企業AIツールが機密情報を流出させる深刻なデータ漏洩問題

企業によるAI搭載ツールの導入は、データセキュリティに新たな戦線を開いた。従業員が機密情報をチャットボット、AI検索ツール、コーディングアシスタントに貼り付けることで、意図せずデータ漏洩が発生し、多くの場合、情報が組織の管理外に出ていることに気づかない。

TechRadarは、企業がChatGPT、Claude、Copilot、GeminiといったAIツールを、適切なデータガバナンス管理なしに従業員に展開する中で、問題が危機的状況に達していると報じている。外部攻撃者による従来のデータ漏洩とは異なり、この種の漏洩は通常偶発的である。従業員が顧客データをプロンプトに貼り付けたり、開発者が独自コードをAIコーディングアシスタントにアップロードしたり、営業担当者がAIに機密のスプレッドシートを分析させたりする。

規模。 複数のセキュリティ企業の調査によると、現在大多数の企業が、適切な監視なしにサードパーティのAIモデルを通じて機密データを流している。一般的な漏洩経路には以下が含まれる:

  • プロンプトへの直接入力: 従業員が個人識別情報、財務データ、企業秘密を、入力内容の学習を許可する利用規約のAIチャットインターフェースに貼り付ける。
  • 企業向けAI検索ツール: Microsoft CopilotやGleanなどのプラットフォームが内部文書を索引化し、ユーザーの閲覧権限を超えた情報を表示する可能性があり、「知る必要」アクセス原則に違反する。
  • AIコーディングアシスタント: 開発者が独自のソースコードをクラウドベースのコード補完サービスにアップロードし、知的財産をモデル学習パイプラインにさらす。
  • SaaS統合の拡散: エンタープライズSaaSツールに接続されたAIプラグインや拡張機能が、ワークフローに必要な範囲をはるかに超えたOAuthトークンを継承する。

規制圧力。 この問題は規制当局の注目を集めている。EUのAI ActとDigital Operational Resilience Act(DORA)はともに、金融機関と重要インフラ事業者に対し、AIツールの統合が許可されていないデータ露出経路を生み出していないことを証明するよう求めている。SECのサイバー・新興技術ユニットは、規制対象事業体によるAIガバナンスに関する表明を積極的に調査している。

専門家は、データがAIモデルに到達する前に検査するプロンプトレベルの分類・リアルタイム執行システムの導入、AIツールの権限を必要最小限に区分すること、AIパイプラインを流れる全データの監査可能なログ作成を推奨している。技術的執行のないポリシー文書は、データの流出を防ぐことはできないと彼らは指摘する。

出典: TechRadar, Knostic, Wiz

雅子 訳

Scroll to Top