トレンドマイクロとCIO Loungeは12月17日、従業員500人以上の国内法人組織における経営者やセキュリティ・リスク管理責任者(部長以上)300人を対象に実施した「生成AIとセキュリティに関する意識調査」の結果を発表した。

  • 生成AIの業務利用度合い(出典:トレンドマイクロ)

    生成AIの業務利用度合い(出典:トレンドマイクロ)

生成AIの業務利用について尋ねたところ、77.6%が業務利用を認めていると回答。従業員規模が大きいほどその傾向が強く、5000人以上の企業では8割以上が認めている。理由として、導入予算の確保が容易なことや、部署間の情報共有が活発で業務効率化の恩恵が大きいためと考えられる。利用内容では、文書・資料作成が75.5%で最多。プログラム作成や独自サービスの開発も3割を超え、技術面でのニーズも明らかになった。

  • 生成AIの業務利用の内容(業務利用を認めている回答者に限定)(出典:トレンドマイクロ)

    生成AIの業務利用の内容(業務利用を認めている回答者に限定)(出典:トレンドマイクロ)

生成AIの業務利用におけるリスク認識については、98.4%の組織が何らかのリスクを認識していた。具体的には、法的権利の侵害(著作権・肖像権など)が63.7%で最多、情報漏洩(機密情報の入力)が61.3%で続く。著作権侵害が訴訟に発展した事例や、機密情報が外部に送信された事例も報道されている。

  • 生成AIの業務利用におけるリスク(業務利用を認めている回答者に限定)(出典:トレンドマイクロ)

    生成AIの業務利用におけるリスク(業務利用を認めている回答者に限定)(出典:トレンドマイクロ)

生成AI特有の課題として、プロンプト入力の制限がシステムだけでは難しく、従業員の判断に依存する部分が大きいことが挙げられる。そのため、生成AIを業務利用する組織では、ガイドラインの制定や従業員教育など、人的・組織的な対応が重要となっている。

生成AIの普及で外部からの攻撃リスクが増大するかを聞いたところ、65.7%が「増大する」と回答した。生成AIはサイバー攻撃者にもメリットをもたらし、フィッシングメールの生成や、マルウェアの作成において利用されるケースが想定される。

  • 生成AIによる外部からの攻撃リスク(業務利用を認めている回答者に限定)(出典:トレンドマイクロ)

    生成AIによる外部からの攻撃リスク(業務利用を認めている回答者に限定)(出典:トレンドマイクロ)

実際に日本でも生成AIを悪用してランサムウェアを作成したとして逮捕まで至った事例が発生しており、リスクが現実化している。今回の調査結果では、サイバー脅威の増大を認識する割合が過半数を超え、生成AIの悪用に対する懸念が広がっていることがわかる。ルールやガイドラインの整備状況について聞いたところ、ガイドラインを整備している割合は93.6%に上る一方で、セキュリティ教育を実施していない割合は27.1%となった。

この結果から、一部の組織では形式的なルール化にとどまり、従業員への周知体制が不十分であることが考えられる。このままではルールが形骸化し、インシデント発生のリスクが高まるため、組織には従業員教育と定期的なフォローアップの実施が求められる。

  • ガイドラインの整備状況(業務利用を認めている回答者に限定)(出典:トレンドマイクロ)

    ガイドラインの整備状況(業務利用を認めている回答者に限定)(出典:トレンドマイクロ)

  • 生成AIの業務利用に際したセキュリティ教育の実施状況 (業務利用を認めている・ガイドラインを整備している回答者に限定)(出典:トレンドマイクロ)

    生成AIの業務利用に際したセキュリティ教育の実施状況(業務利用を認めている・ガイドラインを整備している回答者に限定)(出典:トレンドマイクロ)