日本企業のAI導入状況
日本企業のAI導入率:16.2%(導入予定含め22.5%)
米国の導入率は約40%で、日本は大きく後れを取っている。 出典:IPA「DX動向2024」
米国の導入率は約40%で、日本は大きく後れを取っている。 出典:IPA「DX動向2024」
消費者の約40%が、企業の生成AIサービスによる「誤情報の配信・拡散」に不安を感じている。
出典:JIPDEC「消費者意識調査2024」
AI固有のセキュリティ脅威
| 攻撃手法 | 内容 | リスク |
|---|---|---|
| プロンプトインジェクション | 悪意ある指示でAIの制約を回避 | 高 |
| データポイゾニング | 学習データに毒を仕込む | 高 |
| モデル抽出攻撃 | 出力から学習データを推測 | 中 |
| アカウント情報流出 | マルウェア経由でログイン情報漏洩 | 高 |
2023年6月:生成AIサービスのログイン情報が世界で10万件以上流出。日本からも661件以上が確認された。主因は従業員端末のマルウェア感染。
実際の事故事例
ChatGPT大規模インシデント(2023年3月)
オープンソースライブラリのバグにより、有料版ユーザーの氏名、メールアドレス、クレジットカード下4桁が約10時間にわたり第三者から閲覧可能に。他人のチャット履歴タイトルも表示された。
サムスン電子:機密ソースコード流出(2023年)
従業員がバグ修正のために社外秘ソースコードをChatGPTに入力。入力データが学習に利用される設定だったため、知的財産が外部に蓄積されるリスクが発生。同社はその後、生成AIの社内利用を厳格に制限。
対策のベストプラクティス
- DLPツール導入:機密情報の入力を自動検知・遮断
- Enterprise版への移行:学習にデータを使わない設定を徹底
- オプトアウト設定の確認:入力データの学習利用を停止
- AI専用ペネトレーションテスト:プロンプトインジェクション耐性を定期検証
- アクセスログの常時監視:最小特権の原則を徹底
Coach's Note
セキュリティリスクは「技術的問題」として現場に押し付けられがちだが、経営層が「リスク許容度」を明確に定めることが重要。Enterprise版への移行やDLPツール導入は即実行可能なアクション。