企業の73%がAIを「最大リスク」と認識、導入拡大でセキュリティ対策が追いつかず
タレスDISジャパンは2026年3月9日、企業のデータセキュリティの現状を分析した「タレス2026年データ脅威レポート」を発表しました。自動車や金融、エネルギー、小売など複数業界の組織を対象にした調査で、国内企業・組織の73%がAIをデータセキュリティの最大のリスクと認識していることが明らかとなりました。この結果は、AIの急速な導入拡大がもたらす新たな課題を浮き彫りにしています。
AIがリスク要因に、アクセス管理の難度が高まる実態
同調査では、AIが外部からの攻撃手段として利用されるだけでなく、企業内で運用されるAIシステム自体がリスク要因となり得る点が指摘されました。多くの企業はAIを業務プロセスや分析、顧客対応、ソフトウェア開発などに組み込んでいますが、AIに付与されるアクセス権が広範囲に及ぶ一方、ユーザーと同水準の管理が十分に適用されていない実態があります。
タレスDISジャパンの兼子晃氏(サイバーセキュリティプロダクト事業本部長)は、「内部脅威は人だけに限らない。信頼された自動化システムもリスク要因となり得る」と指摘します。ID管理やアクセス制御、データ暗号化が不十分な場合、AIが高速でシステムの弱点を見つけ出し、被害が広がる可能性があるとしています。
データ管理体制の遅れ、クラウドの暗号化不足も課題
同レポートは、AI導入の進展とデータ管理体制の間に大きな隔たりがあることも明らかにしました。国内では自社が保有する全てのデータの所在を把握している企業は37%にとどまり、データ分類を完全に実施している企業も42%にとどまりました。さらに、クラウドの機密データの約47%が暗号化されていない状態にあるという驚くべき事実が報告されています。
AIシステムはクラウドやSaaSのデータを収集し処理する仕組みであるため、どこにどのデータが存在し、誰が利用できるのかを把握することが難しくなる傾向があります。結果として、業務に必要な最小限のアクセス権のみを付与する「最小権限」の管理も複雑化し、認証情報が漏えいした場合、被害が広範囲に拡大する恐れがあります。
AIを利用した攻撃の高度化、被害経験が48%に
AIは攻撃手法の高度化にも関与しており、同調査では55%の企業が「ディープフェイクによる攻撃を受けた」と回答し、48%が「生成AIによる偽情報やなりすましに関連する被害を経験した」と報告しました。AIは新しい攻撃を生むだけでなく、既存の脅威を拡大させる側面もあり、情報漏えいの約30%は人的ミスに起因するものの、自動化が加わることでミスの影響が短時間で広範囲に広がる可能性があります。
企業のセキュリティ投資は進んでいるものの、リスク拡大の速度に追い付いていない状況も示されました。国内ではAIセキュリティ専用の予算を確保している組織は24%にとどまり、57%の組織は既存のセキュリティ予算の範囲でAI対策をしているのが現状です。
セキュリティ基盤の整備が不可欠、ガバナンス強化を提言
タレスDISジャパンは、AIが企業システムに広く組み込まれる時代において、ID管理や暗号化、データの可視化を中心としたセキュリティ基盤の整備が不可欠と指摘します。AI戦略と同時にガバナンスを整備し、アクセス権管理を厳格化することが、安全なデータ活用とイノベーションの両立につながるとしています。この調査結果は、企業がAIの利便性を享受する一方で、セキュリティリスクへの対応を急ぐ必要性を強く示唆しています。
