- GenAIのSaaS利用が3倍に増加し、プロンプト量は1年で6倍に急増
- ユーザーの約半数が未承認の「シャドーAI」に依存し、大きな可視性ギャップを生んでいる
- 機密データ漏えいは2倍に増加し、個人用クラウドアプリ利用に結びついた内部脅威も発生
生成AI(GenAI)は生産性向上に大きく役立つ可能性がある一方で、深刻なセキュリティおよびコンプライアンス上の複雑さも伴う。これはNetskopeの新しいレポートによるもので、オフィスでのGenAI利用が急増するにつれて、ポリシー違反の発生件数も増えているという。
今週初めに公開された「Cloud and Threat Report: 2026」で、Netskopeは、企業におけるGenAIのSoftware-as-a-Service(SaaS)利用が「急速に増加」しており、ChatGPTやGeminiのようなツールを使う人の数がこの1年で3倍に増えたと述べた。
ユーザーはツールに費やす時間も大幅に増えている。アプリに送信されるプロンプト数も過去12か月で6倍に増加し、1年前の月3,000件から、現在は月18,000件超となっている。
シャドーAI
さらに、上位25%の組織は月7万件超のプロンプトを送信しており、上位1%は月140万件超のプロンプトを送信している。
しかし、多くのツールやその利用用途は、適切な部門や経営陣によって承認されていなかった。GenAIユーザーのほぼ半数(47%)が個人用AIアプリ(いわゆる「シャドーAI」)を使用しており、組織は共有されるデータの種類や、これらのツールが読み取るファイルについて可視性を持てない。
その結果、ユーザーがAIアプリに機密データを送信するインシデント数は、この1年で2倍に増加した。
現在、平均的な組織では月あたり223件という驚くべき件数のインシデントが発生している。Netskopeはまた、個人用アプリは「重大な内部脅威リスク」であり、内部脅威インシデントの60%が個人用クラウドアプリのインスタンスに関与していたとも述べた。
規制対象データ、知的財産、ソースコード、認証情報が、組織のポリシーに違反して個人用アプリのインスタンスへ頻繁に送信されている。
レポートは「機密情報が未承認のAIエコシステムへ自由に流れ込むことで、組織はデータガバナンスの維持に苦慮し、偶発的なデータ露出とコンプライアンスリスクの増加につながるだろう」と結論づけている。
「一方で攻撃者は、この断片化した環境を悪用し、AIを用いて超効率的な偵察を行い、独自モデルや学習データを標的とした高度にカスタマイズされた攻撃を作り上げるだろう。」
