぐ必要があると指摘している。
この記事は会員限定です。会員登録すると全てご覧いただけます。
LayerX Securityは2025年10月6日(現地時間)、顧客から得たブラウジングデータに基づき、企業におけるAI利用とデータ保護の実態を分析した年次報告書「Enterprise AI and SaaS Data Security Report 2025」を公表した。AIはもはや新興技術ではなく、企業データ流出の主要経路となっている実態が明らかになった。
生成AIはデータ流出の主要経路に 従業員がやりがちな漏えいパターン
企業における生成AI活用は急速に進展している。従業員の45%が生成AIツールを業務で利用しており、登場からわずか3年足らずで半数近くに達したことが報告されている。ファイル共有やビデオ会議といった従来のSaaS分野が同程度の普及率に至るまでに10年以上を要したことを踏まえると、その浸透速度は異例といえる。特に92%の利用が「ChatGPT」に集中しており、単一の消費者プラットフォームが実質的な企業AI標準として定着していることが示されている。
ただ、急速な普及の裏でAIが企業データ保護の死角となっている。従来の電子メールやファイル共有のように統制が確立されている分野とは異なり、AI利用の大部分は企業の認証基盤や管理下を外れており、これが企業における最大のデータ流出経路と位置付けられている。具体的にはどのようなパターンが危険なのか。
注目すべきは、データ流出の経路だ。多くのCISO(最高情報セキュリティ責任者)はファイルのアップロードを主なリスクと捉えているが、実際にはコピー&ペースト操作によるデータ流出が多数を占めるという。
調査結果において、従業員の77%が生成AIにデータを貼り付けており、その82%が個人アカウントからの操作とされている。従業員1人当たりのペースト操作は1日平均14回に上り、そのうち少なくとも3回に機密データが含まれていた。生成AIツールだけで企業から個人アカウントへの全データ転送の32%を占めており、クリップボードが事実上の主要流出経路となっている。従来型のファイル中心の情報漏えい対策(DLP)では検知が困難であり、多くの企業がこの活動を把握できていない状況にある。
アカウント管理面においても課題がある。同社の分析によると、生成AI利用実態を見ると、その67%が企業の統制が及ばない個人アカウントで行われており、顧客関係管理(CRM)では71%、企業資源計画(ERP)では83%のログインが非フェデレーションということが分かった。
名目上は企業アカウントであっても、実際にはパスワード認証のみで運用されているケースが多く、個人アカウントと区別が付かない状態となっている。機密性の高い顧客データや財務データへのアクセスが十分に制御されていない。
LayerXは、AI活用の進展とガバナンスの欠如が反比例している点を問題視している。従業員によるAIツールへのファイルアップロードやプロンプトへの顧客情報入力といった行為が日常的に実行されているにもかかわらず、正式な統制が存在しないという。電子メール分野では長年の監査やDLP導入が進んでいるが、AI分野ではその基盤が欠落している。AI関連の業務活動は既に全企業アクティビティーの11%を占め、従来の主要SaaS分野に匹敵する規模に達しているにもかかわらず、管理体制は整備されていない。
報告書はCISOに対し、4つの対応策を提示している。
- AIを正式な企業ITカテゴリーとして扱い、電子メールやファイル共有と同等のガバナンスを適用すべきと指摘している
- 非フェデレーションのアカウントを「管理外システム」と再分類し、特にERPやCRMなど重要システムに対し即時監査を実施する必要がある
- 個人アカウントのアクセスを単純に遮断するのではなく、データ内容を識別し保護するデータ認識型ポリシーを採用することを推奨している。これにより従業員の作業環境を維持でき、機密データの持ち出しを防止できる
- DLP予算を従来のネットワークやファイル解析からWebブラウザレベルの制御に移行することを推奨している。LayerXの分析において、コピー&ペーストがファイル転送を上回る流出経路となっており(生成AIツールに加え、IMアプリへも同様に機密データがペーストされている)、Webブラウザでのペースト検知や遮断が実効性の高い対策とされている
LayerXは結論として、「AIが業務に深く組み込まれた今、企業は生成AIの利用を統制すべきか否かではなく、いかに迅速に統制下に置くかが課題」と述べている。AI利用が拡大するほど監視の網が緩むという逆説的状況の中で、クリップボードが新たな情報流出の最前線となりつつある現実が示されている。企業にとって、AIガバナンスの整備はもはや選択肢ではなく喫緊の課題といえる。
関連記事
「社外メールは受信不可」 アサヒグループHDのシステム障害、原因はランサムウェア
アサヒグループホールディングスは2025年9月に報告したサイバー攻撃によるシステム障害について、ランサムウェアによるものだと明らかにした。障害の発生したシステムの遮断措置など被害拡大防止や復旧に向けた取り組みを進めているという。
「ランサムウェアにデータを盗まれた!」ときに考えるべき最大の問題
ランサムウェア攻撃では、データを暗号化して恐喝する手法に加えて、データを窃取して「公開するぞ」と恐喝する手法も増えてきました。そこで今回はデータ窃取に目を向けて、ランサム被害の現場で起きた“怖い話”を紹介しましょう。
「OS標準の無料アンチウイルス機能で十分」には条件がある
昔と違って、OSに標準搭載された無償のアンチウイルスソフトは進化しており、もはや有償製品をわざわざ導入する必要もなくなっています。ただ無償のソフトを使うなら少し注意しておきたい点も。今回はそちらを解説します。
ホワイトハッカーが感心したフィッシング攻撃とは? 最新動向と対策を知る【動画あり】
フィッシングの進化はとどまることを知りません。最近は生成AIの普及によってより高度な攻撃も登場しています。『攻撃者の目』の第5回はフィッシングの最新傾向やホワイトハッカーが感心した攻撃手法、根本的な対策を考えます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- セールスフォースが“まさかの回答” AIエージェント、「いくらが適正価格か」問題が勃発
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- AIはERPを駆逐するのか? 第三者保守ベンダーが主張する「ERPパッケージという概念の終焉」
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
- フィッシングフレームワークで多要素認証を回避 DNS分析で分かった攻撃の詳細
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- “クラウド一辺倒時代”はもう終わり? 新たな選択肢「ニューオンプレミス」は検討に値するか
ITmediaはアイティメディア株式会社の登録商標です。