- Sophosの「2025年アジア太平洋・日本におけるサイバーセキュリティの未来」レポートによると、マレーシア企業の91%が業務にAIツールを導入していますが、36%が従業員による無許可のAI使用、すなわち「シャドウAI」と呼ばれる現象を認めています。
- シャドウAIとは、従業員がIT部門やセキュリティ部門によって承認または監視されていないAIツールを使用することです。41%の企業は、どのツールが使用されているかさえ把握しておらず、35%がこれらのAIプラットフォームにセキュリティ上の脆弱性を発見しています。
- 結果として:機密データ(顧客情報、知的財産、内部財務情報)がパブリックAIモデルにアップロードされる可能性があり、ユーザーが意識しないうちに情報漏洩や外部への情報露出のリスクを生み出します。
- 金融、通信、国有企業などの厳しく規制された業界では、AIが制御外で動作することはセキュリティリスクであるだけでなく、個人データ保護法(PDPA)違反にもなり、重い罰則につながる可能性があります。
- 原因は悪意からではありません。従業員は生産性向上(レポートの迅速な作成、データ分析、コンテンツ作成)のためにAIを使用しています。しかし、たった一つの未審査のアプリケーションや誤った設定が、サイバー攻撃への扉を開く可能性があります。
- 専門家アーロン・ブーガル氏(Aaron Bugal)は次のように提言しています。企業はゼロトラストモデル(デフォルトで信用しない)に基づき、AIの可視化と監視能力を高め、セキュリティをデータ、ID、デバイス、ユーザー行動のあらゆる層に拡大する必要があります。
- 紙のポリシーを超えて、従業員に対し、外部モデルにデータを入力するリスクを理解させるための実践的なAI意識トレーニングが必要です。
- リーダーは禁止するのではなく、指導すべきです。承認され、安全で、監視されたAIツールを提供することで、従業員がシステム外のAIを「こっそり使う」必要がないようにする必要があります。
📌 シャドウAIとは、従業員がIT部門やセキュリティ部門によって承認または監視されていないAIツールを使用することです。マレーシア企業の91%がAIを使用していますが、3分の1以上でシャドウAIが存在しており、内部データ漏洩につながる可能性のある「暗黙の領域」となっています。リーダーは禁止するのではなく、指導すべきです。承認され、安全で、監視されたAIツールを提供することで、従業員がシステム外のAIを「こっそり使う」必要がないようにする必要があります。
