「シャドウAI」がデータ侵害のコストを増加させていると報告書が判明

要点：

• 監視されていない人工知能ツールがデータ侵害のコストを高めていると、IBMの新しい報告書が述べている。
• 調査対象となった組織の5社に1社が「シャドウAI」のセキュリティ問題によりサイバー攻撃を受けたと回答しており、これらの攻撃はシャドウAIがほとんどない、または全くない企業での侵害よりも平均で67万ドル高いコストがかかったと、IBMは年次データ侵害コスト報告書で述べている。
• 報告書によると、AIツールが関与した侵害を報告した組織は全体の13％に過ぎなかったが、そのうち97％が「適切なAIアクセス制御を欠いていた」。

詳細分析：

セキュリティ責任者が自社の新しいAIプラットフォームをどのように監督するかに苦慮する中、IBMの報告書はAIセキュリティを十分に重視しないことの潜在的な結果を示している。

最も重要な発見の一つは、企業のAIプラットフォームのハッキング要因として認証管理の弱さが広く存在していることに関するものだ。IBMによれば、これらの攻撃の最も一般的な発生源はサプライチェーン侵害であり、ハッカーは「侵害されたアプリ、API、またはプラグイン」を通じてAIツールにアクセスしていた。この発見は、AIツールやその他のビジネスプラットフォームに対する基本的なセキュリティ保護、ネットワーク分割などのゼロトラスト原則の重要性を浮き彫りにしている。

ハッカーが企業のAIプラットフォームに侵入した後、しばしば他のデータストアも侵害され（全体の60％のケース）、時には重要なインフラへの運用障害も引き起こしていた（31％のケース）。

AIツールのセキュリティに厳格に注意を払うことで高額な侵害を防げるという明確な証拠があるにもかかわらず、企業はガバナンスプログラムの導入を急いでいない。侵害を経験した企業の63％がAIガバナンスポリシーを持っていないと回答しており、一部は現在策定中である。ポリシーを持つ企業でも、その多くは不十分であり、IBMはそのような組織の半数未満しか「AI導入の承認プロセスを持っておらず」、62％がAIツールに強固なアクセス制御を実施していなかったと指摘している。

AIガバナンスポリシーを持つ組織のうち、ネットワーク上で認可されたツールを定期的にチェックしているのは34％にとどまると報告書は述べており、これが「シャドウAI」の蔓延とそれに伴う侵害コスト増加の一因となっていることが示唆される。

一方で、ハッカーは攻撃のために生成AIを活用し続けている。「平均して、データ侵害の16％において攻撃者がAIを利用しており、その多くはAI生成のフィッシング（37％）やディープフェイクによるなりすまし攻撃（35％）だった」とIBMは述べている。同社は以前、生成AIによって説得力のあるフィッシングメールの作成にかかる時間が16時間から5分に短縮されたと報告している。

IBMによれば、この報告書は「2024年3月から2025年2月の間にデータ侵害を経験した600組織の個人470人へのインタビュー」に基づいている。