セキュリティリーダーたちがAIガバナンスに自信を示す一方で、組織はモバイルデバイス上のAI活動に対して限定的な可視性しか持っていないことが、Lookoutの「モバイルAIの死角を解消する:経営幹部の自信と技術的現実」レポートで明らかになりました。同社の可視性に関する調査結果です。
モバイルAI可視性のギャップ
企業は、社有デバイスとBYODデバイスの両方で発生するモバイルAI活動の大部分を把握できていません。これらの活動の半数以上は、ローカルアプリケーション、オンデバイスモデル、外部クラウドサービス間でトラフィックが生じるため、監視ツールの届かない範囲に置かれています。セキュアWebゲートウェイ、プロキシ、その他のネットワークベースの制御機能は、こうした通信を監視することができません。
組織が厳格なAI制限や監視ポリシーを導入すると、従業員はシャドーITに頼り、個人のモバイルデバイスを使うようになります。また、AI搭載アプリケーションの利用が増えることでソフトウェアの断片化が進み、攻撃対象領域が拡大します。これは、モバイルエコシステムに対して組織が認識している可視性と実際の可視性との乖離を示しています。さらに、エージェント型AIの台頭がこの問題をより深刻なものにしています。
「使用可否ポリシーや受動的な企業指令は、エッジでの積極的かつ技術的な強制なしには無意味です」と、LookoutのモバイルエンドポイントセキュリティプレジデントであるFiras Azmeは述べています。「AIガバナンスはすでに取締役会レベルの優先事項となっており、リーダーの97%がミッションクリティカルだと認識しています」と、Firas Azmeh氏は語っています。
スマートフォンは、コアエンタープライズアプリケーションに接続された認証済みセッション、MFA検証済みの資格情報、OAuthトークンといった各種ID情報を一元管理しています。これにより、ユーザーのデジタル権限を持って動作するエージェントにとって理想的なプラットフォームとなっています。
組織は、自律型AIエージェントがどのように動作し、どのデータにアクセスし、モバイル環境内でどのように権限が継承されるかについて、限られた可視性しか持っていません。同時に、ネイティブモバイルアプリケーション内に組み込まれたAIソフトウェア開発キット(SDK)やサードパーティライブラリの特定・監査にも苦労しています。一見無害に見えるアプリケーションが、バックグラウンド処理のために未検証の生成AI SDKを組み込み、組織の知らないうちに企業データを外部LLMに送信している可能性があります。
可視性の限界がビジネスに与える影響
グローバルなコンプライアンスフレームワークは、AIモデルが関与するデータのやり取りについてエンドツーエンドの追跡可能性を求めています。この可視性が確保されなければ、組織はアカウンタビリティを担保したり、監査可能性を証明したりすることができません。
セキュリティリーダーたちは、AIガバナンスフレームワークが求める監査対応の証拠を提出できるかどうかについて懸念を抱いています。
シャドーパーミッションも大きな懸念事項です。従業員が未検証のAIアシスタントや生産性向上プラグインを承認すると、それらのツールが既存のSSOアクセス権を引き継ぐ可能性があります。エッジレベルのガバナンスがなければ、自律型エージェントがエンタープライズシステムからデータを読み取り、クロールし、取り込むことができてしまいます。
このリスクはすでにインシデント調査に表れています。調査対象組織の63%が、過去12か月間に、機密データの窃取や漏洩(成功または未遂)の一因として生成AIツールが関与していたセキュリティインシデントを調査したと回答しています。
レガシーアプローチとモバイルAIの衝突
こうしたリスクに対処するため、組織はAIガバナンス、可視性、コンプライアンス対応に充てるセキュリティ予算の割合を増やしています。
「企業は、2026年の問題をデスクトップ時代の手法で解決しようとして、セキュリティ予算の5分の1近くを無駄にしています」と、ZK ResearchのZeus Kerravalaは述べています。Zeus Kerravala氏の指摘です。
「二項対立的なWebフィルタリングへの依存は従業員の生産性を完全に破壊し、ITリーダーの84%がビジネス主導のAI推進を積極的に停滞させる事態を招いています。一方、すべてのモバイルデータトラフィックを重いクラウドサンドボックスにバックホールさせると、ユーザーに深刻なレイテンシをもたらし、クラウドコンピューティングコストが膨らみます。ユーザーのスマートフォンを機能しないサイロにしてしまっては、データを円滑に保護することはできません。真のモバイルコンプライアンスはエッジでネイティブに実現しなければなりません」とKerravala氏は続けています。
こうしたリソースをどのように活用するかが、最終的な結果を左右します。長年にわたり、企業はモバイルデバイスの管理にレガシーアプローチを頼ってきました。しかし、WebフィルタリングやネットワークアクセスコントロールはAI管理において有効ではありません。これらは硬直した強制モデルに依存しているためです。
AIサービスへのアクセスをブロックすると、生産性が低下し、ビジネス主導のAI推進が遅れる可能性があります。
AIのやり取りを検査するためにモバイルトラフィックをクラウドサンドボックスや仮想化環境にルーティングすると、相当なオーバーヘッドが生じます。レイテンシが増大し、デバイスのバッテリーを消耗させ、クラウドコンピューティングおよびデータ転送コストが増加します。多くのセキュリティベンダーは、モバイルデバイス特有の動作モデルや利用パターンを考慮せず、デスクトップ向けアーキテクチャをモバイルに転用し続けています。
データセキュリティとコンプライアンスは、デバイスの隔離や仮想化レイヤーだけでは達成できません。モバイルセキュリティツールは、エンタープライズアプリケーションとサードパーティAIアシスタントの間でデータがどのように移動するかについて、限られた可視性しか提供しないことが多い状況です。
翻訳元: https://www.helpnetsecurity.com/2026/06/11/lookout-mobile-ai-governance-risks-report/
