「シャドーAI」によるインシデントはグローバル組織の2割が経験
日本組織のデータ侵害コスト、8年ぶり減少で「平均5.5億円」に ― IBM調査レポート
2025年09月03日 08時00分更新
AI・自動化の活用レベルでデータ侵害コストが“190万ドル”変わる
データ侵害後のセキュリティ投資の実態についても紹介された。
被害後にセキュリティ投資の増額を計画している組織は49%となり、昨年より14ポイント減少した結果となった。窪田氏は、「侵害につながった課題に対して、すぐに予算をつけずに、適切な施策を見極めて動く組織が多い」と推測する。一方の計画している企業の投資対象は、SIEMやXDRのような「脅威の検知・対応のテクノロジー」が43%と最も多くなった。さらに、45%の組織がAI活用したセキュリティソリューションへの投資を検討しているという。
データ侵害後のセキュリティ投資判断と施策
また、AIや自動化を活用したセキュリティソリューションを既に広範囲で使用する組織は32%となり、前年から1ポイント上昇している。限定的に使用している企業は40%で、4ポイント増加しており、セキュリティへのAI採用も、緩やかに浸透しているような状況だ。特に、広範囲に使用する組織は、全く使用していない組織と比較して、データ侵害の平均総コストが190万ドル少なくなっており、「その価値を十分に発揮している」(窪田氏)といえそうだ。
AIや自動化を活用したセキュリティの使用レベルと侵害コスト
レポートを踏まえたデータ侵害に対する“5つの対応策”
最後に、ここまでのレポートの結果を踏まえた5つの対応策が挙げられた。
ひとつ目は「ID管理」だ。認証情報の悪用は、経路別のデータ侵害コストも高く、窪田氏が国内でインシデント対応する中でも、大規模な被害につながるケースを目の当たりにしているという。パスワードレスや多要素認証といった、IDを不正利用されないための対策が必須であり、AI時代には、エージェントなどの人以外のIDも対象に含めることを意識しなければならない。
2つ目は「AIデータの保護」だ。生成AIの活用ばかりが先行しないよう、不適切な学習や入力・出力を検知する仕組みやアクセス制御、データやモデルの暗号化、APIの鍵管理など、AIデータセキュリティの基盤を整備する必要がある。
3つ目は、ポリシーの策定が進んでいない「AIガバナンス」だ。まずは、AIの利用状況を整理した上で、シャドーAIの管理やモデル運用の可視化、脆弱性の管理、異常検知などの仕組みで、安心してAI活用できるような環境を整える必要がある。「特定の部門やチームではなく、部門横断的なプロセスへの投資が有効」(窪田氏)
4つ目は「セキュリティにおけるAI活用」だ。現在、あらゆるセキュリティソリューションにAIが組み込まれ、緩やかに浸透している状況だ。AIの力で侵害の特定や対応の時間を短縮することは、コスト削減にもつながる。
5つ目は「レジリエンスの向上」だ。「今回のレポートがインシデントを経験した組織を対象にしているよう、侵害リスクをゼロにするのは難しいのは周知の通り」と窪田氏。侵害の発生を前提に、インシデント対応チームの組成や計画づくり、バックアップの復元テスト、危機対応時の役割や責任の明確化といった、事前の備えが不可欠となる。
