AIエンタープライズ、見切り発車の代償に今も苦しむ

AIと機械学習

大多数がAI関連のセキュリティインシデントや脆弱性を報告

DigiCertによると、AIシステムを導入した企業の大半が、セキュリティ面で自らの首を絞める結果に陥っているといいます。

この電子認証企業が委託した調査によれば、企業の78パーセントが「AI関連のセキュリティインシデントを経験、あるいはAI関連の脆弱性を特定した」と回答しています。

回答者のうち27.7パーセントが1件のインシデントを経験し、21.9パーセントが複数のインシデントを経験、28.4パーセントはインシデントはなかったものの脆弱性を特定したと、同社の広報担当者はThe Registerに語りました。インシデントの詳細は明らかにされていませんが、これらはAIが生成したコードに起因する欠陥ではなく、権限を持たない、あるいは設定ミスのあるAIエージェントが原因だったといいます。

自社のビジネス領域に沿う形で、DigiCertはこの調査結果の原因をAIガバナンスの欠如に帰しています。

「私たちは、身元確認が取れていない従業員を働かせることなど許しません」と、DigiCertのCEOであるAmit Sinha氏は声明で述べています。「AIエージェントも例外ではないはずです」

これは今や決まり文句になりつつあります。ボット向けの識別子を確立しようとする取り組みは複数進行中で、Private Access Control Tokens(PACT)やエストニアによるAIエージェント向けデジタルID、MicrosoftのAgent IDなどが挙げられます。しかしボットに識別バッジを付与する基盤整備は依然として発展途上にあり、多くの組織ではAIエージェントが野放しの状態になっています。

DigiCertの調査結果 [PDF] は、2週間前にSpacelift社が発表した同様の報告と呼応しています。同社の調査では、組織の93パーセントがAI起因のインフラインシデントを経験した一方、ガバナンス計画を導入していたのはわずか19パーセントにとどまりました。 

この調査結果は、いわば”つるはしとシャベル”を売る側であるNvidiaが発表したState of AI 2026レポートとは対照的です。同レポートは「あらゆる業界において、AIは年間収益の向上と年間コストの削減を実現しながら、生産性の向上にも貢献している」と手放しで称賛しています。 

DigiCertのQ&A調査は、米国・英国・オーストラリアの様々な業種に属するIT・サイバーセキュリティ責任者1,001名からの回答をもとにしています。この調査からは、企業がまず導入してから、後になって疑問を持つという実態が浮かび上がっています。

調査対象企業の90パーセントが取締役会レベルでAIガバナンスについて議論した経験がある一方、専用のAIガバナンス予算と正式なガバナンスプログラムを備えているのはわずか50パーセントにとどまります。このギャップが、運用上の死角を放置する原因となっています。自社のAIによる判断結果を、それを生み出したモデルや元データにまで遡って追跡できると回答したのは、回答者のわずか53パーセントでした。

「これは、AIシステムが予期せぬ、あるいは物議を醸す結果を出した瞬間に問題となります」とレポートは指摘しています。「顧客も経営陣も規制当局も、皆こう問うでしょう。『なぜそうなったのか』と」

そしておそらくどこかの時点で、企業自身がこう自問することになるでしょう。「なぜ私たちはあれを導入してしまったのか」と。®

翻訳元: https://www.theregister.com/security/2026/07/07/enterprise-ai-still-smarting-from-leaping-before-looking/5267353

ソース: theregister.com