いっしー@Webエンジニア
トップページポートフォリオITニュースIT用語辞典ブログ

【ITニュース解説】5社に1社が「シャドーAI」に関するインシデント経験――企業のデータ侵害コスト、日本は5億5000万 IBM調査

作成日: 更新日:

ITニュース概要

日本IBMの調査によると、企業のデータ侵害コストは約5億5000万円。さらに、企業が知らないまま使われる「シャドーAI」が原因で、5社に1社が情報漏えいなどのセキュリティ事故を経験している。システム開発者はこのリスクを理解しておくべきだ。

出典: 5社に1社が「シャドーAI」に関するインシデント経験――企業のデータ侵害コスト、日本は5億5000万 IBM調査 | @IT公開日:

ITニュース解説

IBMが毎年発表している「Cost of a Data Breach Report 2025」は、企業がデータ侵害に直面した際にどれほどのコストを負担し、どのような状況に置かれているかを詳細に分析する重要な調査である。この最新版のレポートでは、特に日本企業におけるデータ侵害の現状と、近年急速に利用が拡大しているAI技術が引き起こす新たなリスクが浮き彫りにされている。システムエンジニアを目指す人にとって、企業のセキュリティ対策やITインフラの設計、運用を考える上で非常に示唆に富む内容なので、そのポイントを理解することは非常に重要だ。 まず、このレポートが示す最も衝撃的な数字の一つは、日本におけるデータ侵害の平均コストが約5億5000万円に達しているという事実だ。この金額は、単に情報が漏洩したことによる直接的な損害賠償や法的な罰金だけを指すのではない。データ侵害が発生すると、まず侵害されたデータの特定と封じ込めに多大な時間とリソースが費やされる。これには専門の調査チームの動員や、セキュリティシステムの緊急改修などが含まれる。次に、顧客や関係者への通知義務が発生し、そのための広報活動やコールセンターの設置などにも費用がかかる。さらに、企業の信用が失墜することによる株価の下落や、顧客離れ、将来のビジネス機会の損失といった間接的なコストも含まれる。これらの複合的な要素が重なり合い、企業に甚大な経済的打撃を与えることになる。特に、日本の企業が直面するこの高額なコストは、データ保護の重要性を改めて認識させるものと言えるだろう。 そして、今回のレポートで特に注目すべきは、「シャドーAI」に関するインシデント経験を持つ企業が、実に5社に1社に上るという点だ。シャドーAIとは、企業の正式なIT部門の承認や管理を経ずに、従業員が個人的な判断で業務に利用しているAIツールやサービス全般を指す。例えば、オンラインの文章生成AI、画像生成AI、データ分析ツール、翻訳ツールなどがこれに該当する。従業員が業務効率の向上や自身の作業負担軽減のためにこれらのツールを利用することは、一見するとポジティブな行動に思えるかもしれない。しかし、その裏には深刻なセキュリティリスクが潜んでいる。 シャドーAIが問題となる最大の理由は、企業がその利用状況を把握・管理できていないことにある。もし従業員が機密情報や顧客データ、個人情報などをシャドーAIサービスに入力した場合、それらのデータが外部のAIベンダーのサーバーに送信され、悪用されたり、意図せず第三者に漏洩したりするリスクが極めて高くなる。多くのAIサービスは、利用者が入力したデータを学習データとして利用する規約になっていることもあり、知らないうちに企業の重要な情報がAIの学習に利用され、間接的に情報漏洩につながる可能性も否定できない。また、企業がコンプライアンス(法令遵守)やデータガバナンス(データの適切な管理体制)を徹底しようとしても、シャドーAIの存在によってその努力が無意味になる恐れもある。個人情報保護法やその他の情報セキュリティに関する法規制に違反した場合、企業は多額の罰金を科せられるだけでなく、社会的な信頼を大きく損なうことになる。 5社に1社がシャドーAIに関連するインシデントを経験しているという事実は、現代の企業が直面するセキュリティ課題の複雑化を示している。AI技術の進化は目覚ましく、その利便性から従業員が利用を制限することは現実的ではない。しかし、管理されていないAI利用は、新たなデータ侵害の温床となり得る。企業は、AI利用に関する明確なガイドラインを策定し、従業員に対して教育を行い、どのようなデータならばAIに投入しても良いのか、あるいは絶対にしてはならないのかを周知徹底する必要がある。また、技術的な側面からは、従業員が利用するクラウドサービスを監視し、不審なデータ転送を検知するシステムの導入なども求められる。 データ侵害を取り巻く状況は、技術の進化と共に常に変化している。かつては、外部からのサイバー攻撃に対する防御が主な焦点だったが、今や内部からの情報漏洩リスクや、シャドーAIのような新しい脅威への対応が不可欠となっている。リモートワークの普及も、企業のデータ保護を一層複雑にしている要因の一つだ。オフィス外からのアクセスが増えることで、セキュリティの境界線が曖昧になり、従業員が利用する様々なデバイスやネットワーク環境が新たな脆弱性となる可能性がある。企業は、これらの変化に対応するため、単に技術的な対策を強化するだけでなく、組織全体として情報セキュリティに対する意識を高め、文化として根付かせることが求められる。 システムエンジニアを目指す者にとって、これらの課題は将来のキャリアにおいて非常に重要なテーマとなるだろう。企業のITインフラを設計・構築する際には、セキュリティを最優先事項として考慮する必要がある。どのようなAIツールが利用されているかを把握し、それらの安全な利用方法を模索すること、セキュリティ対策が不十分なAIツールの利用を制限するための技術的な仕組みを導入すること、そして万が一データ侵害が発生した際の迅速な対応計画を策定することなど、システムエンジニアが果たすべき役割は多岐にわたる。AI技術の恩恵を最大限に享受しつつ、それに伴うリスクを最小限に抑えるための知恵と技術が、これからのシステムエンジニアには強く求められる。情報セキュリティは、もはやIT部門だけの問題ではなく、企業全体の経営リスクに関わる最重要課題の一つであり、その解決に貢献できるシステムエンジニアの価値はますます高まるだろう。このレポートが示す日本の現状を深く理解し、将来の技術者としてどのような貢献ができるかを考えることは、非常に有意義な学びとなるはずだ。

【ITニュース解説】5社に1社が「シャドーAI」に関するインシデント経験――企業のデータ侵害コスト、日本は5億5000万 IBM調査