日本IBMが報告──拡大するAIセキュリティインシデントとガバナンス構築の最前線
はじめに:AIとガバナンスの重要性が増す現代社会
AI(人工知能)の活用が急速に進む現代、AIシステムのセキュリティやガバナンスの重要性が急速に高まっています。2025年、日本IBMは最新の調査レポートを公開し、AIを巡るセキュリティインシデントの実態や、企業が直面する新たなリスク、そしてそれに対する先進的なガバナンス事例を明らかにしました。本記事では、日本IBMによる最新報告をもとに、AIとガバナンスの最前線を紐解きます。
AIセキュリティインシデントの実態とは
日本IBMが2025年に発表した「IBM X-Force 脅威インテリジェンス・インデックス2025」や「2025年データ侵害のコストに関する調査レポート」によると、AI導入の急拡大の一方で、AIを標的としたセキュリティインシデントが増加しています。
主な特徴は以下の通りです。
- セキュリティインシデント全体に占めるAI関連の割合は13%とまだ限定的だが、今後の拡大が予想される
- AI関連のセキュリティインシデントの60%がデータ漏洩、31%が業務中断と深刻な被害を及ぼしている
- 侵害された組織の97%が適切なAIアクセス制御を実装していなかった
- 被害額の平均は日本で約5億5000万円で、1件あたり甚大な損失となり得る
この調査で特筆されるのは、AIのセキュリティおよびガバナンス体制の遅れです。AIモデルやアプリケーションへの攻撃そのものは今は少数ですが、企業のAI導入が進むほど、標的としての魅力が高まり、今後インシデント増加が懸念されています。
AIへの攻撃手法の変化|認証情報とサプライチェーンリスク
また、日本IBMが指摘するもう一つの特徴が、攻撃手法の変化です。従来のランサムウェアやシステム破壊型攻撃から、「合法的な認証情報を盗み取って正規ユーザーになりすます」、「インフォスティーラー型マルウェアで情報を窃取する」ものへと移行しつつあります。
- IBM X-Forceが対応した2024年のインシデントのうち、約30%が認証情報を悪用した侵入
- 認証情報を盗むためのフィッシングメールは前年比84%増、依然として有効な攻撃手法
- 製造業を中心に、4年連続で最も標的とされているセクター
- 攻撃者の視点では、サプライチェーン全体のAI関連リスクも顕著
AIのブラックボックス化、機械学習モデルの不正利用、アルゴリズムのバイアスや説明責任の欠如といった、新たなリスクがこれに加わります。
なぜ今「AIガバナンス」が求められるのか
AIガバナンスとは、AIシステムの安全・公正・透明な運用を確保するための組織的枠組みや管理体制を指します。なぜ今、AIガバナンスが注目されるのでしょうか?
- AIの業務適用が進むなか、不適切なAI利用による社会的信用失墜や法的リスクが現実問題となっているため
- AIが扱うデータの機密性やプライバシー保護、誤作動時の責任範囲など倫理的課題が複雑化しているため
- ガバナンスを徹底することで、AI利活用の推進と企業価値の維持・向上の両立が可能になるため
また、各国でAIに関するルール整備が進みつつある中、企業にとっても国際的な信頼性確保の観点から不可欠な取り組みとなっています。
実践事例:IBMと双日のAIガバナンス構築
では、具体的にどのようにAIガバナンスが構築されているのでしょうか。ここでは、日本IBMと双日による先進的な実践事例を紹介します。
- AIモデルの設計・運用・監視における多層的なアクセス制御と監査ログ管理の徹底
- AI利用の初期段階からリスクアセスメントを行い、潜在的なバイアスやデータ漏洩のリスクを可視化
- 全社横断的なAIガバナンス委員会を設置し、倫理、法務、技術部門が連携してガイドラインを策定
- 外部AIサービスやサプライヤーとの連携時にも、契約段階からガバナンス要求を明確化
こうした取り組みは、強固な「守り」の構築に加え、AIをビジネス価値創出のために活用する「攻め」との両立を目指しています。
攻めと守りのバランス──AI活用推進とリスク管理を両立させるには
AIガバナンスを議論する際には、「守り」=リスク低減と、「攻め」=競争優位性獲得とのバランスが鍵です。
- 過度な統制でAI活用が遅れることを避けるため、現場と管理部門の協働が重要
- ガイドラインやチェックリストの形骸化を防ぐため、現実的なルール設定・運用状況の定期見直し
- AI倫理や透明性確保も重視し、アウトプットや意思決定理由を説明できる体制づくり
- AI人材の教育・リテラシー向上も長期的なガバナンスには不可欠
日本IBMの調査によれば、AIの導入と利活用を支えるにはリスクと価値の両面から進んだガバナンス設計が必要という、実践的な知見が示されました。
日本社会と今後のAIガバナンスの展望
調査では、AIやサイバーセキュリティ投資を「計画している」と回答した企業は約49%と、依然として半数がAI関連のリスクを過小評価する傾向が見られました。しかし、今後AIの社会実装が進む中で、この数字は大きく変化すると見込まれます。
- AI導入企業は情報漏洩や業務中断リスクを正しく把握し、セキュリティ投資とガバナンス体制を強化する必要がある
- 経営層や管理職のみならず、現場レベルまで浸透したルールづくりと自主的な遵守が重要
- グローバル規模での信頼性や透明性を維持するため、国際的な規制動向にも敏感である必要がある
AIガバナンスは一度整えれば終わりではなく、日々進化し続けるAI技術や脅威動向に即応したアップデートが求められます。ユーザーの安全や社会全体の信頼を守るため、企業や組織の不断な努力がこれまで以上に不可欠となっています。
まとめ:AI時代のガバナンスが切り拓く企業の未来
AI技術の活用とそのガバナンスは、現代社会にとって両輪の課題となっています。日本IBMや双日のような先進的な企業の知見・実践を参考にしつつ、日本社会全体で「攻め」と「守り」のバランスに優れたAIガバナンスを築いていくことが、これからの持続的成長と信頼確保への近道となるでしょう。
