生成AIやAIエージェントの導入は、先進企業だけでなく、多くの企業へと広がっています。社内文書の要約や検索支援、開発支援に加え、最近ではクラウド上のデータやSaaS、社内ナレッジベースなどを横断して業務を実行するAIエージェントの活用も始まっています。

AIの活用が進むほど、企業はAIにより多くのデータへのアクセス権限を与えることになります。AIの利便性や精度は、利用できるデータの質や量に左右されるためです。そのため、多くの企業ではAIを業務フローへ組み込み、必要な範囲で機密データへのアクセスを認める運用が広がりつつあります。

一方で、この変化は新たなリスクも生み出しています。IPAが公表した「情報セキュリティ10大脅威 2026」では、「AIの利用をめぐるサイバーリスク」が組織向け脅威として初めて選出されました。AIによる情報漏えいや誤用、出力内容の過信、攻撃への悪用など、AI利用そのものが企業のセキュリティ課題として認識され始めています。

また、タレスが国内外の企業担当者を対象に実施した調査「データ脅威レポート」(2026年版)でも、国内企業・組織の73%がAIをデータセキュリティ上の最大のリスクと回答しています。AIそのものが脅威というより、AIが企業のデータへアクセスする前提となったことで、データ管理やガバナンスの課題が改めて浮き彫りになっていると言えるでしょう。

  • AIの活用拡大に伴い、企業ではデータやアクセス権限を含めたセキュリティ対策の重要性が高まっている Photo:PIXTA

    AIの活用拡大に伴い、企業ではデータやアクセス権限を含めたセキュリティ対策の重要性が高まっている Photo:PIXTA

AI時代の「内部脅威」とは

従来、内部脅威といえば、不正持ち出しや設定ミス、権限の濫用、誤送信など、人によるミスや不正が中心でした。

しかし、生成AIやAIエージェントが業務フローに組み込まれると、社内権限を利用してデータへアクセスする主体は、人間だけではなくなります。AIは、人間以上に広範囲のデータへ自動的にアクセスし、情報の検索や分析、文書作成などを実行できるようになります。

ここで重要なのは、AIが悪意を持つということではありません。問題は、十分に整理・分類・保護されていない企業データに対し、AIへ広いアクセス権限を与えることで、これまで見過ごされてきたデータ管理上の課題が一気に表面化することです。

例えば、曖昧なデータ分類、不十分な暗号化、必要以上に広いアクセス権限などは、人が利用している間は大きな問題として顕在化しなかったかもしれません。しかし、AIが大量のデータを横断的に扱うようになると、こうした管理上の不備は、より大きなリスクへと発展する可能性があります。

AIエージェントの普及は、この傾向をさらに強めるでしょう。AIが自律的にデータの作成や共有を行うようになれば、人がすべての処理内容を把握し続けることは難しくなります。

企業は自社のデータをどこまで把握できているのか

では、日本企業は自社のデータをどこまで把握できているのでしょうか。

タレスの「データ脅威レポート2026」によると、「自社データの所在を完全に把握している」と回答した国内企業は37%でした。また、クラウド上の機密データの53%は暗号化されていません。

つまり、日本企業がAI活用を拡大する一方で、その前提となるデータ統制が十分ではないことが明らかになりました。データの所在や機密性を把握できなければ、AIにどのデータへのアクセスを認めるべきかを適切に判断することも難しくなります。

また、この問題は平時にとどまりません。もしサイバー攻撃を受けたとき、どのデータがどこにあり、どこまで漏えいしたのかを把握できなければ、被害の切り分けも復旧も遅れます。個人情報保護委員会も、生成AIサービスの利用に関する注意喚起の中で、プロンプト入力などを通じた生成AIサービスの普及を踏まえ、個人情報の取り扱いに注意を促しています。

生成AIの利用は、もはや単なる業務効率化ではなく、データ統制の問題でもあるということです。AIが業務に組み込まれるほど、「便利かどうか」より先に、「何のデータに、どのような条件で触れさせているのか」が企業の問われるべき点になります。

AI時代に求められるデータガバナンス

AIが新たな「内部脅威」になるとは、AIが独自に悪意を持つという意味ではありません。企業が十分に把握・分類・保護できていないデータへ、AIが内部権限を持ってアクセスすることで、既存の管理上の課題がより大きなリスクとして顕在化することを意味します。

AIを安全に活用するために重要なのは、AIそのものを過度に警戒することではなく、AIがアクセスするデータを適切に把握し、分類し、保護することです。AI時代のセキュリティは、新しいツールへの対応だけでなく、データガバナンスの基本を改めて見直すことから始まります。

著者プロフィール

タレスDISジャパン株式会社

サイバーセキュリティプロダクト事業本部

シニアセールスエンジニアリングマネージャ

舟木 康浩