生成AIやAIエージェントの導入が進む中、企業は何からセキュリティを見直すべきでしょうか。
AI活用を止めることは現実的ではありません。重要なのは、AIを前提としたセキュリティ戦略へ転換することです。その背景には、攻撃者の狙いがデータそのものから、データへ到達するためのIDやアクセス権限へ移りつつあるという変化があります。
サイバー攻撃のターゲットはデータベースからIDへ
タレスが調査した「データ脅威レポート」(2026年版)では、クラウド攻撃に関して、国内企業の66%が、認証情報の窃取や不正流用の増加を確認したと回答しています。
ここで重要なことは、「認証情報が盗まれた」という単純な話ではありません。認証情報からクラウド管理基盤、そこからAPIキーやトークン、さらに機密データへと到達する連鎖が、現実の侵害経路として主流になりつつあります。
AIアプリやエージェントがAPIキー、トークン、マシン認証情報に依存して動く環境では、この経路はより短く、より見えにくくなるでしょう。
この潮流の変化から言えるのは、データガバナンスが、データベースだけを対象にしても完結できないということです。依然として多くの企業が自社のデータを十分に把握できておらず、また暗号化も進んでいない状況があります。仮にデータの棚卸しや分類が進んでも、IDやアクセス権限の管理が曖昧であれば、攻撃者はそこを突破口にしてクラウド管理基盤や機密データへ到達することができてしまいます。
だからこそ、AI時代の統制は「データ保護」と「ID保護」を一体として見直す必要があります。攻撃者はデータへ到達する手段としてIDを狙うため、IDやアクセス権限の管理はこれまで以上に重要になります。
企業はどのようにセキュリティ原則を見直すべきか
では、何を優先的に整えるべきでしょうか。
データ
第一は、データです。どこにどのデータがあるのかを把握し、機微情報を分類したうえで、暗号化と鍵管理を適用し、アクセスを最小限にとどめることが必要です。AIはデータの発見可能性を高める一方、適切なガバナンスと暗号化がなければ、その利便性自体がリスクになります。
AI時代のセキュリティは、新しい技術を導入する前に、データを適切に管理できているかを見直すことから始まります。地道な取り組みですが、AIを安全に活用するための土台となる対策です。
IDとアクセス権限の見直し
第二は、IDとアクセス権限の見直しです。ここでいうIDは、人間のアカウントだけではありません。APIキー、トークン、サービスアカウント、シークレットなど、AIやアプリケーションが使う資格情報まで含みます。
従来のIAM(Identity and Access Management)では、人による認証や特権ID管理が中心でした。しかし、AI時代には、「誰がアクセスするか」だけでなく、「どのAIエージェントが、どの資格情報を使って、どのデータへアクセスするか」まで管理する必要があります。権限の棚卸しや、例外運用の削減、シークレットのローテーション、不要な特権の削除といった施策は、AIと共存するうえで日々重要性を増しています。
AIを安全に活用するためには、企業内部の資格情報やアクセス権限を継続的に見直していくことが欠かせません。
運用の見直し
第三は、運用の見直しです。AI関連のインシデントは、情報漏えいやシステム侵害だけで終わらないことが増えます。ディープフェイクやなりすまし、誤ったAI出力による信頼毀損も含めて、広報、法務、事業部門と連携した対応が必要になります。運用を見直すとは、検知ルールを増やすことだけではなく、「何を異常とみなし、誰が、どう判断し、どう止めるか」をあらかじめ整理しておくことです。
AI活用は、セキュリティ部門だけの課題ではありません。個人情報保護や契約、越境データ、学習データの取り扱いなど、企業全体のガバナンスに関わるテーマでもあります。
個人情報保護委員会(PPC)が注意喚起しているように、生成AIでは「何を入力し、どのサービスへ渡すのか」という日々の運用そのものがリスク管理になります。AI時代のセキュリティは、チェックリストを増やすことではなく、企業としてどの統制を優先し、誰が責任を持つのかを明確にすることが重要です。
AI導入は今後も止まらないでしょう。だからこそ必要なのは、人間だけでなく自律システムも前提にしたセキュリティアーキテクチャを作ることです。データ、ID、運用を一体で再設計できる企業こそが、AIをリスクではなく成長の基盤へ変えていけるのではないでしょうか。
著者プロフィール
タレスDISジャパン株式会社
サイバーセキュリティプロダクト事業本部
シニアセールスエンジニアリングマネージャ
舟木 康浩
