職場での大規模言語モデル(LLM)などの生成AIツールの使用増加に伴い、従業員がそれらをどのように使用しているかを把握するのに組織が苦労する中、サイバーセキュリティ違反のリスクが高まっています。
ITおよびセキュリティチームが直面している主な課題の1つは、従業員がChatGPT、Google Gemini、Microsoft Copilotなどの個人アカウントを仕事で使用する場合のシャドーAIの継続的な使用です。
Netskope の2026年クラウド・脅威レポートによると、職場で生成AIツールを使用している人のほぼ半数(47%)が個人アカウントおよびアプリケーションを使用しています。
これにより、従業員が職場でこれらの個人用生成AIアカウントをどのように使用しているかについての可視性またはコントロールが不足しています。
その結果、サイバーセキュリティリスクが増加し、データポリシー違反の問題が生じ、機密社内情報が漏洩するリスクがあります。
一方、生成AIアプリケーションに送信されるプロンプト数は増加しています。
「ユーザー数は平均して3倍に増加しましたが、SaaS生成AIアプリに送信されるデータ量は6倍に増加し、月間3,000プロンプトから18,000プロンプトになりました。一方、上位25%の組織は月間70,000プロンプト以上を送信しており、上位1%は月間140万プロンプト以上を送信しています」とNetskope はレポートで述べています。
生成AIデータポリシー違反は月平均223件
AIツールに送信されるデータの増加は、組織に追加のセキュリティリスクを生じさせます。Netskope によると、従業員が生成AIおよびLLMを使用した結果の既知のデータポリシー違反の数は過去1年間で倍増しており、組織がシャドーAIの使用を監視するのに苦労していることを考えると、これは過小評価の可能性があります。
「平均的な組織では、データポリシー違反を犯すユーザー数とデータポリシーインシデント数の両方が過去1年間で2倍に増加しており、生成AIユーザーの平均3%が月平均223件の生成AIデータポリシー違反を犯しています」とレポートは述べています。
また、組織とその従業員がAIアプリケーションおよびサービスの使用に熱心であるほど、データポリシー違反のリスクが高くなると警告しています。生成AI使用の上位25%の組織は月平均2,100件のインシデントを経験しています。
これらのインシデントは、ソースコード、機密データ、知的財産、さらにはログイン認証情報を含む機密データがAIツールに送信されることを伴い、偶発的なデータ露出およびコンプライアンスリスクの増加につながります。
これは特に、従業員が個人アカウントを使用している場合に当てはまります。適切な手順がない場合、セキュリティが損なわれ、それが使用されていることすら気付いていない可能性があります。
また、攻撃者がLLMに入力されている情報を利用し、慎重に作成されたプロンプトを使用して機密情報を引き出すリスクもあります。この情報は、それ自体として、またはターゲット化されたキャンペーンをより カスタマイズされ効率的にするのに役立てることができます。
生成AIおよびLLMの使用が増え続けるにつれて、組織はネットワーク全体のAIツール使用の可視性を最大化するための効果的なポリシーを実施し、従業員にAIのリスクのある使用とは何かについて教育する必要があります。
「データポリシー違反の急増と定期的に侵害されるデータの高い機密性の組み合わせは、AIリスクをコントロール下に置くための取り組みを行っていない組織にとって主な懸念事項であるべきです」とNetskope は述べています。
「より強力なコントロールなしでは、偶発的な漏洩、コンプライアンスの失敗、および下流のコンプロマイズの確率は月ごとに増加し続けます。」
生成AIを通じたデータポリシー違反は依然として重大なリスクですが、組織が気付き始めているようです。職場で個人用AIアカウントを使用している従業員の割合は、前年の12ヶ月間と比較して78%から47%に低下しており、データガバナンスポリシーがシャドーAIの使用を締め付け始めていることを示唆しています。
翻訳元: https://www.infosecurity-magazine.com/news/personal-llm-accounts-drive-shadow/
