生成AI利用でデータ漏えいリスクは2倍に 企業に求められる進退：セキュリティニュースアラート

Netskopeの報告書によると、2025年は生成AI利用率が前年と比べて3倍になった一方で、この利用による情報漏えいリスクは2倍以上に増加したという。セキュリティとデータ保護がますます複雑化する中、企業取るべき対策とは。

[ITmedia エンタープライズ編集部]

　Netskopeは2026年1月15日、2025年におけるAI、クラウド、フィッシング、マルウェアに関する脅威動向を分析した第6回年次報告書「Cloud and Threat Report:2026」を公表した。

　同社の調査研究部門「Netskope Threat Labs」が実施した同レポートはクラウドとAIの利用が広がる環境下における企業と従業員の行動を対象としており、生成AIの利用拡大に伴う新たなリスクの実態が示されている。

生成AIツール普及で情報漏えいリスクは2倍に　その背景にある要因

　2025年に発生した生成AI利用に関連するデータポリシー違反件数は、前年と比べて2倍以上に増加した。企業では規制対象データや知的財産、ソースコード、パスワード、暗号鍵といった機密情報を生成AIのプロンプトに入力、もしくはアップロードしようとする事例が、月平均で223件検出された。生成AIの導入が進み、利用可能なツールの数が増えた点が背景にあるとされる。

　従業員による生成AIツールの月間利用率は15％に達し、前年の約3倍となった。送信されるプロンプト数も大きく増え、月平均で3000件から1万8000件へと拡大している。上位25％の組織においては、1組織当たりのプロンプト送信数が7万件を超えた。Netskope Threat Labsが観測した生成AIツールの種類も増加し、その数は1600以上に及んでいる。

　リスクを高めている要因として、シャドーAIの存在が挙げられている。生成AIを利用する従業員の47％が、業務目的で個人の生成AIアカウントを使用している実態が確認された。セキュリティ部門がこうした利用状況を把握できない場合、データ漏えいの検知や防止が難しくなる。

　個人用クラウドアプリケーションの利用も広範に見られ、従業員の31％が毎月データをアップロードしている。内部関係者による脅威インシデントの60％は、個人用クラウドアプリケーションの使用に起因していると報告された。

　組織側もAIおよびクラウド環境におけるデータ保護対策を進めているが、リスクの増加に十分対応できていない状況が示された。生成AIアプリを経由した機密データ漏えいを防止する目的で情報漏えい対策（DLP）ツールを導入している組織は全体の半数にとどまっている。従業員のプロンプト入力やアップロードを即時に制御する体制が十分に整備されていない企業も多い。個人用クラウドアプリを通じたデータ漏えいを検知、阻止するリアルタイム制御機能を導入していない企業は23％に上る。

　脅威は生成AIに限られない。2025年には、従業員1万人当たり87人が毎月フィッシングリンクをクリックしていたことが確認された。被害率は前年から27％減少したものの、依然として無視できない水準となっている。クラウド移行が進展する中、攻撃者はクラウド認証情報の窃取を狙い、偽のログイン画面や悪意あるOAuthアプリケーション、ブランドを装った手口を使っている。

　なりすましに利用されたブランドではMicrosoftが最多で、クリック数の52％を占めた。この他、Hotmail（11％）、DocuSign（10％）が多く、クラウドサービスを装った攻撃が目立つ結果となった。クラウドサービス以外では銀行（23％）や政府機関（21％）を装ったフィッシングキャンペーンも多く確認された。

　マルウェアに関しても、攻撃者は従業員が日常的に使用するクラウドサービスを通じて感染ファイルを拡散している。感染リスクが高いアプリケーションとしては、「GitHub」「Microsoft OneDrive」「Google Drive」が挙がった。

　Netskope Threat Labsのディレクターであるレイ・カンザネーゼ氏は、クラウドとAIの普及が企業システムと従業員の行動様式を急速に変化させ、セキュリティ担当部門の想定を超える複雑な脅威を生み出していると指摘した。その上で2026年を見据え、断片的な対策ではなくセキュリティとデータ保護を統合した枠組みを検討し、運用の簡素化と効果の最大化を図る必要があるとの見解を示した。