脱IT初心者「社長の疑問・用語解説」(第101回)
社運が上向く? Wi-Fi7
多くの企業で生成AI(Generative AI)の活用が広がっている。メールのテキスト、録音データの文字起こし、会議の議事録、企画書の作成などでその効果を実感している従業員も多いはずだ。しかし、一方で意図せずに機密情報を流出させてしまったり、悪意を持ったサイバー攻撃者がAIを利用して生み出した新たな罠に陥ってしまったりすることもある。企業としてこうした新たなリスクにどう対応すれば良いのだろうか。
企業を脅かすAI利用の3大リスク
AIの利用に伴うリスクが、独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威2026」の組織編第3位にランクインした。それによればAI利用に伴うリスクは大きく3つに分けられる。
1つ目は、利用者の不注意による機密情報の流出だ。企画のアイデア出しの壁打ち相手に生成AIを活用していて、社内の機密情報を生成AIサービスに渡してしまい、それが第三者に情報として提供されてしまうなどのケースが挙げられる。
2つ目は、AIからもたらされた誤った情報による被害だ。生成AIは相手の要求に応えようとするあまり、嘘の情報を作り出してしまうハルシネーションという現象を起こすことがある。それをうのみにして提案してしまうと取引先に迷惑をかけることになる。
3つ目は、AIによって高度化された攻撃によるセキュリティインシデントの発生だ。誰かになりすましたメールが送信されてきたり、本物と見間違えてしまうような詐欺ページに誘導されたり、より複雑なシナリオの攻撃を受けたりすることがある。
こうした被害を防ぐために企業として取るべき対策を、「社内ルールの設計とガバナンス」、「業務プロセスと教育への組み込み」、「社内システム監査とモニタリング」という3つの観点からまとめた。リスクに対応するための体制整備をする上で参考にしてほしい。
A.社内ルールの設計とガバナンス
AIを安全に業務利用するためには、まず経営層や管理部門が主導して明確なルール(AIガバナンス)を定める必要がある。
1.シャドーAIを禁止して公式の利用環境を整備する
従業員が個人的に利用している生成AIが業務に使われると、意図せずに社内の情報を流出させてしまう恐れがある。こうした未承認の生成AI利用(シャドーAI)を防ぐためには、業務で安全に利用できる生成AIサービスを検討して提供する必要がある。
2.AIサービスの利用規定を作成して周知徹底する
社内で利用するAI事業者を選定するための「AI事業者ガイドライン」など、社内の利用規定を整備する。実際の利用にあたっての情報の扱い方や、入力データが学習に使われないような設定方法も提示しておきたい。また、違反した場合のペナルティーも明確にしておく。
3.契約内容を細かく確認して相談窓口を確保する
AIサービスを導入する際には、事前に契約内容を精査してリスクがないかをしっかり確認しておきたい。特にデータの取り扱いや責任範囲は十分に確認する。また著作権侵害や情報漏えいなどのトラブルに備えて、社内外の専門家による相談窓口を確保しておこう。
B.業務プロセスと教育への組み込み
生成AIの特性(ハルシネーション等)に起因する業務上のミスや、AIを悪用した高度な詐欺(ソーシャルエンジニアリング*)を防ぐためのプロセスを設計する。
*ソーシャルエンジニアリング:技術的な手段ではなく、人間の心理や行動の隙を突いて機密情報を騙し取ったり、不正な操作をさせたりする手法の総称。
1.従業員教育を義務化する
生成AIには前述のハルシネーションという現象がある。機密情報の入力が情報漏えいにつながるメカニズムも含め、AI利用に伴うリスクについての従業員全員を対象に基本的な教育を実施する。AI利用についてのライセンス制度を取り入れている企業もある。
2.決裁・承認プロセスを強化する
従業員を教育してもAIで高度化されたサイバー攻撃を完全に防ぐのは難しく、ハルシネーションを防ぐための真偽チェックも漏れが生じやすい。安全性の確保が難しいという前提に立ち、ダブルチェックなど決裁や承認のプロセスを強化しておこう。
C.システム監査とモニタリング
ルールが遵守されているかを確認し、未認可の利用や不正アクセスを防ぐための技術的なけん制・監査体制を整備する。
1.利用状況を把握してシャドーAIを検知する
IT資産管理ツールや構成管理ツールを利用して、通信ログやクラウドの利用状況を自動的に把握する。A-1で禁止を定めたシャドーAIなど、ルールに違反した利用が検知された場合にアラートが通知される仕組みを構築しておこう。
2.AIシステムのアクセス管理を強化する
AIへのアクセス権限を設けて、パスキーや多要素認証を取り入れることで、セキュリティを確保する。同時に既存のセキュリティ体制全般を継続的に点検し、全体としてのセキュリティレベルを高めておこう。
※掲載している情報は、記事執筆時点のものです。
執筆=高橋 秀典
【TP】
あわせて読みたい記事
連載バックナンバー
最新セキュリティマネジメント
- 第60回 AI悪用リスクにどう備えるか――情報セキュリティ10大脅威2026から学ぶ企業対策 2026.06.04
- 第59回 2026年版「情報セキュリティ10大脅威」:企業が把握すべき最新リスクと対策 2026.04.20
- 第58回 「多要素認証」って何だろう?~企業が知るべきメリットとデメリット 2026.03.16
