No Audio ⏸ AIの可視化なくして、信頼なし レポートのダウンロード(PDF) 死角はAIの脅威を隠すだけでなく、統制の信頼性も損なう AIパルス調査 | 第4弾 10 min read ITリーダーは、AIによる脅威に対して警鐘を鳴らしていますが、経営層との認識は一致していません。一方で、多くの企業ではシャドーAIの利用が広がっており、経営陣は全体像を十分に把握できないまま、重要な意思決定を行っている状況です。AIパルス調査が明らかにしたAIサイバーリスクの主なポイントAIによるサイバーリスクの増加スピードに対し、経営層の意思決定や対応が追いついていないITリーダーは、経営層や取締役会と比較して、AI起因の脅威拡大をより深刻に認識しているサードパーティ製の組み込みAIのリスクを適切に管理するため、より厳格なセキュリティ基準の導入が重要課題となっている正式なAIガバナンスフレームワークを整備している企業では、可視化が進み統制力が高まる傾向が見られるリスク認識の不一致はAIの脅威の盲点を生み、対応の遅れにつながる AIサイバーリスクとレジリエンスに関する各社の知見 第4弾の主な調査結果 AIリスクはどこに潜んでいるのか 本調査では、経営層がAIに関する意思決定を、十分なAIの把握に基づかないまま行っている実態が浮き彫りになりました。本レポートでは、リスク認識にギャップが生じている領域、信頼が損なわれる要因、そして企業が統制力を取り戻すためのポイントを明らかにしています。 経営層は、IT部門のようにリスクを十分に捉えていない 組織規模が大きくても、十分な可視化が実施されるとは限らない AIがルールを先行するとき ベンダー内部に潜む「見えないAI」 経営層は、IT部門のようにリスクを十分に捉えていない 認識のギャップは深刻な結果をもたらす AIは、貴社を標的としたサイバー攻撃(ディープフェイクや自動化フィッシングなど)の高度化・増加に、どの程度影響を与えていると考えますか。 ITリーダーの45%がAIによってサイバーリスクが大幅に増加したと認識している一方で、経営幹部および取締役会メンバーでは30%にとどまっています。こうした認識のギャップは、重要な意思決定の遅れやAI統制の検証不足を招き、経営層が過小評価している脅威に組織がさらされる要因となります。リスク認識が一致していない場合、盲点は解消されません。 組織規模が大きくても、十分な可視化が実施されるとは限らない 組織規模に関わらず死角はなくならない 貴組織は、従業員が現在使用している具体的なAIツール(承認済みおよび未承認)の可視化能力をどのように評価しますか。 適切に管理されていないAIは、あらゆる規模の組織に共通する課題となっています。自社のAIの把握に死角がある場合、脅威検知に向けた共通認識や緊急性を組織全体で共有することができません。透明性の欠如は、未承認のAIツールや拡張機能の無秩序な利用を招き、ばらつきのある同意ポリシーの常態化や、データ保護基準の低下につながる可能性があります。本調査では、以下のように組織の規模を定義しています。小規模組織:収益が1億ドル未満 中規模組織:収益が1億ドル以上50億ドル未満 大規模組織:収益が50億ドル以上 AIがルールを先行するとき 正式なフレームワークが重要な理由 フレームワークは、統制に対する信頼性向上につながる 正式なAIガバナンスフレームワークを導入している組織は、AIツールの可視性が高く、自社のセキュリティ統制に対する強い信頼が確認されています。ガバナンスは、組織に構造、説明責任、明確性をもたらし、AIリスクを効果的に管理するための重要な基盤となります。 本調査では、以下のように組織の規模を定義しています。小規模組織:収益が1億ドル未満 中規模組織:収益が1億ドル以上50億ドル未満 大規模組織:収益が50億ドル以上 ベンダー内部に潜む「見えないAI」 サードパーティ製の組み込みAI: 可視化を左右する領域 サードパーティベンダーのソフトウェアに組み込まれたAIがもたらすリスク管理において、貴組織が最も重視している事項は何ですか。 ベンダー各社が日常的なツールへAIを組み込む中、企業はAIが「どこで」「どのように」利用されているのかを把握しにくくなっています。より厳格なセキュリティ基準、トレーニング、契約上の統制を通じてベンダーガバナンスを強化することは、外部AIリスクを管理する上で不可欠となっています。 見えないものは守れない―有効な施策への投資を AIセキュリティリスクの管理に最も信頼を持つ組織は、意図(AIリスクを真剣に捉える)を、確証(可視化し、ガバナンスをかけ、防御できる)に変える具体的な能力に最も多く投資している組織です。ここでは主な能力・施策をまとめます。正式なAIガバナンスフレームワーク:明確な利用規則、所有権、責任、そして実効性のあるガードレールを企業全体で設け、統制を上回るスピードでAI利用が拡大することを防ぎます。