catch-img

利用SaaSに潜む「隠れAI」、3社に1社は未確認。半数以上がAIに起因したセキュリティ事故を経験(アシュアード調査)

真藤 直観

専門家レポート

株式会社アシュアードは、従業員1,000名以上の大手企業の情報システム部門所属の方300名を対象に、AIの業務利用とセキュリティ評価の実態に関する調査を実施しました。その結果、業務で利用するSaaSの一部の機能でAIが活用されているかを確認している企業は65.5%にとどまり、約3社に1社が「隠れAI」によるリスクに晒されている可能性があることが判明しました。さらに、SaaSを利用する企業のうち、半数以上の58.5%が、AIまたはAIを活用したSaaSに起因(可能性含む)する情報漏えい等のセキュリティインシデントを経験していることも明らかになりました。

※本調査を引用する場合は「アシュアード調べ」とご記載ください。

※本リリースでは、ChatGPTやGeminiのようなAIを主体としたサービスを「AIサービス」、一部の機能にAIを活用しており、SaaS利用者がその事実を認識しにくい、または認識できないサービスをSaaSの「隠れAI」と定義・記載しています。

【結果サマリー】

①AIサービスの利用およびセキュリティ評価実態
  • 大手企業の約8割がAIサービスを利用。導入にあたり約7割が「セキュリティ」を重視
  • 約9割がAIサービスのセキュリティ評価に課題。約半数が「評価基準」「専門人材」の不足を指摘
②SaaSの「隠れAI」リスク実態
  • SaaSの「隠れAI」の存在は認識するも、3社に1社は業務で利用するSaaSのAI活用有無を確認せず
  • SaaS事業者の情報提供不足が課題。AI機能について十分な情報を提供されていると感じる企業は4割未満
  • 半数以上が、AIおよびAIを活用したSaaSの業務利用に起因する、あるいはその可能性が疑われるセキュリティインシデントを経験

①AIサービスの利用およびセキュリティ評価実態

大手企業の約8割がAIサービスを利用。導入にあたり約7割が「セキュリティ」を重視


ChatGPTやGeminiのようなAIサービスの業務利用について、48.3%が「全社的に利用を許可・推奨」、29.7%が「一部の部署・社員のみ利用を許可」と回答し、合わせて78%でAIサービスを業務で利用していることが明らかになりました。AIサービスを導入するうえで重視する要素については 、「セキュリティ」を選択した人が74.4%と最多となりました。企業活動におけるAIの活用が広く浸透する一方で、多くの企業がセキュリティ面での安全性を考慮した上で導入を推進していることが伺えます。

約9割がAIサービスのセキュリティ評価に課題。約半数が「評価基準」「専門人材不足」を指摘

AIサービスのセキュリティ評価については、「新規契約時・契約後も定期的に行っている」が79.9%、「新規契約時のみ行なっている」が14.1%で、合わせて94%がセキュリティ評価を実施しています。しかしその一方で、89.5%がAIサービスのセキュリティ評価において課題を抱えていることが明らかになりました。具体的には、「AIのセキュリティを評価できる専門人材が不在または不足している」が50%、「AIに対する評価基準が不明瞭・確立されていない」が49.1%と、いずれも約半数の企業が課題として挙げました。

②SaaSの「隠れAI」リスク実態

SaaSの「隠れAI」の存在は認識するも、3社に1社は業務で利用するSaaSのAI活用有無を確認せず



AIの業務利用におけるセキュリティリスクは、AIを主体としたサービスに限らず、一部の機能やサービスでAIを活用しているSaaSの利用時にも存在します。AIとは無関係に見えるサービスでも、実はAIを利用している「隠れAI」の場合、リスクに気付くことが難しく、注意が必要です。

実際に、Assuredが過去にセキュリティ評価を実施したSaaSの42.8%で、既存のAIを利用または自社でAIを開発していました。しかし、これらのサービスのうち、利用規約の明示、学習データの収集・利用ルールを策定しているのは、いずれも約半数にとどまっていることが明らかになっています(参照:約4割のSaaSがAIを利用または開発。SaaSの「隠れAI」に注意(Assured調査))。

