catch-img

約4割のSaaSがAIを利用または開発。SaaSの「隠れAI」に注意(Assured独自データ調査結果公開)

真藤 直観

専門家レポート

企業におけるAIの利活用が急速に進むなか、当社がこれまでに実施したクラウドサービス(SaaS・ASP等)のセキュリティ評価データから、AIを利用または開発しているサービスにおけるセキュリティ対策実態を調査した結果を発表します。

※本調査を引用する場合は「Assured調べ」とご記載ください。

【結果サマリー】

  • AIサービスの登録件数は直近3年で4.8倍に増加

  • 約4割のクラウドサービスが、実はAIを利用または開発。「隠れAI」サービスに注意

  • 利用規約の明示、学習データの収集・利用ルールを策定しているサービスはいずれも約半数にとどまる

  • 約4割が、AIの品質管理、およびセキュリティ対策未実施

AIサービスの登録件数(※1)は直近3年で4.8倍に増加

Assuredのセキュリティ評価データ(SaaS・ASP等)を分析した結果、AIを主体としたサービス(※2)の登録件数は直近3年間で4.8倍に増加していることが判明しました。2025年7月時点においては、Assuredに登録されているサービス全体の11.4%がAIを主体としたサービスに当たります。これは、各社で提供されているSaaS等において、AIの利用を前提としたサービスが増えていることを示すと同時に、そのセキュリティリスクに対する意識が急速に高まり、適切な管理・評価の必要性を強く認識していることを明確に示しています。

※1:ウェブ評価も含めたセキュリティ評価情報がAssuredに登録されているサービス件数
※2:Web会議ツール連携型AIアシスタント、営業支援(SFA)AIツール、ドキュメント作成・要約AIサービスといった、AIによる機能をサービスの主体としているものを指します。

約4割のクラウドサービスが、実はAIを利用または開発。「隠れAI」サービスに注意

一方で、AIを主体としたサービスに限らず、一部の機能やサービスにおいて、ChatGPTなどの既存のAIを利用、または自社でAIを開発しているサービスは42.8%にのぼることが明らかになりました。一見、AIに関係のないように見えるサービスでも、実はAIを利用しているという「隠れAI」サービスの場合があります。これらのサービスを利用する際には、AIならではの観点でセキュリティ対策状況を確認する必要があります。Assuredの評価データから、特に重要な項目を抽出した結果を公開します。

利用規約の明示、学習データの収集・利用ルールを策定しているサービスはいずれも約半数にとどまる

AIを利用または開発しているサービスにおいて、ユーザー企業が入力したプロンプトやアップロードしたファイルが、AIの学習データとして再利用されるか否か、あるいは外部に共有されるかといった「データの利用目的と範囲」が、契約書やプライバシーポリシー上で不明確なケースが散見されます。実際に、「AIサービスの利用者にむけた利用規約などを作成、明示している」サービスは53.6%、「学習データの収集・利用について、法令遵守のためのルールを定めている」サービスも53.7%にとどまり、約4割が未実施です。利用規約の明示や学習データの収集・利用ルールが策定されていない場合、現在は学習データに利用されていなかったとしても、将来的に利用される可能性もあり、注意が必要です。

また、さらに注意が必要なケースとして、2割強のサービスが「預託データを学習(モデルのトレーニング、ファインチューニングを含む)に利用する」としているなか、これらのサービスのうち、学習データの収集・利用ルールを定めていないサービスが22%存在しています。これにより、企業が気づかぬうちに、企業の機密情報や個人情報が意図せず利用されたり、コンプライアンス違反や情報漏洩のリスクを抱える可能性が高まります。


約4割が、AIの品質管理、およびセキュリティ対策未実施

AIを利用または開発しているサービスのなかには、情報セキュリティ確保のための組織体制(セキュリティリスクの管理体制やセキュリティインシデントへの対応体制など)が十分に確立されていないケースが見られます。

