情報漏えいリスク。AIにデータを渡す危うさ

まず最も大きな懸念は、情報漏えいのリスクです。

生成AIに質問や依頼をする際、業務資料や顧客データといった機密情報を不用意に入力してしまうと、それらは外部サービスへ送信される可能性があります。

その結果、企業は知らぬ間に重要な情報を第三者に提供することになりかねません。万が一流出すれば、金銭的な損失だけでなく、ブランドイメージの失墜といった深刻な影響を招く可能性があります。

AIと連携したクラウドストレージから漏れる危険性

テレビメディアなどでもAIによる情報漏洩の話題を度々目にします。その影響もあってか「AIに機密情報を入力してはいけない」という意識は企業内にも浸透し始めており、単純な情報漏えいのリスクは以前より減っているように感じます。

しかし、クラウドストレージに保存されている情報については守り切れているでしょうか。

Geminiのようにクラウドストレージと連携できるAIサービスでは、Google Drive上の資料を読み込ませて要約させる、といった便利な活用が可能です。その便利さの裏側で、AIに読み込ませないはずの機密情報を「設定ミス」や「制御の不徹底」によって誤って渡してしまう恐れがあります。

情シスが管理していれば防げる漏えいも、シャドーAIだとその危険性が跳ね上がることは想像に難くありません。

検証不十分なAIからの漏洩

もう一つ注意すべきなのは、新興のAIサービスを安易に利用してしまうケースです。

SNSなどで次々と紹介される新しいAIツール。すぐに試してみたくなる気持ちはとてもよく分かります。しかし、利用規約を細かく確認せずに使われてしまったらどうでしょう。中には「入力データを学習に利用する」ものもあり、それに気づかず重要な情報を入力してしまえば、意図せず外部で再利用されるリスクがあります。

サイバー攻撃リスク　AIが新たな侵入口に

AIは便利なツールである一方で、攻撃者にとって新しい入口になり得ます。

生成AIが提示するリンクの中には、信頼できない情報源や危険なサイトが含まれていないとは限りません。社員がAIの回答を鵜呑みにし、確認せずにアクセスしてしまえば、フィッシング詐欺やマルウェア感染の被害につながる可能性があります。

リスクはリンク先だけではありません。さらに深刻なのは、正規サービスと見せかけた偽AIツールを導入してしまうケースです。

ダウンロードしたアプリにマルウェアが仕込まれていると、利用者の端末だけでなく、VPN経由で社内全体に被害が広がる恐れがあります。

コストリスク　気づかぬうちに膨らむ利用料

シャドーAIはセキュリティ面だけでなく、コスト面のリスクも抱えています。利用者本人も気づかないまま、高額な利用料の請求が発生する可能性があります。

API使用料がいつの間にか高額に

生成AIの多くはAPI利用を前提としていますが、小規模の利用であれば問題はありません。

しかし大量のリクエストが発生すると数十万円規模の請求になることもあります。情シスが管理していない場合、経理処理の段階で初めて発覚し、社内で混乱を招くことがあります。

外部連携ツールが隠れたコスト増に

Zapierやn8nに代表される自動化ツールは、情シスのように専門の知識がなくても、AIと他のツールを繋いで業務を効率化できるため、現場部門からは人気があります。

これらは便利な一方で、課金体系が複雑でコストが膨らみがちです。部門ごとに契約が重複すれば、全社的には大きな負担となりかねません。

 AI生成コードの落とし穴

最近増えているのが、現場でAIが生成したコードを利用するケースです。便利ではありますが、そこには見逃せないリスクがあります。

生成AIは推測に基づいてコードを返すため、実行ができても非効率な処理をしたり、誤った処理をしたりするケースも少なくありません。

コードの内容を充分に精査せず、本番環境に導入すると、無駄なループ処理によってシステムに多大な負荷をかけたり、不正アクセスと認識されてサービス停止されてしまったりなど、業務に支障が出る問題を引き起こす可能性があります。

さらに危険なのは、脆弱性を含んだコードをそのまま利用してしまうことです。セキュリティチェックを行わずにそのまま社内システムに組み込めば、外部から攻撃を直接受けるリスクを抱えることになります。

日本は「シャドーAI大国」

日本は海外と比べ「シャドーAI」の利用率が高いといわれます。その背景には日本特有の企業文化があります。

ひとつは、承認プロセスが多く意思決定が遅いことです。現場としては待ちきれず、情シスの承認を経ずにAIツールを導入してしまうケースが少なくありません。

また、情シス部門の人員不足も大きな課題です。AIの活用が広がるほど、ツールの精査やルール整備に追われ、負担はむしろ増しているかたが多いのではないでしょうか。現場から「早く使わせてほしい」という声が相次ぐ一方で、安全に導入するための準備は簡単には進められません。

さらに、コスト意識の低さも要因です。海外では有償のAI導入に投資する企業が多いのに対し、日本では「無料で使える範囲で」と利用が始まりがちです。その結果、セキュリティを満たさないツールが広がり、情報漏洩のリスクを高めています。

情シスの役割は、安心・安全なAI活用環境をつくること

それでは、情シス部門はどのように対応すればよいでしょうか。重要なのは「AIを使うな」と抑制するのではなく、安心・安全に使える環境を整えることです。

具体的には、このような取り組みが考えられます。

・利用可能なAIサービスを明確にし、ホワイトリストを整備する
・機密情報を入力してはいけない場面のルールを定める
・利用状況を可視化できる仕組みを導入し、コストを把握する
・無料プランを使わず、企業向けのセキュリティ対策が万全な有料版を導入する

多少のコストをかけてでも、安全で管理された環境を用意することは、企業全体にとって長期的な利益につながります。情シスはリスクを抑えつつ、社員が安心してAIを活用できる環境を整えることが求められます。

まとめ：進化と共に変化するAIリスク

AIの技術進歩により、かつて問題視された「ハルシネーション」のリスクは低くなりました。一方で、クラウド連携やコード生成といった新しい使い方から、別のリスクが次々と現れている状況にあります。

重要なのは、AIを使わないことも企業にとってリスクだということです。情シス部門が安全な環境を整備することで、業務効率化や新たなアイデア創出など、企業の競争力向上という明確な利益を生み出すことが可能です。

シャドーAIはないに越したことはありません。情シスが主体となって安心・安全な仕組みを整えることが、今求められています。

（TEXT：おちあいなおこ、編集：藤冨）

特集｜月曜日の朝にお送りする
「情シス『目』ニュース」

月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。

本特集はこちら