73% of Companies Adopt AI Tools, But Security Risks Loom
Quick Look
- A survey reveals 73% of companies use AI tools, with 70% recognizing new security risks.
- ESET highlights concerns over AI agents accessing sensitive data and the rise of 'shadow AI.' IBM reports 13% of data breaches in 2024-2025 involved AI models, with many lacking proper access controls.
AI-generated summary
Why It Matters
A survey indicates widespread AI tool adoption among companies, but a significant portion recognizes associated security risks. ESET and IBM reports highlight specific threats like AI agent vulnerabilities and data breaches.
調査によると、回答企業の73%がAIツールを導入している。70%はAIが新たなセキュリティリスクをもたらすと認識していた。ESETは、AIエージェントが機密情報へアクセスするケースに加え、業務フローの実行やクラウドの高権限操作を担うケースが増えていると指摘した。設定不備がある場合、機密データの移動や不適切な操作につながる可能性がある。AIエージェントは多要素認証を経由しない仕組みを持つ場合があり、常時稼働することから攻撃対象となりやすいという。
攻撃手法としては、入力内容を悪用してAIの挙動を変化させるプロンプト注入攻撃が挙げられた。これによりAIエージェントが内部関係者のように振る舞い、企業データを窃取する恐れがある。企業の承認を得ずに従業員が生成AIサービスを利用する「シャドーAI」も問題視されており、機密情報の漏えいや法令順守上の問題、データ処理状況の把握不足を招く危険があるとした。
AI関連の被害は実際に発生している。IBMの「Cost of a Data Breach Report 2025」によると、2024年3月~2025年2月までに情報漏えい被害を受けた600組織のうち13%がAIモデルまたはAIアプリケーションに関連する侵害を経験した。被害組織の97%では適切なAIアクセス制御が整備されていなかった。侵害の多くはアプリケーションやAPI、プラグインの改ざんなどサプライチェーン経由で発生し、60%で広範なデータ流出、31%で業務への支障が発生した。
巧妙化する手口、無料の気象予報サービスを装う悪質なAIエージェント用スキル
ESETの研究チームは、AIエージェント用スキルの悪用事例も確認している。スキルは指示やスクリプト、参考資料をまとめたもので、AIエージェント利用を効率化する目的で公開されているケースが多い。調査では無料の気象予報サービスに接続するスキルを装いながら、セッショントークンやAPIキーなどを収集し、攻撃者のサーバへ送信する情報窃取機能を備えた事例が見つかった。こうしたスキルは日々追加されており、ESETは80万件超を調査した結果、約2万5000件を不審、3000件超を悪性と判定した。
確認された脅威には、トロイの木馬や追加マルウェアを導入するダウンローダー、不正遠隔操作を可能にするバックドア、利用者情報を収集するスパイウェア、キーロガー、暗号資産採掘マルウェアの他、フィッシングやソーシャルエンジニアリング手法が含まれていた。
企業の対応状況にも課題が残る。調査対象企業の40%は、承認済み手順やプラットフォーム以外でのAIアプリ利用を制限する規定を設けていなかった。AIを導入していない企業の73%は、AI利用規定の必要性を低く見積もる。ただし、企業がAIを採用していなくても、従業員が公開サービスを利用する可能性は残るとESETは指摘している。
Verizonの2026年版「Data Breach Investigations Report」によると、従業員の45%がAIの常用利用者に分類された。生成AIサービス利用者の67%は、業務端末上で個人アカウントを使用してサービスへアクセスしていた。
サイバーセキュリティに自信を持つ企業は75%に達したが、34%は新たな脅威への対応の遅れを懸念していた。北米では自信があると回答した企業の割合が86%だった。
利便性と安全性を両立する、中小企業の防衛策
ESETは安全なAI活用策として、顧客情報や財務情報など機密データの入力回避、暗号化やアクセス制御機能を備えたサービスの採用、社内利用規定の策定、従業員教育の実施を挙げた。AIの出力内容についても検証が必要としている。
権限管理では最小権限原則や多要素認証の適用、定期的なアクセス権見直しを推奨した。サービス選定ではGDPR(EU一般データ保護規則)、ISO 27001、SOC 2(Service Organization Control Type 2)などの基準への適合状況やデータ保管/保持方針、学習データの取り扱いを確認する必要があるとした。
ESETは、AIの普及によって業務効率向上が進む半面、不正利用の危険も増していると指摘し、企業に対し脅威への理解とデータ保護対策の強化を求めた。
What to Watch
AI outlook — possibilities, not facts
AI-related data breaches will continue to increase, necessitating stricter access controls and employee training.
Very likely · Within months
More sophisticated AI-powered cyberattacks will emerge, targeting supply chains and exploiting 'shadow AI'.
Likely · Within months
Open Questions
- What specific regulations will be implemented for AI security?
- How will companies effectively balance AI benefits with security needs?
- What is the long-term impact of AI on the cybersecurity landscape?