実際、「学習データ、AIの出力結果・判断根拠などを定期的に評価し、バイアス等を継続的にモニタリングしている」のは54.7%、「AIに関する攻撃手法や動向について情報収集し、対応している」のは56.8%で、約4割が未実施の状況です。AIによって提供される情報が不正確だったり、AIならではの攻撃に対する防御が不十分なケースがあり、注意が必要です。


<調査概要>

・調査件数:3212件
・調査日:2025年7月23日
・調査対象:Assuredのセキュリティ調査に回答済み、または、Assuredでウェブ評価を実施したクラウドサービス
※小数点第二位を四捨五入しているため、合計が100%にならない場合があります。
※本調査を引用される際には、「Assured調べ」と必ずご記載ください。


Assured セキュリティエキスパート/セキュリティサービス部 部長 公認情報システム監査人(CISA) システム監査技術者 真藤 直観 コメント

昨今、AIは業務効率化の強力な武器として、また新しい事業のエンジンとしても企業での導入が急速に進んでいます。しかし、適切なセキュリティ評価や管理プロセスを経ずに導入が進むケースが少なくありません。これは、企業全体のリスク管理体制や情報管理のスコープから外れた形を招き、深刻なセキュリティインシデントに繋がりかねない潜在的な脅威です。

当社のクラウドサービスの登録状況をみると、AIを主体としたサービスが増加しており、直近3年で4.8倍に急増しています。背景には、テクノロジーとの親和性の高さに加え、AI技術の急速な進化があります。これは同時に多くの企業がAI利用のリスクを直接・間接を問わず真剣に捉え、積極的に評価・管理する段階に入ったことを示唆しています。

実際、AIを主体としたサービスでなくても、一部の機能でAIが活用されているケースがあります。当社が調査したクラウドサービスのうち、約4割が既存のAIを利用、または自社でAIを開発していることが分かりました。これらのサービスは、利用者がAIが利用されているサービスであることを認識しにくい、いわば「隠れAI」サービスである可能性もあり、注意が必要です。

また、AIを利用または開発しているサービスのうち、約4割が利用規約の明示や、学習データの利用ルールを策定できていないことも明らかになりました。加えて、今現在は学習データに利用していないとされていても、規約上は将来的に学習データを利用できるようになっているケースも見つかっています。企業は、目先の学習利用のリスクだけではなく、将来的に自社の情報が学習データとして利用されるリスクも視野に入れるべきです。

企業は、AIサービス導入の裏に潜むこうしたリスクを正しく理解し、①データの取り扱い、②提供元のガバナンスを徹底的に確認することが急務です。こうした取り組みがAIサービスを安全かつ効果的に活用し、DXと強固なセキュリティの両立を実現する鍵となります。
Assuredは、今後も企業が安心してクラウドサービスや新たなテクノロジーを利活用できるよう、第三者視点での客観的なセキュリティ評価を提供し、セキュリティリスク軽減に貢献してまいります。

真藤 直観
真藤 直観
監査法人にてSOC1, SOC2レポート業務を経験後、インターネット企業にて内部統制構築業務を推進。その後、再び監査法人にて金融機関のシステムリスクにかかわる監査・アドバイザリー業務に従事したのち、セキュリティ評価プラットフォーム「Assured」を運営する株式会社アシュアードに入社。セキュリティ領域のセキュリティエキスパートとして評価業務、顧客支援、事業開発等に携わる。 主な資格:CISA、システム監査技術者、CIA

前の記事

prev-article-image

取引先企業のセキュリティ評価に関する実態調査(大手企業の情シス部門300人への調査結果公開)

RELATED ARTICLE

関連記事

一覧をみる
セキュリティ課題を解決する 最新セミナー情報はこちら
セキュリティ課題を解決する 最新セミナー情報はこちら
クラウドサービスのセキュリティ評価にお困りではありませんか?Assuredサービス資料を確認する
セキュリティ課題を解決する 最新セミナー情報はこちら

PAGE TOP

ASSURED_logo
採用情報はこちら

Visional グループ 運営サービス

© Assured, Inc.

© Assured, Inc.