TokyoBlackHatNews

theregister.com 4分で読了

シャドーAIの従業員利用について自信過剰な経営幹部たち

アイデンティティ&アクセス管理大手Oktaが委託した調査によると、過去1年間にAI関連のセキュリティインシデントやヒヤリハットを経験した企業は半数以上に上る一方、経営幹部の大多数は従業員によるAIツール利用リスクを管理できているという自信を持っていることが明らかになった。 

「本調査におけるAIセキュリティ問題とは、実際に発生したインシデント(侵害、データ漏洩、システム障害)、またはニアミス(組織に被害をもたらす前に問題が特定されたケース)と定義しています」と、OktaのAIセキュリティ担当SVP兼GMのHarish Peri氏はThe Registerに語った。 

セキュリティ問題を報告した回答者のうち、26.7%が実際のインシデント(侵害、データ漏洩、システム障害)を経験したと回答し、31.2%は被害発生前に食い止めたニアミスを報告した。しかし全体として、過去12ヶ月間にAI関連のセキュリティ問題を経験したと回答した経営幹部は58%に上り、データは「シャドーAI」の従業員利用が原因であることを示しているとPeri氏は述べた。 

「サイバーセキュリティの格言に『見えないものは守れない』というものがあります。我々の調査では、ナレッジワーカーの52%が未承認のAIツールを使用していることを認めています」とPeri氏は語った。「セキュリティチームやコンプライアンスチームは、使用されていることを知らないAIツールを管理することができません。組織は、アイデンティティ中心のコントロール、自動検出、そしてAIツールを安全にテストできるセキュアなサンドボックスを優先した、効果的なAIガバナンスフレームワークを実装する必要があります。」 

「AI Agents at Work 2026」レポートはOktaが委託し、3月にApprize360が実施した。米国、英国、オーストラリア、カナダ、日本、フランス、ドイツの7カ国を対象に、経営幹部292名とナレッジワーカー492名を調査した。

また、経営幹部が組織内でのAI利用状況をどのように認識しているかと、従業員が実際に行っていることとの間に乖離があることも示された。コーディングアシスタント、ブラウザ拡張機能、業界固有のユーティリティなど、これらすべてのツールに共通するのは、データへのアクセス需要であり、多くの場合、組織の内部システムへのアクセスが必要になるとレポートは述べている。

Peri氏によると、調査ではAIモデルとのやり取りにおける従業員のリスクある行動が判明した。ナレッジワーカーは未承認のAIツールを積極的に使用し、機密会社文書をそれらのツールと共有し、人事情報をAIに提供し、さらに16%のケースではログイン認証情報を提供していた。

「意図的かどうかにかかわらず、こうしたリスクある行動は組織全体の攻撃対象領域を拡大させます」とPeri氏はThe Registerに語った。

それにもかかわらず、ナレッジワーカーの半数以上が未承認のAIツールを使用していると認め、24%が定期的に使用していると回答しているにもかかわらず、経営幹部の90%が自組織のAIツール把握能力に自信を持っていた。

セキュリティ上の問題とは別に、調査ではAIエージェントおよびAIツールが広く普及しつつあることも明らかになった。

調査対象の経営幹部の92%が、自律型AIエージェントはすでに組織全体で広範囲または中程度に利用されていると回答した一方、ナレッジワーカーのほぼ3分の2が少なくとも毎日AIツールを使用していると報告した。 

それらのワーカーのうち、68%がAIエージェントを使用し、62%がLLMやAI搭載チャットボットを定期的に使用していた。 

調査結果は地域によっても異なる。

米国が調査対象国の中でトップとなり、67%(3分の2以上)のワーカーが未承認のAIツールを使用していると回答した。オーストラリアが2位で、60%のワーカーが未承認のAI利用を行っていると回答。英国では約55%のワーカーがルールを無視しており、カナダでは約50%のワーカーが未承認のAIツールの使用を報告した。

フランスとドイツのワーカーは最も低い未承認AI利用率を示し、それぞれ約30%であった。

経営幹部の自信と従業員の実態との乖離が最も大きいのは英国で、経営幹部の96%がAIの把握能力に自信を示す一方、半数以上のワーカーが未承認ツールを使用していた。 

Peri氏は簡単な解決策はないと述べた。

「ほとんどの組織において、シャドーAIは意図せず発生するものであり、悪意のある目的ではありません」と同氏はThe Registerに語った。「シャドーAIが経営幹部にとって頭痛の種となるのは主に、組織が管理していないツールに対する適切な可視性、ガバナンス、セキュリティ管理が欠如しているからです。」 

Oktaの調査では、組織はシャドーAIの存在を前提として把握を優先事項にすべきと提言している。AIの安全な利用を最も容易な選択肢とし、今すぐAIガバナンス戦略を定義すべきだとしている。

Peri氏は、AIの厳格な禁止はより多くの利用を地下に潜らせることで問題をかえって悪化させる可能性があると述べた。より効果的なアプローチは、従業員が何を必要としているかを理解するために対話を行い、承認済みツールを未承認の代替手段よりも使いやすくすることだと同氏は述べた。®

翻訳元: https://www.theregister.com/ai-ml/2026/05/27/bosses-blinded-by-confidence-about-shadow-ai-use-by-workers/5247275

ソース: theregister.com
#AIエージェント #AIガバナンス #AIリスク #Okta #アイデンティティ管理 #サイバーセキュリティ #シャドーAI #企業セキュリティ #情報漏洩 #未承認ツール

関連記事

CrowdStrikeとGoogleがGlasswormボットネットを壊滅

FBI:ITスタッフを把握せよ――恐喝グループが技術サポートを装って法律事務所に侵入

インドのサイバー機関、AIの脅威が高まる中、悪用された脆弱性への対応期限を12時間に設定