Newsgather
Back73% of Companies Adopt AI Tools, But Security Risks Loom
73% of Companies Adopt AI Tools, But Security Risks Loom
Developing
ITmedia6/12/2026Tech5 min readJapan

73% of Companies Adopt AI Tools, But Security Risks Loom

Quick Look

  • A survey reveals 73% of companies use AI tools, with 70% recognizing new security risks.
  • ESET highlights concerns over AI agents accessing sensitive data and the rise of 'shadow AI.' IBM reports 13% of data breaches in 2024-2025 involved AI models, with many lacking proper access controls.

AI-generated summary

Why It Matters

A survey indicates widespread AI tool adoption among companies, but a significant portion recognizes associated security risks. ESET and IBM reports highlight specific threats like AI agent vulnerabilities and data breaches.

Font size

調査によると、回答企業の73%がAIツールを導入している。70%はAIが新たなセキュリティリスクをもたらすと認識していた。ESETは、AIエージェントが機密情報へアクセスするケースに加え、業務フローの実行やクラウドの高権限操作を担うケースが増えていると指摘した。設定不備がある場合、機密データの移動や不適切な操作につながる可能性がある。AIエージェントは多要素認証を経由しない仕組みを持つ場合があり、常時稼働することから攻撃対象となりやすいという。

攻撃手法としては、入力内容を悪用してAIの挙動を変化させるプロンプト注入攻撃が挙げられた。これによりAIエージェントが内部関係者のように振る舞い、企業データを窃取する恐れがある。企業の承認を得ずに従業員が生成AIサービスを利用する「シャドーAI」も問題視されており、機密情報の漏えいや法令順守上の問題、データ処理状況の把握不足を招く危険があるとした。

AI関連の被害は実際に発生している。IBMの「Cost of a Data Breach Report 2025」によると、2024年3月~2025年2月までに情報漏えい被害を受けた600組織のうち13%がAIモデルまたはAIアプリケーションに関連する侵害を経験した。被害組織の97%では適切なAIアクセス制御が整備されていなかった。侵害の多くはアプリケーションやAPI、プラグインの改ざんなどサプライチェーン経由で発生し、60%で広範なデータ流出、31%で業務への支障が発生した。

巧妙化する手口、無料の気象予報サービスを装う悪質なAIエージェント用スキル

ESETの研究チームは、AIエージェント用スキルの悪用事例も確認している。スキルは指示やスクリプト、参考資料をまとめたもので、AIエージェント利用を効率化する目的で公開されているケースが多い。調査では無料の気象予報サービスに接続するスキルを装いながら、セッショントークンやAPIキーなどを収集し、攻撃者のサーバへ送信する情報窃取機能を備えた事例が見つかった。こうしたスキルは日々追加されており、ESETは80万件超を調査した結果、約2万5000件を不審、3000件超を悪性と判定した。

確認された脅威には、トロイの木馬や追加マルウェアを導入するダウンローダー、不正遠隔操作を可能にするバックドア、利用者情報を収集するスパイウェア、キーロガー、暗号資産採掘マルウェアの他、フィッシングやソーシャルエンジニアリング手法が含まれていた。

企業の対応状況にも課題が残る。調査対象企業の40%は、承認済み手順やプラットフォーム以外でのAIアプリ利用を制限する規定を設けていなかった。AIを導入していない企業の73%は、AI利用規定の必要性を低く見積もる。ただし、企業がAIを採用していなくても、従業員が公開サービスを利用する可能性は残るとESETは指摘している。

Verizonの2026年版「Data Breach Investigations Report」によると、従業員の45%がAIの常用利用者に分類された。生成AIサービス利用者の67%は、業務端末上で個人アカウントを使用してサービスへアクセスしていた。

サイバーセキュリティに自信を持つ企業は75%に達したが、34%は新たな脅威への対応の遅れを懸念していた。北米では自信があると回答した企業の割合が86%だった。

利便性と安全性を両立する、中小企業の防衛策

ESETは安全なAI活用策として、顧客情報や財務情報など機密データの入力回避、暗号化やアクセス制御機能を備えたサービスの採用、社内利用規定の策定、従業員教育の実施を挙げた。AIの出力内容についても検証が必要としている。

権限管理では最小権限原則や多要素認証の適用、定期的なアクセス権見直しを推奨した。サービス選定ではGDPR(EU一般データ保護規則)、ISO 27001、SOC 2(Service Organization Control Type 2)などの基準への適合状況やデータ保管/保持方針、学習データの取り扱いを確認する必要があるとした。

ESETは、AIの普及によって業務効率向上が進む半面、不正利用の危険も増していると指摘し、企業に対し脅威への理解とデータ保護対策の強化を求めた。

What to Watch

AI outlook — possibilities, not facts

  • AI-related data breaches will continue to increase, necessitating stricter access controls and employee training.

    Very likely · Within months

  • More sophisticated AI-powered cyberattacks will emerge, targeting supply chains and exploiting 'shadow AI'.

    Likely · Within months

Open Questions

  • What specific regulations will be implemented for AI security?
  • How will companies effectively balance AI benefits with security needs?
  • What is the long-term impact of AI on the cybersecurity landscape?

Related Topics

This article was originally published by ITmedia.

Related Stories

More on this topicAI