近年、企業におけるAI活用が急速に進む一方で、明確なルールを整備していないまま意図しない形でAIが業務に取り込まれているケースも少なくありません。このような背景がある中、新たなセキュリティリスクとして「シャドーAI」が注目されています。
今回は、シャドーAIの概要から具体的な業務上のリスク、実際の被害事例、そして企業が取るべき対策方法まで詳しく解説します。
シャドーAIとは
シャドーAIとは、企業や組織が正式に承認していないAIツールやシステムを、従業員が個人の判断で業務に利用することを指します。具体的には、ChatGPTやGemini、Claude、画像生成AI、文章作成AIなどの生成AIツールを、会社の許可なく業務で使用する行為が該当します。企業が把握していないIT機器やソフトウェアを利用する「シャドーIT」のAI版であり、多くの場合従業員に悪意はなく、業務効率向上や利便性のために使い始めることが特徴です。また、関連する概念として、個人が契約・利用しているAIツールを持ち込んで業務に活用する「BYOAI」があります。ただ、BYOAIは企業の承認を受けて利用することが前提である一方で、シャドーAIは企業の承認を受けずにAIツールを利用するという違いがあります。
このようにAIツールが未監視の状態で利用されている「シャドーAI」が、企業にとって深刻な脅威となりつつあります。会社がリスクを適切に把握できていないケースも多く、気付かないまま機密情報の流出や法的問題を引き起こす可能性があります。
シャドーAIによる業務上のリスク
シャドーAIによって企業にもたらすリスクとしては、以下が挙げられます。
情報漏洩のリスク
 |
シャドーAIによる最も深刻なリスクは、機密情報や個人情報の漏洩です。従業員が生成AIに機密性の高い情報を入力した場合、入力内容が生成AIの学習データとして利用され、外部に漏洩するリスクがあります。企業の重要な情報が第三者へ流出してしまうと、損害賠償請求や企業の信用低下につながる恐れも考えられます。 |
信頼性・正確性が低い情報を利用するリスク
生成AIが出力する情報は、必ずしも正確であるとは言い切れません。生成AIは、事実に基づかない情報をあたかも真実であるかのように生成する「ハルシネーション」を引き起こすことがあります。従業員が、根拠が不明瞭な情報や偏りのある情報をそのまま業務に利用してしまうことで、取引先との関係悪化や重要な意思決定の誤りを招く可能性があるでしょう。
コンプライアンス違反のリスク
シャドーAIは、コンプライアンス違反を引き起こす可能性があります。具体的には、個人情報保護法違反や知的財産権の侵害、業界規制違反、機密保持契約違反、不正競争防止法違反などのリスクが挙げられます。たとえ悪意がなくとも、コンプライアンス違反となれば企業の法的責任や信頼失墜に直結する可能性があります。
セキュリティリスク
AIツールは、適切に管理されなければ、セキュリティリスクを引き起こす要因となり得ます。特に近年、AIを悪用したサイバー攻撃は増加しており、社内のパソコンやシステムがマルウェアに感染するリスクが高まっています。シャドーAIのように企業が管理していないAIツールやプラグインを通じて、攻撃者に侵入のきっかけを与えてしまうケースも多く、重大な被害につながりかねません。
シャドーAIがもたらした被害事例
シャドーAIによる被害事例は複数報告されており、企業は深刻な影響を受けています。ここでは、シャドーAIがもたらした実際の被害事例を2件ご紹介します。
機密コードの流出
2023年4月、世界最大の総合家電・電子部品・電子製品メーカーであるサムスン電子において、同社のエンジニアが社内の機密ソースコードをChatGPTにアップロードし、誤って情報を流出させた事例です。これを受けてサムスンは、従業員による生成AIツールの使用禁止を社内に通知しました。
開発現場では、業務効率や生産性向上を目的とした生成AIの活用が高く評価される一方で、適切なガイドラインなしに利用することで、企業の独自技術や機密情報が競合他社へ流出してしまう危険性が浮き彫りになった事例です。
生成AIの脆弱性によるプロンプト漏洩
 |
