Home

公開日

企業データの3割が“シャドーAI”によって流出?驚きの調査結果を解説

img of 企業データの3割が“シャドーAI”によって流出?驚きの調査結果を解説

~知らない間に顧客情報や技術情報が流出…? そのリスクと対策を徹底解説~

ChatGPTの登場以来、ビジネスシーンでも急速にAIの活用が進んでいます。顧客対応の効率化や、マーケティング資料の作成など、AIは企業の様々な課題を解決する可能性を秘めています。しかし、その一方で、IT管理者として見逃せないリスクも存在します。従業員が個人で利用する、セキュリティ対策が不十分なAIツール、いわゆる “シャドーAI” の利用です。

サイバーセキュリティ企業Cyberhaven Labsが実施した最新調査では、驚くべきことに企業データの3割が“シャドーAI”によって流出している実態が明らかになりました。顧客情報や技術情報など、企業にとって重要な情報が、気づかないうちに流出している可能性があるのです。

なぜ、シャドーAIが危険なのか?

従業員からすると、ChatGPTやGeminiなどの生成AIは、業務効率化のための便利なツールに過ぎません。しかし、これらのツールは、入力された情報を学習し、その精度を高めていきます。

つまり、企業が許可していないAIツールに、顧客情報や社外秘の資料を入力してしまうと、情報漏洩に繋がるリスクがある のです。

Cyberhaven Labsの調査では、従業員がAIツールに入力したデータのうち、27.4%が、顧客情報、ソースコード、財務資料といった機密情報 であることが判明しました。詳細な内訳は以下のグラフに示すとおりです。

Sensitive corporate data sent to AI by type

情報流出の具体的な例としては、以下のようなケースが考えられます。

  • 顧客対応担当者 が、顧客とのメールの内容をChatGPTに入力し、対応内容のアドバイスを求めた結果、顧客情報が流出。
  • 営業担当者 が、新規顧客開拓のために、顧客リストをGeminiに入力し、ターゲティングの精度を高めようとした結果、顧客情報が流出。
  • 開発担当者 が、開発中のシステムのソースコードをChatGPTに入力し、バグの修正方法を調べようとした結果、技術情報が流出。

これらの行為は、従業員にとっては、業務効率化を図るための何気ない行為かもしれません。しかし、企業にとっては、情報漏洩によって、顧客からの信頼を失ったり、競争上の優位性を失ったりするなど、大きな損失に繋がる可能性がある のです。

見落としがち!? 具体的な流出経路とは?

では、具体的にどのように企業データがシャドーAIによって流出してしまうのでしょうか?

Cyberhaven Labsの調査によると、そのほとんどが、ファイルアップロードではなく、“コピー&ペースト”によるもの であることが分かっています。

従来のセキュリティ対策では、ファイルのアップロードやダウンロードを監視することで、情報漏洩を防ぐという方法が一般的でした。しかし、コピー&ペーストによる情報流出を防ぐことは難しく、多くの企業で見落としがちです。

さらに、ChatGPT利用の73.8%は、企業のセキュリティポリシーが適用されない個人アカウント で行われているという現状も、リスクを高める要因となっています。

グラフの青線が個人アカウント、赤線が企業アカウントによる利用 Workplace AI usage by account type

今すぐできる!具体的な対策とは

シャドーAIによる情報流出リスクから企業を守るためには、早急な対策が必要です。具体的には、以下の3つの対策を検討しましょう。

1. AI利用に関する明確なポリシー策定と従業員教育

まずは、AIの利用に関する明確なポリシーを策定 し、従業員に周知徹底することが重要です。

具体的には、以下の点を明確化しましょう。

  • どのAIツールが利用可能なのか?
  • どのような場合にAIツールの利用を許可するのか?
  • AIツールにどのような情報を入力してはいけないのか?

2. 機密データのAIツールへの入出力の監視・制御

ポリシーを策定したら、それを技術的に担保するための対策 も必要です。

具体的には、以下の方法が考えられます。

  • DLP(Data Loss Prevention)ソリューションを導入し、機密データのAIツールへの入出力を監視・制御する。
  • CASB(Cloud Access Security Broker)ソリューションを導入し、クラウドサービス上のAIツールの利用状況を監視・制御する。
  • EDR(Endpoint Detection and Response)ソリューションを導入し、エンドポイント端末におけるAIツールの利用状況を監視・制御する。

3. セキュリティ対策が施された企業向けAIツールの導入

従業員が安心してAIツールを利用できる環境を提供することも重要です。セキュリティ対策が施された企業向けAIツールを導入 することで、情報漏洩リスクを抑えつつ、AIの利便性を享受することができます。

まとめ:AI活用とセキュリティ対策の両立を

AI技術は、ビジネスに大きな変革をもたらす可能性を秘めています。しかし、その一方で、情報セキュリティ対策を怠ると、企業に計り知れない損害をもたらす可能性も孕んでいるのです。

IT管理者は、AI技術の利便性とリスク の両面を正しく理解し、適切な対策を講じることで、安全なAI活用を実現していく必要があります。

自社のセキュリティ対策や、セキュリティポリシーの策定にご不安ですか? 弊社のサービス は、組織が抱える課題を解決し、セキュリティ対策に関する様々なソリューションを提供しています。ぜひお気軽にご相談ください!

参考資料: