タレスDISジャパン株式会社
AIのアクセス権拡大が、企業の新たな「内部脅威」リスクに
- 7割超の国内企業や組織がAIを最大のセキュリティリスクと認識―AIがあらゆる環境でデータへのアクセスを拡大する中、データの「可視化」と「暗号化」を中核としたセキュリティ環境が被害の抑止に
- IDを標的とした攻撃の有効性が増加―クラウドインフラに対する攻撃の66%が認証情報の搾取によるものと判明
- 6割の企業がディープフェイクによるインシデント、約半数が生成AIの偽情報による被害を報告
- 国内企業の24%がAIセキュリティ専用の予算を確保する一方、約6割は従来のセキュリティ予算で対応
(C)Thales
タレスはこの度、「タレス2026年データ脅威レポート」を発表しました。S&P Global 451 Researchが実施した本調査によると、自動車、エネルギー、金融、小売といった様々な業界の組織が、AIの急速な台頭を最大のセキュリティ課題として認識している状況が浮き彫りとなり、国内企業・組織の73%(世界全体:70%)がデータセキュリティにおける最大のリスクとしてAIを指摘しました。その懸念は、悪意のある外部ソースとしてのAIに対するものだけではなく、信頼されたツールとして企業に導入されたAIに付与される「アクセス権限」に対しても向けられています 。企業はAIをワークフロー、分析、カスタマーサービス、開発パイプラインなどに組み込んでいますが、これらのシステムは広範囲にわたり企業が持つデータに対するアクセスを自動的に許可しています。しかしながら、必ずしも人間ユーザーと同等の管理が適用されているわけではありません。
タレスDISジャパン株式会社 サイバーセキュリティプロダクト事業本部長 兼子 晃は次のように述べています。「内部脅威はもはや人間だけの問題ではありません。過度に信頼された自動化システムもまた、リスクの一因になっています。ID管理、アクセス管理ポリシー、あるいはデータの暗号化が不十分な場合、AIはそれらの弱点を、人間の想像をはるかに超えたスピードで企業環境の弱点を見つけ出し全体に影響を及ぼします。」
AIの拡大に伴い監視体制の死角も拡大
本レポートは、AI導入とデータ管理の間に深刻なギャップがあることを明らかにしています。データの重要度にかかわらず、自らが持つデータすべての所在を把握している企業は37%(世界全体:34%)にとどまり、完全にデータを分類できている企業は42%(同、39%)にすぎません。一方で、機密性の高いクラウド上のデータのほぼ半数(国内、世界全体ともに47%)が暗号化されないままとなっています。
AIシステムがクラウドやSaaS環境全体のデータを取り込み、処理・活用するようになるにつれ、どこにどのデータがあり、誰がアクセスできるのかを十分に把握することが難しくなっています。そのため、最小権限の原則(業務に本当に必要な最小限のアクセス権だけを与える考え方)を徹底することが、これまで以上に困難になっています。結果として、認証情報が漏えいした場合、被害がより広範囲に及ぶ可能性があります。
現在、ID基盤が攻撃者に最も狙われやすい領域の一つとなっています。クラウド攻撃を受けた組織の66%(世界全体:67%)が、クラウド管理基盤への攻撃では依然として認証情報の窃取が主な手口であるとしています。また、41%(同、50%)の組織が「シークレット管理」をアプリケーションセキュリティにおける最重要課題の一つと位置付けています。これは、マシンIDやAPIキー、トークンなどを大規模に管理・統制することが、ますます複雑になっていることを示しています。
AIはより巧妙な攻撃を可能に
企業がAIの導入を急ぐ一方で、攻撃者も同様にAIを活用しています。55%(世界全体:59%)の企業がディープフェイクを用いた攻撃を受けたと報告しており、48%(国内、世界全体ともに)がAIによって生成された偽情報やなりすましキャンペーンに関連する被害を経験しています。
AIは新たなリスクをもたらすだけでなく、従来のリスクも増幅させます。情報漏えいの30%(世界全体:28%)が人的要因(ヒューマンエラー)によるものであり、そこに自動化が組み込まれることで、小さなミスでもより速く、より広範囲に拡大する可能性があります。
セキュリティ投資は進む一方で、リスク拡大のスピードに追い付かず
多くの企業がAIのアクセス権拡大や自動化の急速な進展への対応の必要性を認識しているものの、投資が十分に追いついているとはいえません。現在、AIセキュリティに特化した予算を確保している組織は24%(世界平均:30%)にとどまっており、意識の高まりは見られるものの、依然過半数(国内:57%/世界全体:53%)は、人力対応や境界防御を前提に設計された、従来型のセキュリティ対策に依存しています。マシンが自律的に認証し、アクセスし、行動するようになる中で、多くのセキュリティ戦略は、こうした運用モデルの変化に十分対応できていないのが現状です。
S&P Global Market Intelligence 451 Researchの主席アナリストであるEric Hanselman氏は、次のように述べています。「AIが企業のオペレーションに深く組み込まれる中で、データの継続的な可視化と保護は、もはや選択肢ではありません。組織はデータセキュリティ戦略を企業活動の基盤として位置付ける必要があり、革新的なものとして切り離してはいけません。」
システム自体がアクセス権を持つ時代、信頼のあり方にも進化が必要
AIは従来の脅威を置き換えるものではなく、その速度・規模・影響範囲を拡げ、脅威を増幅させています。自動化されたシステムが企業データへの広範なアクセス権を持つようになる中、企業や組織はID管理、暗号化、データ可視性を中核とするインフラとを構築する必要があります。 AI戦略に強固なガバナンスを組み込むことができる組織こそが、安全にイノベーションを推進し、AIを新たな「内部脅威」にするリスクを回避できるでしょう。
タレスグループについて
タレス(本社:フランス・パリ、Euronext Paris: HO)は、防衛、航空・宇宙、サイバー・デジタル分野における、先端技術のグローバルリーダーです。主権、セキュリティ、サステナビリティ、インクルージョンなどの課題に対し、革新的な製品とソリューションで応えてまいります。
タレスグループは、AI、サイバーセキュリティ、量子技術、クラウド技術など主要分野における研究開発に関して、年間40億ユーロ近くを投資しています。68カ国に8万3,000人の従業員を擁するタレスの2024年度売上高は、206億ユーロを記録しています。