2023年11月、Wrtn Technologies, Inc.が提供する対話型生成AIサービス「リートン」において、ユーザーが入力したプロンプトの内容を第三者が取得及び編集可能な状態になっていることが確認されました。この事案はユーザーからの通報により発覚し、データベースシステムの設定に一部不備があったことが原因であると発表されています。 技術的な脆弱性により、意図しない形で機密情報や個人情報が漏洩してしまうリスクがあることを示す事例です。 |
生成AI活用を進める企業の現状
2024年10月にコーレ株式会社が行った 「会社での生成AIの利用」に関する調査によると、回答者の約半数が、会社が許可していない生成AIを業務で利用したことがあると回答しています。また、機密情報であるかどうかを判断せずに生成AIに情報を入力している従業員も多く存在し、企業のセキュリティ体制に大きな課題があることが判明しました。
一方で、生成AIは企業の生産性向上や競争力の強化に大きく貢献する可能性を秘めており、適切に活用することで業務効率化、創造性の向上、新たなビジネス機会の創出などの効果が期待できます。このような現状の中で企業が取り組むべきことは、生成AIの利用を一律に禁止するのではなく、適切なガイドラインとセキュリティ対策のもとで、安全かつ有効に活用していくことです。従業員の生産性向上への意欲を尊重しながら、リスク管理と利便性のバランスを取ることが現代の企業経営における重要な課題となっています。
シャドーAIから会社を守るための対策方法
シャドーAIによるリスクから会社を守るためには、包括的な対策が必要です。
シャドーAIの利用状況の把握と不適切な利用の制御
まず、従業員が利用しているAIツールを把握することが重要です。ネットワーク監視ツールや検知ツールを導入することで、許可されていないAIサービスへのアクセスを可視化することができます。また、会社が許可していないAIツールや、セキュリティリスクの高いツールへのアクセスを制限することも有効です。
機密情報のアップロード・投稿の制限
機密情報のアップロードや投稿の制限は、シャドーAI対策として非常に重要です。特に生成AIの利用においては、入力した情報が外部サーバーに学習・保存されるリスクがあるため、情報漏洩の最大の原因になりかねません。DLP(Data Loss Prevention)などのセキュリティ技術を活用して、生成AIへの機密情報の入力やファイルのアップロードをブロックする対策も効果的です。
社内ガイドライン・ポリシーの策定
社内ガイドライン・ポリシーの策定は、シャドーAI対策において最も基本的かつ重要な取り組みです。社内で利用可能なAIツール・利用不可のAIツール、入力してはならない情報、業務への利用範囲、違反時の対応手順など、必要な項目を記載する必要があります。従業員が安心してAIを活用できるよう、具体的な利用例や起こり得るケースを示すことが重要です。
従業員教育
ガイドライン・ポリシーを策定するだけでなく、現場で適切に運用できるよう育成することも必要です。AIの仕組み、潜在的なリスク、適切な利用方法について包括的な研修を実施することで、従業員の適切な判断力を養えます。また、新たなAIツールが登場した際の情報共有も継続的に行いましょう。
適切な生成AIツールの導入・管理
シャドーAI対策には、企業が信頼できるAIツールを用意し、安全に使えるよう管理することが求められます。セキュリティが確保された法人向け生成AIツールの導入を検討し、AIツールの利用状況を一元管理することで、セキュリティリスクを最小限に抑えることが可能です。
また、生成AI技術は日々進化を続けているため、新しい機能やサービスに対応するためのルール更新を継続的に行うことが重要です。
まとめ
従業員が無許可でAIツールを使ってしまう状況を避けるためにも、企業側が安心して使える体制を提供し、組織全体のデジタル変革を安全に推進していくことが求められます。生成AIの利便性を活用しながらリスクを最小限に抑えるためには、まず現状のAI利用状況を正確に把握することから始めましょう。
JBサービスでは、ユーザーが使用中のアプリを可視化・検出する「シャドーIT可視化サービス」を提供しています。17,000種類ものSaaSアプリケーションを検出するだけでなく、各アプリケーションのセキュリティ評価を行えるため、情報漏洩のリスクを抑えることが可能です。
シャドーAI対策について課題を抱えている企業様は、ぜひJBサービスへご相談ください。
