AIを隠れた危険な武器とするSaaSの急増とそのリスク管理

最近、サイバーセキュリティの分野で注目を集めているのが、AIを利用または開発するSaaS（ソフトウェアサービス）です。株式会社アシュアードが行った調査によると、AIを主体としたクラウドサービスの登録件数は、直近3年間で4.8倍に増加し、2025年には全サービスの11.4％に及ぶ見込みです。これはAI技術の急速な進化を反映しており、企業がその利活用に本腰を入れていることを示しています。

知られざるリスク：隠れAIサービスの増加

一見、AIとは無関係に見えるクラウドサービスの中には、実はAIを利用している「隠れAI」サービスが多数存在します。調査によれば、企業が利用するクラウドサービスの約42.8%が、既存のAIを使用したり、自社で開発したAIを組み込んでいたとのことです。このようなサービスは見落とされがちですが、AIの特性を考慮したセキュリティ対策が必要不可欠です。

利用規約とデータ利用ルールの不備

特に懸念されるのが、AIを利用・開発しているサービスの約4割が、利用規約を明示していない点です。例えば、ユーザーがアップロードするファイルやプロンプトがAIの学習データとして再利用される場合、その利用目的や範囲が契約書やプライバシーポリシー上で不透明なケースが多く見受けられます。具体的には、利用規約が明示されているのは53.6%、学習データの収集・利用ルールが定められているのは53.7%にとどまるのが現状です。

これは企業が、不意に自社の機密情報や個人情報を学習データとして利用されるリスクを抱えていることを意味します。特に、現在は学習に利用していないとされるデータでも、将来的に利用される可能性があるため注意が必要です。

AIの品質管理とセキュリティ対策

さらに厄介なのは、AIサービスの中には、情報セキュリティ対策が十分に整っていないものが多いという点です。実際に調査によると、AIの出力結果や判断根拠を定期的に評価しているサービスは54.7%、AIに対する攻撃手法や動向を把握し、対応しているのは56.8%に過ぎません。約4割のサービスがこれらの対応を未実施としていて、AIによる情報の不正確さや攻撃に対する防御が不十分な可能性があります。

企業が取り組むべき対策

企業は、AIサービスの導入に関連するリスクを正しく認識し、次の2つのファクターを徹底的に確認する必要があります。

1. データの取り扱い - 自社のデータがどのように学習に利用されているかを把握し、適切な利用規約を設定すること。

2. 提供元のガバナンス - 提供されているサービスのセキュリティ対策や品質管理がどれだけ確立されているかを検証すること。

これらの取り組みが、AIサービスを安全かつ効果的に活用し、デジタルトランスフォーメーション（DX）と強固なセキュリティの両立を実現するための鍵となります。

Assuredの提供する価値

株式会社アシュアードは、クラウドサービスにおけるセキュリティ評価を行い、企業が安心してテクノロジーを活用できる環境を提供しています。企業は今後もAI技術を活用し続ける必要がありますが、そのためにはリスクを適切に管理し、透明性のある取り組みが不可欠です。企業が安心して新しい技術を導入し、そのポテンシャルを最大限に活かせるよう、Assuredは今後も努力を重ねていきます。