米Netskopeの調査研究部門Netskope Threat Labsがこのほど、2025年における日本の組織と従業員が直面したAI、クラウド、マルウェアの脅威動向を調査した分析結果を発表した。それによると、生成AIの活用は1年前の69％から80%に増加し、生成AIツールの数も1800以上と、5倍に増えたことが分かったという。

　AIの使用者数と使用頻度が増加するとともに、プロンプトに機密データを入力したり、文書をアップロードしたりするなどリスクが顕在化している。結果、生成AI関連のデータポリシー違反は月平均500件以上発生し、グローバル平均 (月223件) の2倍以上にもなる。規制対象データが48%、知的財産が38%、ソースコードが9%、パスワードとAPIキーが5% と続く。

　調査によると、従業員が個人アカウントで生成AIを使用すると、企業側で利用状況を把握できず、データ流出を防ぐセキュリティ対策を適用できなくなるという。そのため、シャドーAIの排除で、日本は世界をリードし、職場での個人アカウントによる生成AI使用率が85%から11% (グローバルでは47%) に急減した。だが、企業管理アカウントの使用率は15%から79% (グローバルでは62%) に急増した。

　職場でのクラウドアプリの広範な使用は、データ漏えいとマルウェア配信の経路ともなる。企業データと個人データの管理の境界が曖昧になっていることもある。組織では、平均月17件、個人用アプリに関連するデータポリシー違反が発生している。ポリシー違反の内訳は、知的財産が半数を占め、規制対象データ (37%)、パスワードとAPIキー (10%)、ソースコード (2%) と続く。この対策には、従業員が管理されていないサービスと機密情報を共有しないよう自動的にリアルタイムでガイダンスを提供したり、個人用アプリへのアップロードをブロックしたりする方法があるが、このようなポリシーを導入した組織の34%が個人のGoogle Driveアカウントへのファイルアップロードをブロックされている。

　攻撃者は従業員が使用しているクラウドアプリやそこに保存されているファイルを悪用している。日本では、Box、GitHub、Microsoft OneDriveが広く利用されていることから、攻撃者によるマルウェア配信に最も頻繁に悪用されるプラットフォームとなっている。それぞれ10%、7.6%、7.1%の組織で、従業員がこれらのアプリからマルウェアをダウンロードしようとした試みが確認されたという。（田中克己）