生成AIの革命は、いまや本格的な普及段階を迎えています。生成AIはナレッジワーカーのデータ分析を支援し、これまで埋もれていたトレンドやパターンを明らかにし、新たなアイデアの検証やコンテンツ作成にも活躍しています。アナリストの試算によれば、こうした生産性向上の効果により、年間2兆6,000億〜4兆4,000億ドルが世界経済に加算されると見込まれています。
しかし生成AIシステムの普及が進むにつれ、意図せず、あるいは悪意ある攻撃者に悪用される形で機密データが漏洩するケースが増えています。生成AIが関与するデータセキュリティインシデントの件数は2025年前半だけで2倍以上に増加しており、現在ではこの種のインシデントのほぼ15%に生成AIが関与しています。多くの組織にとって、生成AIの導入はまさに諸刃の剣となっています。社内文書・メール・顧客情報・各種記録・ログなど、取り込むデータが多いほどツールの有用性は高まりますが、データアクセスの範囲が広がれば広がるほど、機密情報・独自情報・規制対象情報に意図せず触れるリスクも高くなります。
「この問題は今に始まったことではありません」と語るのは、SHIでフィールドCISO兼ASGプリセールスエンジニアリング担当を務めるDavid O’Leary氏です。「生成AIやエージェント型AIを導入する前に、堅牢なデータガバナンス、とりわけ細粒度の最小権限アクセス制御を構築できていなかった組織は、これらのAIシステムがデータセキュリティのポリシーやアーキテクチャに潜在していた脆弱性を次々と浮き彫りにすることに気づかされます。AIシステムは設計された通りに動いているだけです。つまり、プロンプトに関連するあらゆる情報を収集し、さらに多くを求め、より賢くなり、その結果を示す——それだけのことです。」
データセキュリティリスクを増大させることなく、AIを活用したソリューションから最大限の価値を引き出したい組織は、ベストプラクティスに基づくデータ保護策を環境全体にわたって整備する必要があります。
ただし、データの発見・分類、リスク分析、ポリシー適用の方法は現代化できます。新しいソリューションは、今日の複雑なハイブリッド・マルチクラウド環境全体にわたる可視性を向上させることを目指しています。セキュリティベンダーもAIを活用して、データ損失防止(DLP)およびデータセキュリティポスチャ管理(DSPM)ツールの機能強化を進めています。
以下に、AI時代における堅牢なデータセキュリティに欠かせない4つのベストプラクティスをご紹介します。
#1:業務上必要な従業員だけが制限データにアクセスできるポリシーの徹底
最小権限の原則——すべてのユーザー・システム・プロセスには業務遂行に必要な最小限のアクセス権限のみを付与するという考え方——は、データリスクと攻撃成功時の影響範囲を最小化するうえで今も不可欠です。セキュリティリーダーが問い続けるべき核心的な問いは、「誰がどのデータにアクセスすべきか」です。
かつては人間のIDだけを対象にすれば足りたポリシーが、今や従業員・サードパーティ・顧客の代わりに動作する非人間ID(NHI)の爆発的な増加にも対応しなければなりません。そのためには、NHIセキュリティに対するライフサイクル全体を網羅した現代的なアプローチの導入が必要です。
#2:保存中・転送中の機密データを強力な暗号化または難読化で保護
暗号化はデータ保護の最後の砦であり、極めて重要です。たとえ攻撃者が機密情報を窃取・持ち出したとしても、復号できなければ悪用はできません。最大の課題は、暗号化すべきデータをすべて特定し、その保存場所・利用方法・保護の十分性を把握することです。
「最新のDLPおよびDSPMツールはAIを活用し、クラウドデータベース、フラットファイル、従業員のノートPCのハードドライブを問わず、機密情報を発見できるようになっています」とO’Leary氏は言います。「データの分類とタグ付けの精度が大幅に向上しており、これはデータセキュリティ全体、つまり暗号化を含むあらゆる対策の基盤となります。」
#3:データの発見と保護を組織全体に統合したアーキテクチャ的アプローチの採用
データ保護は、大規模に機能するとき最も効果を発揮します。データ分類・暗号化・アクセス管理の仕組みをエンタープライズアーキテクチャに組み込むことで、ポリシーが組織全体で一貫して適用され、脆弱性をシステム的に低減できます。
鍵・シークレット管理、ID・アクセス制御、ログ記録といった機能を一元化することで、セキュリティ運用チームは一貫した可視性を得られ、ポリシー違反やコンプライアンスリスクの監視が容易になります。システム設計の段階からデータセキュリティを組み込むことで継続的なレジリエンスが確保でき、事後的に対策を追加するよりもはるかにシンプルです。
#4:異常なデータの動きに対する継続的監視とリアルタイムアラートの実装
継続的な監視によって、危険なデータの移動や流出をリアルタイムで検知することが可能になります。これらの活動を阻止できるのは、まさに発生している瞬間だけです。どれほど優れたポリシーも、リアルタイムで適用できなければデータ保護には役立ちません。新世代のAI駆動型DLPツールは、セキュリティポリシー違反やコンプライアンスリスクを継続的に監視しながら、従来型ソリューションと比べて誤検知アラートの件数を大幅に削減できます。
継続的な監視機能は、インシデント検知・対応を可能にするだけでなく、複数の規制・フレームワークへのコンプライアンス対応も簡素化します。リアルタイムの可視性を提供する同じツールが、データ保護ポリシーが組織全体で適用されていることを証明するログやエビデンスの収集にも活用できます。
これら4つのベストプラクティス自体は目新しいものではありませんが、AIの普及が攻撃対象領域を広げ、新たな流出経路を生み出し、技術エコシステムの複雑性を増大させることで可視性の維持が難しくなっている今、その重要性はかつてなく高まっています。明るいニュースとして、取締役会やC-suiteの経営幹部もこの問題に真剣に向き合うようになっています。
「私が関わる多くの組織では、この1年間で大規模なデータセキュリティ施策を立ち上げています」とO’Leary氏は語ります。「データの散在が深刻な問題であることを認識し、ビジネス側がAIイノベーションで限界に挑もうとしていることも把握しており、将来の量子コンピューティングの到来への備えも視野に入れています。そのためDLPやDSPMの製品を導入し、データセキュリティ課題に取り組むクロスファンクショナルチームを立ち上げ、アーキテクチャレベルでの問題解決に取り組んでいます。」
こうした投資は、データセキュリティの将来に向けて良い兆しといえるでしょう。
自社のデータセキュリティの取り組みを同業他社と比較検討してみませんか?業界リーダーたちが今日の最重要サイバーセキュリティ課題をどのように考えているかを知るには、SHIとStratascaleが提供する2026年版サイバートレンドレポートをぜひダウンロードしてください。
