WORLD TREND
AI利用91%増も、企業AIシステムは100%脆弱!90分以内に90%が侵害されるリスク

AI利用91%増も、企業AIシステムは100%脆弱!90分以内に90%が侵害されるリスク

テクノロジーAIセキュリティサイバーセキュリティ脆弱性企業利用Zscaler

Zscalerの最新レポートによると、企業におけるAIの利用が前年比91%も急増している一方で、AIシステムには依然として深刻なセキュリティ上の脆弱性が存在することが明らかになりました。2025年の1月から12月にかけて、3,400以上のAIアプリケーションエコシステムを分析した結果、企業が利用するAIシステムの100%に重大な脆弱性が確認され、そのうち90%はわずか90分以内に侵害されるという驚くべき事実が判明しました。これは、AIの導入スピードが、組織的なセキュリティ対策の整備をはるかに上回っている現状を示唆しています。

AI利用の現状と業界別・部門別動向

AI/機械学習トランザクションの分析によると、AIの利用が最も活発なのは金融・保険業界で、全体の23%を占めています。次いで、テクノロジー業界が202%増、教育業界が184%増と、目覚ましい成長を遂げています。部門別では、エンジニアリング部門が48.9%と最も多くAIを利用しており、IT部門(31.8%)、マーケティング部門(6.9%)が続いています。地理的には、米国が38%で最も多く、次いでインド(14%)、カナダ(5%)となっています。特にOpenAIのサービスが、2025年を通じて最も利用されたLLMベンダーとして記録されています。

AIアプリケーションが引き起こすデータプライバシー侵害

AIの利用拡大に伴い、企業データがAI/機械学習アプリケーションに転送される量も急増しており、前年比93%増の18,033 TBに達しました。Grammarly(3,615 TB)やChatGPT(2,021 TB)といったツールは、企業インテリジェンスの巨大なリポジトリと化しています。特にChatGPTにおいては、社会保障番号、ソースコード、医療記録などの機密情報共有を試みる4億1000万件ものデータ損失防止(DLP)ポリシー違反が確認されており、AIガバナンスが単なるポリシー議論から、喫緊の運用上の必要事項へと移行していることを示しています。

AIの進化がもたらす新たなサイバー攻撃の脅威

Zscalerのレポートは、将来的に自律型・半自律型AIエージェントがサイバー攻撃を自動化する可能性を指摘しています。これらのAIエージェントは、偵察、脆弱性の悪用、ラテラルムーブメント(ネットワーク内での横移動)といった攻撃プロセス全体を担うようになると予測されています。サイバーセキュリティの専門家は、「攻撃は人間の速度ではなく、機械の速度でスケールし、適応すると想定しなければならない」と警告しています。AIはもはや単なる生産性向上ツールではなく、犯罪者や国家主体による自律的かつ機械速度での攻撃の主要なベクトルとなりつつあるのです。

考察:AI時代のセキュリティ戦略の転換点

本レポートは、AI技術の急速な進化と普及が、従来のサイバーセキュリティの枠組みを根本から覆す可能性を示唆しています。特に、AIシステムにおける脆弱性の普遍性と、侵害までの時間の短さは、防御側にとって極めて深刻な課題です。

AIガバナンスの緊急性と実効性

これまで「ポリシー」として扱われがちだったAIの利用に関するガイドラインは、もはや待ったなしの「運用上の必要性」へと変貌を遂げました。企業は、自社で利用している、あるいは利用しようとしているAIモデルやアプリケーションのインベントリを正確に把握し、そのリスクを評価する体制を早急に構築する必要があります。これには、データプライバシー、知的財産、コンプライアンスなど、多岐にわたるリスクを考慮した包括的なガバナンスフレームワークの策定が不可欠です。

攻撃の自動化と速度への対応

AIエージェントによる攻撃の自動化は、攻撃の規模と速度を前例のないレベルに引き上げる可能性があります。防御側は、AIによる攻撃の進化に対応するため、AIを活用したセキュリティソリューションの導入や、インシデント対応プロセスの高度化が求められます。機械学習を用いた異常検知、リアルタイムでの脅威分析、そして自律的な防御メカニズムなど、AIに対抗するためのAIの活用が鍵となるでしょう。また、攻撃の高度化に対応するためには、サイバー人材の育成と、最新の脅威インテリジェンスの共有も重要性を増していきます。

AIの「シャドーイング」リスクへの対策

従業員が承認されていないAIツールを業務に利用する「シャドーAI」の問題も、企業にとって見過ごせないリスクです。これにより、意図せず機密情報が外部のAIサービスに送信されたり、セキュリティポリシーが遵守されない状況が発生する可能性があります。組織は、従業員に対するAIリテラシー教育を強化するとともに、ネットワークトラフィックの監視やアクセス制御を強化し、シャドーAIのリスクを可視化・管理する仕組みを導入する必要があります。

参照元: https://www.infosecurity-magazine.com/news/ai-security-threats-loom-zscaler/
画像: AIによる生成