もはやAIは内部脅威？ 企業の73％が「最大リスク」と回答：セキュリティニュースアラート

タレスDISジャパンはデータセキュリティの現状を分析した「タレス2026年データ脅威レポート」を発表した。調査によると、企業の73％が「AIをデータセキュリティ上の最大リスク」と回答したという。ではこれにどう対策すればいいか。

[ITmedia エンタープライズ編集部，ITmedia]

　タレスDISジャパンは2026年3月9日、企業のデータセキュリティの現状を分析した「タレス2026年データ脅威レポート」を発表した。

　自動車や金融、エネルギー、小売など複数業界の組織を対象にしており、国内企業・組織の73％がAIをデータセキュリティの最大のリスクと認識していることが明らかとなった。この他、AIの導入拡大によって企業データへのアクセス範囲が広がり、セキュリティ管理の難度が高まっている実態が示された。

国内企業の73％がAIを最大リスクと認識する現実　タレスが実態を調査

　同調査ではAIが外部からの攻撃手段として利用されるだけでなく、企業内で運用されるAIシステム自体がリスク要因となり得る点が指摘された。多くの企業はAIを業務プロセスや分析、顧客対応、ソフトウェア開発などに組み込んでいる。AIに付与されるアクセス権が広範囲に及ぶ一方、ユーザーと同水準の管理が十分に適用されていない実態があるという。

　タレスDISジャパンの兼子晃氏（サイバーセキュリティプロダクト事業本部長）は「内部脅威は人だけに限らない。信頼された自動化システムもリスク要因となり得る」と指摘する。ID管理やアクセス制御、データ暗号化が不十分な場合、AIが高速でシステムの弱点を見つけ出し、被害が広がる可能性があるとしている。

　同レポートは、AI導入の進展とデータ管理体制の間に大きな隔たりがあることも明らかにした。国内では自社が保有する全てのデータの所在を把握している企業は37％にとどまり、データ分類を完全に実施している企業も42％にとどまった。クラウドの機密データの約47％が暗号化されていない状態にあるという。

　AIシステムはクラウドやSaaSのデータを収集し処理する仕組みであるため、どこにどのデータが存在し、誰が利用できるのかを把握することが難しくなる傾向がある。結果として、業務に必要な最小限のアクセス権のみを付与する「最小権限」の管理も複雑化する。認証情報が漏えいした場合、被害が広範囲に拡大する恐れがある。

　実際、クラウド攻撃を受けた組織の66％が「クラウド管理基盤への侵入において認証情報の窃取が主要な手口だった」と回答した。また41％の企業が、APIキーやトークンなどの認証情報を管理する「シークレット管理」をアプリケーションセキュリティの主要課題として挙げている。

　AIは攻撃手法の高度化にも関与している。同調査では55％の企業が「ディープフェイクによる攻撃を受けた」と回答し、48％が「生成AIによる偽情報やなりすましに関連する被害を経験した」と報告した。AIは新しい攻撃を生むだけでなく、既存の脅威を拡大させる側面もある。情報漏えいの約30％は人的ミスに起因するが、自動化が加わることでミスの影響が短時間で広範囲に広がる可能性がある。

　企業のセキュリティ投資は進んでいるものの、リスク拡大の速度に追い付いていない状況も示された。国内ではAIセキュリティ専用の予算を確保している組織は24％にとどまり、57％の組織は既存のセキュリティ予算の範囲でAI対策をしている。

　タレスDISジャパンはAIが企業システムに広く組み込まれる時代において、ID管理や暗号化、データの可視化を中心としたセキュリティ基盤の整備が不可欠と指摘する。AI戦略と同時にガバナンスを整備し、アクセス権管理を厳格化することが、安全なデータ活用とイノベーションの両立につながるとしている。