AIの急速な普及が進む中、サイバー攻撃の手法も進化しています。IBMが公開した「2025年版データ侵害コストレポート」では、世界600社・3,500人以上のリーダーへのインタビューを元に、最新のセキュリティリスクとその経済的影響が明らかにされました。本記事ではその主要な発見と私たちへの示唆を紹介します。
▶引用元:2025 Cost of a Data Breach: AI Risks, Shadow AI, & Solutions
この記事のポイント
- 世界のデータ侵害コストは平均4.44百万ドルに減少したが、米国では依然高止まり
- AI関連のセキュリティ事故が増加中、特に「シャドーAI」が課題
- フィッシング・ディープフェイク・サードパーティー要因が主な攻撃手法
- 組織の63%がAIガバナンスを未整備と回答
- 対策としてはID・アクセス管理やパスキー導入がカギとなる
データ侵害の平均コストは4.44百万ドルに
IBMの調査によれば、世界全体のデータ侵害の平均コストは前年より9%減の4.44百万ドル(約7億円)となりました。これは多少の進歩を示していますが、米国ではこの金額が世界平均の約2倍と、依然として突出しています。これは、規制や訴訟リスク、企業規模の影響が大きいためと考えられます。
シャドーAIと無認可の導入が脅威に
特に注目されたのが「シャドーAI(shadow AI)」の存在。20%の組織が非公認のAIツールが社内に存在していたと回答しました。これは現場主導で導入された生成AIなどが、セキュリティ体制の目の届かない場所で使われていることを示しています。適切な発見と管理が必要です。
AIを使った攻撃者側の進化
攻撃者もAIを使い始めています。16%の組織がAIによる攻撃の被害を受け、37%がフィッシング攻撃、35%がディープフェイク関連のインシデントを経験しています。攻撃の自動化と巧妙化が進み、「見破るのが難しい時代」に突入したことを意味しています。
ガバナンスとセキュリティの断絶
報告によると、63%の組織がAIのガバナンスポリシーを未整備または策定途中だと答えています。ガバナンスとは、どのAIを誰がどのように使ってよいかを定めるルールのこと。これが未整備なままだと、セキュリティポリシーも機能せず、AI利用が企業リスクを高める結果になります。
身元管理とパスキー技術が鍵
IBMは、今後の対策として「IDとアクセス管理」「パスキー」「秘密管理ツール」の重要性を強調しています。特に「パスキー」は従来のパスワードよりも安全性が高く、暗号技術に基づいた次世代認証として注目されています。これらを活用することで、ヒューマンエラーや権限逸脱を防ぐことができます。
セキュリティには自動化と可視化が不可欠
AIやツールの利用状況は社員に聞くだけでは把握できません。自動でAIの使用状況を検知するツールの導入が不可欠です。人間の報告に頼るのではなく、ツールを活用した「可視化」と「自動防御」の体制づくりが今後のスタンダードになるでしょう。
もしこの内容を英語で伝えるなら?
「2025年のデータ侵害の平均コストは、世界で4.44百万ドル。」
数字と年を含めて、要点をコンパクトに伝える表現
「シャドーAIは組織における静かな脅威になってきている。」
非認可ツールの危険性を強調する表現
「攻撃者もAIを使っており、ますます巧妙化している。」
危機意識を喚起するシンプルな一文
「AIガバナンスが整っている組織は37%に過ぎない。」
「整っていない方が多数派」であることを示すデータ表現
「未来を守るには、技術とポリシーの両方を管理する必要がある。」
テクノロジー偏重にならないバランス感覚を伝える言い回し
最後に
IBMのレポートは、AI時代のサイバーリスクが新たなステージに入ったことを明確に示しています。AIは守る側にも攻める側にも使われ、従来のセキュリティ対策だけでは対応しきれません。企業は技術的な防御だけでなく、ガバナンスや教育、文化の見直しを含めた包括的な戦略が求められる時代に突入しています。