- 第57回 「PPAP」が非推奨とされる理由と代替手段、今後の対策を解説 2026.02.16
- 第56回 パスキー認証で強固なセキュリティを確立しよう 2026.01.16
- 第55回 若手人材のセキュリティスキルアップ 2025.12.19
- 第54回 Windows 10サポート終了でリスク増大!偽セキュリティ詐欺に要注意 2025.11.07
- 第53回 セキュリティインシデント対応の基本3ステップ 2025.10.20
- 第52回 長期休暇中のセキュリティ危機管理のヒント:初動対応と復旧に向けた備え 2025.09.11
- 第51回 連休前に確認しよう!セキュリティ対策チェックリスト 2025.08.01
- 第50回 調査で見えてきた中小企業のセキュリティ対策の実態と投資効果 2025.07.16
- 第49回 選挙で影響力を増すSNS。有権者が注意すべきポイントを確認 2025.06.18
- 第48回 無料のセキュリティ相談窓口を活用してセキュリティリスクに立ち向かおう 2025.05.19
- 第47回 「情報セキュリティ10大脅威2025」活用法 2025.04.25
- 第46回 「情報セキュリティ10大脅威2025」決定 2025.02.13
- 第45回 情報セキュリティマネジメント試験でリテラシー向上 2025.01.31
- 第44回 サイバーセキュリティお助け隊サービスとは 2025.01.15
- 第43回 ウイルス感染警告のサポート詐欺にだまされない 2024.12.19
- 第42回 スマート工場のセキュリティリスク 2024.11.18
- 第41回 不注意なクリックなしでPCが突然操作不能に! 2024.10.17
- 第40回 認識すべき3原則と指示すべき重要10項目 2024.09.17
- 第39回 長期休暇前後のセキュリティ対策 2024.08.19
- 第38回 AI利用におけるセキュリティ対策 2024.07.18
- 第37回 中小企業の内部不正対策を強化する3つのポイント 2024.06.18
- 第36回 SECURITY ACTION宣言で全社の意識を変える 2024.05.23
- 第35回 2023年、新種のランサムウエア攻撃が増加 2024.04.15
- 第34回 企業に必須の情報セキュリティ対策の基本 2024.03.14
- 第33回 2023年の10大脅威から見えてきたもの 2024.02.19
- 第32回 偽セキュリティ警告を体験する 2024.01.22
- 第31回 IPAのイベントでセキュリティ最新動向を確認 2023.12.18
- 第30回 サプライチェーンの一員としてのセキュリティ対策 2023.11.20
- 第29回 最新のサイバー攻撃の実態を知って被害を防ぐ 2023.10.23
- 第28回 無料で簡単に自社の情報セキュリティレベルを診断 2023.09.21
- 第27回 工場のスマート化に潜むセキュリティリスク 2023.08.21
- 第26回 「不正のトライアングル」の観点で内部不正を防ぐ 2023.07.24
- 第25回 「SECURITY ACTION自己宣言」をしよう 2023.06.22
- 第24回 セキュリティインシデント対応は3ステップで 2023.05.29
- 第23回 無料教材でできる情報セキュリティ教育 2026.04.17
- 第22回 「情報セキュリティ10大脅威 2023」に学ぶ 2023.03.20
- 第21回 パスワード付き添付ファイルの送受信リスク 2023.02.24
- 第20回 J-CRATの活動報告から学ぶ国家支援型サイバー攻撃 2023.01.24
- 第19回 産業用制御システムのセキュリティ強化 2022.12.20
- 第18回 攻撃を再開したマルウエア「Emotet」の脅威 2022.11.24
- 第17回 ビジネスメール詐欺の手口と対策が丸わかり 2022.10.24
- 第16回 「情報セキュリティ白書2022」に学ぶ(後編) 2022.09.22
- 第15回 「情報セキュリティ白書2022」に学ぶ(前編) 2022.08.23
- 第14回 未来を担う高度IT人材の育成に注力 2022.07.26
- 第13回 「情報セキュリティ10大脅威2022」を確認 2022.06.21
- 第12回 サイバー攻撃情報の入手とその有効活用および提供 2022.05.24
- 第11回 サプライチェーン全体の対策及び状況把握 2022.04.19
- 第10回 インシデントによる被害に備えた復旧体制の整備 2022.03.15
- 第9回 インシデント発生時の緊急対応体制の整備 2022.02.15
- 第8回 セキュリティ対策におけるPDCAサイクルの実施 2022.01.18
- 第7回 リスクに対応するための仕組みの構築 2021.12.21
- 第6回 サイバーセキュリティリスクの把握と対応計画の策定 2021.11.16
- 第5回 サイバーセキュリティ対策のための資源確保 2021.10.19
- 第4回 セキュリティリスク管理体制の構築 2021.09.21
- 第3回 サイバーセキュリティリスクの認識、組織全体での対応方針の策定 2021.08.24
- 第2回 サイバーセキュリティ経営の重要10項目 2021.07.20
- 第1回 サイバー空間潮流。サイバーセキュリティは経営問題 2021.06.22