AIツールのモニタリング:見えないものは管理できません。モニタリング機能への投資により、特にシャドーAIなどの脅威を早期に検出し、データ保護を含むコンプライアンスを強化するとともに、統制が有効に機能していることを証明できます。組織の準備態勢とレジリエンス(回復力):人為的な失敗を減らし、AIと共に働く「業務のあり方」に一貫性を構築します。AIを活用しAIに対抗する:セキュリティ対策基盤にAIを活用することで、サイバー攻撃の迅速な検知、パターン認識の精度向上、そしてAIによって加速される脅威への対応力が強化されます。組み込みAIに対するベンダーコントロール:SaaSやサードパーティプラットフォーム内でAI機能が急速に拡大する中、新たに増大する死角を解消します。AIをセキュリティ対策基盤に活用している場合、より厳格なベンダーセキュリティ基準とAI特化型トレーニングが不可欠です。 よくある質問 + 全て表示 シャドーAIとは何ですか。また、なぜ組織にとってリスクとなるのでしょうか。 + シャドーAIとは、企業内で正式な承認や監督を受けずに利用されているAIツールやAI機能を指します。シャドーAIがリスクとなる理由は、こうした未承認の利用によって「死角」が生じるためです。つまり、把握できていないものを適切に管理・防御することはできません。プロティビティの調査では、およそ3分の2の企業が、従業員による適切な監督なしでのAI利用を認識しており、その結果、統制上のギャップが生じていることが明らかになりました。このような「見えないAI」は、標準的なセキュリティ対策やコンプライアンスルールを回避して利用される可能性があり、経営層が組織全体のリスク状況を十分に把握できなくなる要因となります。 なぜ組織はAI使用状況を十分に把握できないのでしょうか。 + 多くの企業がAI使用状況を十分に把握できていない理由は、AI導入のスピードがガバナンス整備を上回っているためです。新たなAIツールは、組織全体で一元的に把握される前に、さまざまな部門へ急速に導入されています。本調査では、各事業部門が独立してAIを導入する「分散型のAI導入」と、分散化されたIT環境が、「死角」を生む要因となっていることが示されています。複数の事業部門やM&Aなどを抱える複雑な組織では、システムがサイロ化し、すべてのAI利用状況を監視することが難しくなる傾向があります。実際に、本調査に参加した大企業の約半数が、従業員が利用しているAIツールを完全には把握できていないと回答しています。 AIはどのようにサイバー脅威を増加させているのでしょうか。 + AIは、サイバー攻撃をより頻繁かつ高度なものにすることで、サイバー脅威を拡大させています。悪意ある攻撃者はAIを活用して、フィッシング攻撃の自動化、極めて精巧なディープフェイクの作成、脆弱性の高速スキャンなどを行っており、従来の人間の能力を超える規模で攻撃を強化しています。プロティビティの調査では、国家支援型グループやサイバー犯罪者が、企業システムやサプライチェーンの脆弱性を悪用するために、AIを積極的に活用していることが明らかになっています。その一例として、北米ではディープフェイクを利用した詐欺が、わずか1年で推定3,000%増加したとされています。つまり、AIは攻撃のスピードと脅威の実現性の両方を高めており、企業はそれに対応するため、防御体制をさらに強化する必要があります。 組織全体におけるAI利用状況の可視化をどのように推進できるのでしょうか。 + 組織は、全社的なAIガバナンスと追跡体制を整備することで、AI利用状況の可視化を進めることができます。実務上は、すべてのAI活用を把握・管理する正式なAIガバナンスフレームワークを構築し、承認プロセスを定義するとともに、AI利用状況を監視する技術的モニタリングを導入することを意味します。プロティビティの調査では、正式なガバナンスフレームワークが、可視化の課題に対する最も効果的な解決策であるとされています。現在、これを導入している企業は約10社中4社にとどまっていますが、導入済み企業では、AIがどこで利用されているのかについて確実に把握しており、また、自社の統制がAI起因の脅威に適切に対応できているという信頼感も高いことが示されています。つまり、AIに対して“手探り状態”で対応しないためには、AIを他の重要資産と同様に管理する必要があります。そのためには、組織全体にわたる明確なポリシー、責任範囲、そして技術的な監督体制が不可欠です。 なぜベンダーツール内のAIは盲点になるのでしょうか。 + ベンダーソフトウェアに組み込まれたAIは、企業の直接的な監督範囲外で動作することが多いため、盲点となる可能性があります。