大手企業に広がる「隠れAI」リスクとセキュリティ実態 アシュアード調査：セキュリティニュースアラート

アシュアードの調査によると、大手企業の約3社に1社がSaaS内でAIを活用されているかどうかを把握しておらず、半数以上がAI関連のセキュリティインシデントを経験していた。

[後藤大地，ITmedia]

　アシュアードは2025年10月23日、全国の従業員1000人以上の大手企業に勤務する情報システム部門の担当者300人を対象に、AIの業務利用とセキュリティ評価に関する実態調査を実施した。

　その結果、業務で利用されているSaaSの一部機能にAIが組み込まれているかどうかを知っている企業は全体の65.5％にとどまり、約3社に1社がAI活用の有無を把握していない実情が明らかとなった。AIやAIを使ったSaaSに関連するセキュリティインシデントを経験した企業は58.5％に達し、「隠れAI」に起因するリスクの深刻さが浮き彫りになっている。

約9割がAIセキュリティに課題がある　実態調査で分かった喫緊の課題

　AIサービスの導入状況については、大手企業の約8割が何らかのAIを業務利用している。「ChatGPT」や「Gemini」といった生成AIを全社的に利用している企業は48.3％、一部部署での利用を許可している企業は29.7％だった。

　導入時に重視されている要素はセキュリティであり、74.4％がその確保を重視していることが示されている。この数値はAIの利便性を享受する一方で、企業が情報保護やリスク管理を優先事項として位置付けていることを示している。

　AIサービスのセキュリティ評価においては、94％の企業が契約時や定期的に評価しているが、約9割が何らかの課題を抱えている。「評価基準の不明確さ」や「専門人材の不足」がそれぞれ半数近くに上り、AI特有のリスクを評価する体制が整っていない現状が浮かび上がった。AIが急速に進化する中で、既存の情報セキュリティ基準では対応しきれない側面が生じており、企業内部での体制整備が急務となっている。

　SaaSの「隠れAI」については、認識自体は84.9％の企業に広がっているが、実際にAI機能の有無を確認している企業は65.5％にとどまる。AIが組み込まれていることを利用者が知らずに利用するケースも多く、潜在的なリスクを抱えたまま業務に組み込まれている実態がある。特にアシュアードが過去に実施した評価では、調査対象SaaSの約4割がAIを利用または開発していたにもかかわらず、利用規約やデータ収集方針を明示している企業は半数に満たなかった。こうした透明性の欠如がリスク増大の一因になっている。

　SaaS事業者からの情報提供についても課題が見られる。「AI機能に関する情報を十分に得られている」と回答した企業は37.3％にとどまり、約4割が「不足している」と認識している。AI機能の確認方法としては、プロバイダーへの直接問い合わせが58.1％と最多であったが、公式サイトや規約の閲覧だけでは判断が難しい現状がある。AI機能の利用データやセキュリティ対策に関する開示を求める声が強まっており、事業者と利用企業の間で情報の非対称性が課題として残されている。

　AI関連インシデントの経験率は58.5％と高く、多い事例は「不適切なデータ利用」「機密情報漏えい」「データ改ざん・破壊」だった。これらの結果は、AIがもたらす効率性の裏に潜むリスクを如実に示している。アシュアードの真藤直観氏（Assured事業部 セキュリティエキスパート／セキュリティサービス部 部長）は、SaaSとAIが密接に結び付く時代において、提供者と利用者双方の責任ある情報管理が不可欠だと指摘している。