2025/02/27 TheHackerNews — GenAI に対する組織の立ち位置を整理すると、すでに導入しているケースと、ビジネス・プランに統合する戦略を評価しているケース、あるいは、その両方を推進しているケースに分かれるだろう。その一方で、情報に基づいた意思決定と効果的な計画を推進するには、現実を定量化したデータが不可欠となるが、その種のデータが、GenAI の世界では驚くほど不足している。
その点において、LayerX の “Enterprise GenAI Data Security Report 2025” は、職場における AI ツールの適用に関する洞察を提供し、また、深刻な脆弱性も浮き彫りにしている。LayerX のエンタープライズ・クライアントから得られた、現実のテレメトリをベースにしたレポートは、従業員による実際の GenAI 使用の状況を詳述する、数少ない信頼できる情報源の1つである。
たとえば、エンタープライズ AI の利用主体に関して言えば、その 90% 程度が IT チームの見えないところにあり、データ漏洩や不正アクセスなどの重大なリスクに、ユーザー組織がさらされていると判明している。
以下に紹介するのは、このレポートにおける調査結果の一部である。レポート全文を参照することで、セキュリティ戦略を改良/強化し、リスク管理のためのデータ主導の意思決定を活用してほしい。それに加えて、このレポートスを、GenAI データ保護対策を強化するためのリソースとして広めてほしい。
企業における GenAI の使用は、いまのところソコソコである
GenAI のハイプにより、すべての従業員の業務が、GenAI に移行したように見えるかもしれないが、LayerX によると、実際の使用状況はもう少し控えめのようだ。約 15% のユーザーが、GenAI ツールに毎週アクセスしているという。この数値は無視できるものではないが、大多数でもない。
The New Stack は、LayerX の分析に同意するが、この GenAI へと向かう動きは、急加速すると予測している。その背景にあるのは、現時点のユーザーの 50% が、隔週で GenAI を使用しているという状況である。
さらに判明したのは、GenAI ツール・ユーザーの 39% が、ソフトウェア開発者であることだ。つまり、GenAI によるデータ漏洩が、最も高い確率で起こり得るのは、ソース・コードとプロプライエタリ・コードであり、また、リスクの高いコードをコードベースとして使用するリスクもある。
GenAI を使っているのは誰?
LayerX のツールはブラウザ内で機能するものであり、Shadow SaaS の利用状況を可視化できる。つまり、組織の IT 部門が承認していないツールや、従業員が個人のアカウントで使用するツールを確認できる。
また、ChatGPT などの GenAI ツールは業務目的で使用されているが、従業員の約 72% が、個人のアカウントからアクセスしているという。従業員が企業アカウントからアクセスする場合において、SSO でアクセスするのは 12% 程度である。その結果として、GenAI の使用における約 90% が、組織から見えない状況にある。つまり、Shadow AI の利用や、未許可での企業情報の共有などを、組織として気付けない状況にある。
GenAI に送信される情報の 50% に企業データが含まる
パレートの法則を覚えているだろうか? それを GenAI に当てはめてみると、すべてのユーザーが GenAI を毎日のように使用するわけではないが、GenAI に情報を貼り付けるユーザーは頻繁に貼り付け、それらが機密情報である可能性も生じてくる。
LayerX のテレメトリで検出されたのは、GenAI ツールにデータを送信するユーザーにおいて、企業データの貼り付けが、平均して1日に約4回の頻度で発生している状況である。そこに含まれるものとしては、ビジネス情報/顧客データ/財務計画/ソースコードなどがあるという。
GenAI 利用について、企業が行うべきこととは
このレポートにおける調査結果は、GenAI のリスクを管理するための、新たなセキュリティ戦略を急いで準備すべきだと指摘している。従来のセキュリティ・ツールでは、ブラウザ・ベース・アプリケーションが実態である、現代の AI 主導の職場に対応できない。なぜなら、ブラウザと GenAI の間で送受信されるソースを、検出/制御/保護する機能が存在しないからだ。
ブラウザ・ベースのセキュリティであれば、AI SaaS アプリケーションや、ChatGOT 以外の未知の AI アプリ、AI 対応のブラウザ・エクステンションなどへのアクセスを可視化できる。この可視性を活用することで、GenAI の DLP ソリューションの採用が可能になるため、企業は安全性を確認したうえで、その計画に GenAI を組み込めるようになり、ビジネスの将来性を確保できる。
GenAI の使用方法に関する詳細データにアクセスするには、このレポートの全体を参照してほしい。
従業員の個人アカウント利用や非承認のツール使用が増加する中で、情報漏洩のリスクが高まっています。2025/02/13 に投稿した「DeepSeek をベースに考える:サイバー・セキュリティの大きな盲点」でも、何百万人もの無知なユーザーが DeepSeek の Web サイトに個人情報を登録して共有したと報じられていました。誰でも・無料で・簡単に利用できてしまうツールであるがゆえに、企業の管理が行き届かない形で導入されるケースが増えているのでしょう。よろしければ、以下の関連記事も、カテゴリ _AI/ML と併せてご参照ください。
2025/02/13:AI と Security の組み合わせ:この新しいパズルを解いていこう2025/02/06:Ollama API と DeepSeek のブーム:AI リスクの可能性
2025/01/30:DeepSeek の挑戦:オープンソース AIと国家安全保障の問題
2025/01/30:DeepSeek からチャット・ログや機密情報が流出
2025/01/15:2025年のセキュリティを考える
IoT OT Security News 
You must be logged in to post a comment.