生成AIの普及でセキュリティリスクが深刻化 社内のセキュリティ意識向上が必須に：Gartner Insights Pickup（442）

生成AIの普及による機密情報漏えいのリスクの拡大とともに攻撃も高度化しており、従来の対策では追い付かない状況だ。企業は、従業員の行動変容を促すセキュリティ文化の強化が急務である。

[Richard Addiscott, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　生成AIの急速な普及に伴い、サイバーセキュリティ意識の向上に向けた従来の取り組みの弱点が露呈している。従業員は未承認の生成AIソリューションを職場で頻繁に利用するようになっているが、これは知らないうちに自社の機密情報を危険にさらす行動だ。

　日常業務への生成AIツールの統合は、既存のセキュリティ対策が追い付かないペースで進んでいる。その一方で、脅威アクターもこの技術を悪用し、攻撃キャンペーンを巧妙化させている。これらが相まって、多くのサイバーセキュリティプログラムが想定していなかったリスクが生じている。

　Gartnerの最近の調査では、従業員の57％以上が個人の生成AIアカウントを業務で使用しており、33％が公開されている、あるいは未承認の生成AIツールに業務上の機密情報を入力したことを認めていることが分かった。さらに、36％が業務用デバイスに未承認の生成AIツールをダウンロードまたは使用しており、問題は深刻化している。こうした行動は、サイバーインシデントやコンプライアンス違反のリスクを大幅に高めてしまう。

　しかも、攻撃者は生成AIを駆使し、極めて巧妙なディープフェイク、フィッシング、ソーシャルエンジニアリング攻撃を仕掛けている。Gartnerの調査は、企業の35％がディープフェイクによるインシデントに直面しており、サイバーセキュリティリーダーの84％が、フィッシング攻撃が近年、高度化していると感じていることを示している。AIを用いた詐欺メールの数は過去2年間で倍増しており、従業員が見破ることはますます難しくなっている。

　これらの傾向を放置すれば、ビジネスに実害が及ぶ。プライバシーや知的財産に関するリスクは、多大なコストのかかるインシデントへと発展し、長期的に企業の評判を損なう恐れがある。そうなれば、広範なビジネス成果にも影響を及ぼしかねない。

　企業はセキュリティ行動様式／組織文化の変革プログラム（SBCP）を強化し、従業員の警戒心を高めるとともに、行動変容を促すことが急務だ。これは、あらゆるレベルでのAIツールの活用方法に焦点を当て、従業員の生成AIとのやりとりを管理するのに役立つ。

責任ある生成AI利用のルールを策定

　既に多くの従業員が日常業務でAIツールを使用しているため、機密データや知的財産、データプライバシーの扱い方に焦点を当てたガイダンスを提供する必要がある。また、データ最小化などの原則を強調し、生成AI環境に入力してよい情報と入力してはならない情報はどのようなものかを、従業員が理解できるようにすべきだ。

　チームでリスクを共同で管理しながら、アジャイル（俊敏）な導入を促進するには、生成AI導入サイクル全体にわたってオーナーシップを明確にする必要がある。つまり、各活動について誰が責任を負い、説明責任を果たすか、誰が相談や報告を受けるかを決めなければならない。

　さらに、既存のデータガバナンスやプライバシーに準拠した生成AI利用ポリシーが十分に活用、適応されるまでは、新たなポリシーの策定は避けるべきだ。新規または改定されたポリシーは、組織の行動規範や企業価値と整合している必要がある。導入時の混乱や不一致を防ぐためだ。

上級経営幹部を巻き込む

　上級経営幹部は生成AIによる攻撃やポリシー違反が業務に与える影響に対処するため、リスクに関する決定に早い段階から積極的に関与すべきだ。経営幹部の足並みがそろうことで、AIリスクへのより一貫したアプローチを確立できる。

　そのためには、強固なガバナンスフレームワークの構築が必要になる。このフレームワークにより明確な利用ポリシーを強化し、安全なAI開発を管理し、規制順守を確保する。

　生成AIに関するガバナンスや行動変容の取り組みに対して上級経営幹部の後押しが得られなければ、効果的なリスク管理の運用に向けた努力が損なわれる恐れがある。

従業員の防御力を強化

　セキュリティ行動様式／組織文化の変革プログラムでは、AI固有のリスクの教育、ディープフェイクのシナリオ、高度な攻撃シミュレーションを扱う必要がある。

　従業員に対し、おかしな要求を受けたら検証するよう促し「追加のセキュリティ確認が必要な場合は、業務に一時的に遅延が生じてもやむを得ない」という理解を浸透させる。また、AIとの不審なやりとりについて従業員が迅速に懸念を報告できるように、報告プロセスを効率化し、インセンティブを提供することも欠かせない。

　一般的な意識向上トレーニングだけに頼るのは禁物だ。生成AIを悪用した新たなソーシャルエンジニアリングの手口やディープフェイクのシナリオに対応できるように、トレーニング内容を定期的に更新していく必要がある。

安全な業務慣行を定着させる

　従業員が安全にAIを導入し、異常なAI出力を報告できるように、組織全体でAIリテラシーと透明性を高める。また、人間が全ての生成出力を監視し、誤った内容を特定する役割を強調することも重要だ。

　行動変容を維持し、生成AIに関するセキュリティ意識の高い文化を醸成するには、ポリシーの更新やツールの制限だけでなく、継続的なトレーニングと定着化が必要になる。

出典：How GenAI is breaking traditional cybersecurity awareness tactics（Gartner）

※この記事は、2026年2月に執筆されたものです。

筆者　Richard Addiscott

VP Analyst