株式会社アシュアードは10月、従業員1,000名以上の大手企業の情報システム部門所属者300名を対象に、AIの業務利用とセキュリティ評価の実態調査を実施した。
調査の結果、業務で利用するSaaSの一部機能でAIが活用されているかを確認している企業は65.5%にとどまり、約3社に1社が「隠れAI」によるリスクに晒されている可能性が判明した。ここで「隠れAI」とはSaaSサービスにどのようにAIが活用されているか可視化できない/されていないことをアシュアードは指し、一方「シャドーAI」は「シャドーIT」と同様従業員が勤務先に無許可で行うAI活用をアシュアードは指していると考えられる。
さらに、SaaSを利用する企業のうち半数以上の58.5%が、AIまたはAIを活用したSaaSに起因する情報漏えい等のセキュリティインシデントを経験していることも明らかになった。
大手企業の約8割がAIサービスを業務利用しており、導入にあたり約7割が「セキュリティ」を重視している。
しかし、89.5%がAIサービスのセキュリティ評価に課題を抱えており、約半数が「評価基準の不明瞭さ」(49.1%)や「専門人材の不足」(50%)を指摘した。
SaaS事業者からAI機能に関する情報が十分に提供されていると感じている企業は37.3%に留まり、43.3%が「不足している」と回答。AIを活用しつつも「どちらともいえない/わからない」という回答は19.4%あった。
AI機能の有無を確認する際の方法として、「サービス事業者に直接確認する」が58.1%で最多だった。
セキュリティインシデントの内訳では、情報漏えいでも従業員の無許可AI使用でもなく、正規料金を払ってSaaSを利用している企業のデータを野蛮にもAIモデルの学習に無断利用していた等の「不適切なデータ利用」(29.2%)が最多となり、先に挙げた調査項目「AI機能に関する情報が十分に提供されていない(43.3%)」をはっきりと裏付ける結果となった。
次いで「機密情報の漏洩」(26.8%)、「データの改ざん・破壊」(24.6%)が上位を占めた。
同社は今後も「隠れAI」を含めたSaaSのセキュリティリスクを可視化するサービスを提供していく方針。
