生成AI利用でデータ漏洩リスクが2倍に、Netskope調査

Netskope Japan株式会社は、Netskope Threat Labsによる第6回年次調査報告書の分析結果を発表した。国内向け発表によれば、2025年における生成AI利用に関連したデータポリシー違反件数は、前年と比べて2倍以上に増加している。生成AIの利用拡大に伴い、データポリシー違反のリスクが高まっている状況が示されている。

生成AI利用に伴うデータポリシー違反の増加

本報告書の分析結果によると、2025年における生成AI利用に関連したデータポリシー違反件数は、前年と比べて2倍以上に増加した。企業環境では、従業員が規制対象データや知的財産、ソースコード、パスワード、キーなどの機密データを、生成AIのプロンプト入力やアップロードに含めようとする試みが、月平均223件検出されている。

こうした傾向について、生成AIの導入拡大や利用可能なAIツールの増加が背景にあるとしている。

生成AIツール利用の急拡大とシャドーAIの常態化

国内向け発表によれば、従業員による生成AIツールの月間利用率は15％に達し、前年と比べて3倍に増加した。生成AIツールに送信されるプロンプト数も、月平均3,000件から18,000件へと増加しており、上位25％の組織では、1組織あたり70,000件以上のプロンプトが送信されている。

また、Netskope Threat Labsが観測した生成AIツールの数は1,600以上に増加し、5倍に拡大したとしている。こうした状況の中で、生成AI利用者の47％が業務に個人の生成AIアカウントを使用しており、シャドーAIの利用が広がっている点についても指摘している。

個人クラウド利用と内部脅威の実態

多くの従業員が業務に個人のクラウドアプリケーションを利用しており、ほぼ3人に1人（31%）が毎月データをアップロードしている。さらに、内部関係者による脅威インシデントの60%は、個人用クラウドアプリケーションの利用に起因していることが明らかになった。
一方で、生成AIアプリ経由の機密データ漏えいを防ぐために、データ損失防止（DLP）ツールを導入している組織は全体の半数にとどまっている。約4社に1社（23%）は、個人用クラウドアプリ経由のデータ漏えいを検知・阻止できるリアルタイム制御機能を導入していない状況である。

フィッシングとマルウェアの脅威も継続

従業員がフィッシング詐欺やマルウェアのリスクにさらされる状況は、依然として深刻である。2025年には、従業員10,000人あたり87人が毎月フィッシングリンクをクリックしていた。
クラウドサービスを標的としたフィッシング攻撃では、Microsoftがなりすましに最も多く利用されており、クリック数の52%を占めている。Hotmail（11%）、DocuSign（10%）がこれに続く。

マルウェアについても、攻撃者はクラウドサービスを悪用する手法を継続しており、従業員が感染ファイルに接触するリスクが高いアプリケーションとして、GitHub（12%）、Microsoft OneDrive（10%）、Google Drive（5.8%）が挙げられている。

Netskope Threat Labsの見解

Netskope Threat LabsのディレクターであるRay Canzanese氏は、クラウドとAIの導入により、企業システムと従業員の行動様式が急速に変化していると指摘している。こうした変化は、多くのセキュリティチームの想定を超える新たな脅威とリスクをもたらしており、ポリシーや保護対策の見直し、DLPなど既存ツールの適用範囲拡大が急務であるとしている。
また、2026年に向けては、個別の対策を積み重ねるのではなく、これらの傾向を受け、組織はセキュリティの全体像・データ保護戦略を見直す必要があるとしている。

出典：PRTimes 生成AI利用で、データ漏洩リスクが2倍に – Netskope調査