AI導入を急ぐあまり、多くの組織は重要なセキュリティとガバナンス対策を見落としています。IBMの「2025年データ漏洩コストレポート」によると、調査対象企業の13%がAIモデルに関連する漏洩を経験しています。
レポートでは、この傾向を「今すぐAIを導入する」ことと表現しており、監視よりもスピードが優先されている。
侵害を受けた組織の約63%は、正式なAIガバナンスフレームワークが存在しない、または構築中であると回答しました。そのようなポリシーを導入している組織のうち、不正なAI利用を検出するための定期的な監査を実施していたのはわずか34%でした。
報告書は、ガバナンスなしで導入された AI システムはセキュリティ インシデントが発生しやすくなり、侵害コストが大幅に増加すると警告しています。
とはいえ、レポートでは、セキュリティ業務全体で AI と自動化を広範に活用している組織は、侵害コストを平均 190 万ドル節約し、侵害ライフサイクルを平均 80 日間短縮したと指摘しています。
AIの利用においてはスピードとイノベーションが優先される
AI関連の侵害はまだ比較的まれだが、IBMのデータセキュリティ担当副社長であるVishal Kamat氏は、ほぼすべてのインシデントはAIのアクセス制御の弱さから生じたと電子メールでTechRepublicに語った。
「これは、組織が基礎的なセキュリティ対策よりもスピードとイノベーションを重視していることを明確に示しており、そのトレードオフはすでに財務的な影響をもたらしている」とカマット氏は述べた。
AIの使用に関するAIガバナンスポリシーの欠如も同様に懸念されるとカマット氏は付け加えた。
「多くの場合、組織はAIシステムに対する明確な説明責任を負っておらず、AIがどこでどのように導入されているかについての可視性もありませんでした。これは、セキュリティチームだけでなく、コンプライアンスやリスク管理においても盲点を生み出します」と彼は説明した。
AI の導入が加速する中、ガバナンスとアクセス制御は後回しにできないと Kamat 氏は強調しました。
「過去のクラウドやその他の新興テクノロジーで苦労して学んだように、これらは最初から組み込まれる必要があります。」
シャドーAIは侵害コストの上昇を招く
調査対象となった組織の5分の1は、侵害の原因をシャドーAIに帰しており、AIを管理または検出するためのポリシーを策定している組織はわずか37%でした。また、広範囲に及ぶシャドーAIに対処している組織は、シャドーAIの使用が最小限または全くない組織と比較して、侵害コストが平均67万ドル高くなることも明らかになりました。
IBMによると、シャドーAIに関わるケースでは、65%で個人情報が漏洩し、40%で知的財産が影響を受けており、それぞれ世界平均の53%と33%を大幅に上回っている。
AIは攻撃者にも利用される
カマット氏によると、攻撃者はAIを活用し、特にフィッシングやディープフェイクによるなりすましといった分野で、攻撃手法のスピード、規模、そして巧妙さを高めているという。一方、防御側はこれらの脅威をより迅速かつ効果的に検知・対応するためにAI搭載ツールの導入を開始しており、大きなROI(投資収益率)を示しているという。
「重要なのは、AIが単なるリスクではなく、ソリューションの重要な要素でもあることを認識することです」とカマット氏は説明した。「今、AIを活用した検知と対応に投資する組織は、脅威の状況が進化し続ける中で、より優位な立場を維持できるでしょう。」
データ侵害のコスト
報告書は、データ侵害コストに関して、いくつかの矛盾したニュースを指摘しています。世界全体のデータ侵害の平均コストは444万ドルに減少し、5年ぶりの減少となりました。しかし、米国におけるデータ侵害の平均コストは過去最高の1,022万ドルに達しました。
医療業界の情報漏洩は、平均742万ドルと、全業界の中で最もコストが高いままです。また、特定と封じ込めに要する時間も最も長く、平均279日となっています。
ほぼすべての組織が、データ侵害の余波による業務の中断を報告しており、復旧期間が長期化しています。復旧を報告した組織のほとんどは、平均100日を要しました。
方法論
2025 年の IBM レポートは Ponemon Institute によって実施され、2024 年 3 月から 2025 年 2 月にかけて世界中の 600 の組織が経験したデータ侵害に基づいています。
サイバー脅威の状況は、防御体制の対応が追いつかないほどの速さで変化しています。チェック・ポイントの最新データが明らかにした事実と、セキュリティリーダーが次に取るべき対応策をご覧ください。