この結果を受けて、本調査では、業務で利用するSaaSの一部の機能でAIが活用されている可能性があることを認識しているかどうかを聞いたところ、認識している企業は84.9%に上りました。しかし、実際に「AI機能の有無を確認しているか」という問いに対して「はい」と答えたのは65.5%にとどまり、約3社に1社はAI活用の有無を未確認のまま利用している実態が明らかになりました。

SaaS事業者の情報提供不足が課題。SaaS事業者から、AI機能について十分な情報が提供されていると感じる企業は4割未満


SaaS事業者からAI機能に関する情報(概要、利用データ、セキュリティ対策など)が十分に提供されていると感じている企業は37.3%に留まり、43.3%が「不足している」と回答しました。また、AI機能の有無を確認する際の方法として、「サービス事業者(プロバイダー)に直接確認する」が58.1%で最多でした。続いて、「公式サイト・利用規約を調べる」が47.5%、「第三者評価サービスを利用する」が26.8%でした。

半数以上が、AIおよびAIを活用したSaaSの業務利用に起因する、あるいはその可能性が疑われるセキュリティインシデントを経験


AIおよびAI活用SaaSの利用に起因する、またはその可能性が疑われるセキュリティインシデントを経験したことがあると回答した企業は58.5%と、半数以上に達しました。特に多かったのは、「不適切なデータ利用」(29.2%)、「機密情報の漏洩」(26.8%)、「データの改ざん・破壊」(24.6%)でした。2社に1社以上がインシデントを経験していることから、SaaSに対する適切なセキュリティ評価を実施したうえで、AIを主体としたサービスに限らず、「隠れAI」も含めて、利用企業として実施すべきセキュリティ対策(アクセス制限や入力情報の制限等)を講じることの重要性が浮き彫りになりました。

株式会社アシュアード Assured事業部 セキュリティエキスパート/セキュリティサービス部 部長 公認情報システム監査人(CISA) システム監査技術者 真藤 直観 コメント

今回の調査結果は、多くの企業がAIのセキュリティリスクに晒されている現状を示しています。AIの利便性は疑うところがなく、より広範囲に利用が拡大するものと考えています。SaaSはこうした技術と親和性が高いため、サービス提供側、サービス利用側の双方がAIの組み込みを前提としたリスク管理が求められる段階にきています。特に、サービス提供側、サービス利用側双方が安全な活用ができる環境にむけて、提供側での十分な情報提供、利用者側での適切なセキュリティ評価、そして両者でセキュリティ対策を行うことが不可欠です。

しかしながら、前回発表したAssured独自データの調査結果では、約4割のSaaSがAIを利用または開発しているなか、利用規約の明示、学習データの収集・利用ルールを策定しているサービスはいずれも約半数に留まりました。さらに、AIを利用または開発しているサービスのうち約4割が、AIの品質管理、およびセキュリティ対策を実施していないことも明らかになっています。

これらの背景が、本調査で明らかになった、大手企業の半数以上で発生しているAIに起因したセキュリティインシデントに繋がっていると考えられます。

今後もAssuredは、企業が安心してAIおよびAIを活用したSaaSを利用できるよう、「隠れAI」も含めたSaaSのセキュリティリスクを可視化するサービスを提供してまいります。

真藤 直観
真藤 直観
監査法人にてSOC1, SOC2レポート業務を経験後、インターネット企業にて内部統制構築業務を推進。その後、再び監査法人にて金融機関のシステムリスクにかかわる監査・アドバイザリー業務に従事したのち、セキュリティ評価プラットフォーム「Assured」を運営する株式会社アシュアードに入社。セキュリティ領域のセキュリティエキスパートとして評価業務、顧客支援、事業開発等に携わる。 主な資格:CISA、システム監査技術者、CIA

前の記事

prev-article-image

約4割のSaaSがAIを利用または開発。SaaSの「隠れAI」に注意(Assured独自データ調査結果公開)

RELATED ARTICLE

関連記事

一覧をみる
セキュリティ課題を解決する 最新セミナー情報はこちら
セキュリティ課題を解決する 最新セミナー情報はこちら
クラウドサービスのセキュリティ評価にお困りではありませんか?Assuredサービス資料を確認する
セキュリティ課題を解決する 最新セミナー情報はこちら

PAGE TOP

ASSURED_logo
採用情報はこちら

Visional グループ 運営サービス

© Assured, Inc.

© Assured, Inc.