サードパーティプラットフォームがデータ分析や自動化などのAI機能を組み込む場合、利用企業側は、それらのAI機能がどのように動作しているのかを十分に把握・統制できないことがあります。本調査では、多くの企業がこの課題に直面していることが示されています。つまり、ベンダー各社によるAI機能の追加スピードに対し、利用企業側の把握や管理が追いついていないのです。こうしたリスクへの対応として、32%の企業が、AIに関するベンダー向けセキュリティ基準の強化を最優先事項として挙げており、さらに31%の企業は、ベンダーAIの影響をより適切に管理するため、AIに特化したトレーニングへ注力していると回答しています。これらの取り組みは、ベンダーツール内で監視されていないAIが、適切に管理されなければ、セキュリティやコンプライアンスを損なう可能性があるという認識を示しています。 なぜ正式なAIガバナンスフレームワークが重要なのでしょうか。 + 正式なAIガバナンスフレームワークは、AIリスクを一貫して管理するために必要な構造と説明責任を提供するため、重要です。正式なAIガバナンスフレームワークは、AIがどのように承認・監視・統制されるかを定義し、すべてのプロジェクトがポリシーに従って進められること、そしてセキュリティ・プライバシー・コンプライアンス上のリスクに事前に対応できることを確保します。これは非常に重要です。なぜなら、正式なフレームワークを導入している企業では、AI利用状況に対する可視化が進んでおり、自社の統制に対する信頼もより高いことが確認されているためです。一方で、フレームワークが存在しない場合、AI施策は無秩序に進行したり、「見えない脆弱性」を生み出したりする可能性があります。現在、正式なフレームワークを導入している企業はわずか41%にとどまっており、AI導入の透明性と安全性を確保する上で、その整備はますます不可欠なものと考えられています。 なぜ従業員向けトレーニングはAIリスク管理において重要なのでしょうか。 + どれほど優れたAIツールであっても、自ら安全性を確保することはできません。AIリスクや適切な利用方法について、従業員や経営層を教育することは極めて重要です。これにより、ディープフェイクを用いたフィッシングやデータの不正利用など、AI起因の脅威を見抜き、ガバナンスポリシーに従って適切に行動できるようになります。本調査では、約3分の1の企業が、従業員および経営層向けのAI特化型教育を重要なリスク管理施策として優先していることが明らかになりました。また、高度なセキュリティツールと充実したトレーニングを組み合わせている企業では、AI利用状況に対する可視化が進んでおり、自社の防御体制に対する信頼も高い傾向が見られます。つまり、十分な教育を受けた人材は、重要な防御ラインの一つです。AI導入が進む中で、リスクを正しく認識しながら、責任をもってAIを活用するために不可欠な存在となります。 プロティビティの専門家のご紹介 Tom Andreesen, マネージングディレクタ兼AIリーダー Tomは、33年以上にわたり、企業の業務強化に向けたさまざまなビジネスおよびテクノロジーソリューションの構築・導入を支援してきたマネージングディレクタです。また、オペレーショナルリスク、テクノロジーリスク、規制コンプライアンス要件への対応を目的とした、リスク管理態勢やガバナンスプログラムの整備において多くの企業を支援してきました。現在は、プロティビティのグローバルMicrosoftアライアンスプログラムのリーダーを務めています。 Connect on LinkedIn Andrew Retrum, マネージングディレクタ Andrew Retrumは、プロティビティのテクノロジーコンサルティング部門のマネージングディレクタであり、グローバル テクノロジーリスク&レジリエンス部門のリーダーを務めています。Andrewは、絶えず変化するリスク環境の中で、クライアントがサイバーリスクおよび進化するテクノロジーリスクへ対応できるよう支援するとともに、リスクの理解・共有・対応・復旧能力の強化を支援しています。また、複数の大手金融機関において、より広範なビジネストランスフォーメーション施策の一環として、サイバープログラムオフィスを主導してきました。さらに、ITリスク管理の代替手法としてFAIR Methodologyの導入を推進しており、近年のサイバーセキュリティ規制に関するソートリーダーとしても活動しています。 Connect on LinkedIn AIの最新動向 AIの最新動向 全てのAIパルス調査 AIの最新動向 フルレポートをダウンロード AIスタジオ(英語)を探索 プロティビティのAIサービス 全てのAIパルス調査 AIパルス調査第1弾 AIパルス調査第2弾 AIパルス調査第3弾 AIパルス調査第1~3弾の洞察まとめ AIパルス調査第4弾