情シスを追い詰める「ガバナンスなきAI導入」の代償とは？：シャドーAIが招く静かな崩壊

「AIなんて発明されなければよかった」――最新調査でCIOの半数が本音を漏らすほど、AI導入に伴うセキュリティリスクが深刻化している。Copilotが悪用され既存の脆弱性が自動攻撃の道具と化すなど、情シスは利便性の代償として肥大化する攻撃面とガバナンス不足という、かつてない難題に直面している。

[Staff report，TechTarget]

　ITリーダーの実に約半数が、AIがもたらすリスクを理由に「AIなど発明されなければよかった」と考えるくらい、ITリーダーとAIの関係は複雑といえる。

　ITベンダーのLogicalis（ロジカリス）が2026年4月に発表した調査結果は、現在のサイバーセキュリティ環境を象徴している。企業はAI革新を急ぐ一方で、セキュリティチームは拡大する攻撃対象の管理に苦慮している。CIO（最高情報責任者）の4分の1以上がAIを重大なリスク要因と見なすなど、AIのセキュリティ確保は最優先事項となっている。脅威が激化する中、侵害の増加や従業員によるAIの誤用、新たな脆弱性への対応に追われ、現場は疲弊している。

　ロジカリスのグループCEOを務めるボブ・ベイルコスキ氏は、「AIはサイバーセキュリティにおいて強力な力だが、適切なスキルやガバナンスがなければ、防御よりも脆弱性を生む」と指摘する。同氏は、AIによる脅威から組織を守るだけでなく、防御のためのAIツール自体がもたらすリスクへの対処も、CIOに課せられた困難な任務だと話している。本稿では、現在のAIが重要なツールであると同時に、増大する脅威でもあることを示すニュースを紹介する。

大手銀行、AI推進の加速に伴いセキュリティ懸念の払拭を急ぐ

編集部のお薦め記事

　大手銀行のAI投資は加速しているが、最先端のAIモデルの登場によりセキュリティへの懸念が高まっている。

　2026年度第1四半期の決算説明会で、JPMorgan Chase（JPモルガン・チェース）、Morgan Stanley（モルガン・スタンレー）、Goldman Sachs（ゴールドマン・サックス）、BNYといった企業の幹部らは、AIの変革の可能性を強調しつつ、新たなリスクに言及した。

　Anthropicの最新モデル「Claude Mythos Preview」は、主要なブラウザやOSに数千件の重大な欠陥を発見した。データセキュリティやプライバシー、リスク管理は依然として銀行幹部の最優先事項だ。KPMGの調査によると、80％の企業がAI予算にサイバーセキュリティを組み込んでいる。

全ての古い脆弱性が「AIの脆弱性」に変わる

　最近修正された「CVE-2026-26144」は、脆弱性悪用の転換点となった。AIエージェントが既存の欠陥による被害を増幅させるためだ。

　Microsoft ExcelのXSS（クロスサイトスクリプティング）の脆弱性は、MicrosoftのAIアシスタント「Microsoft Copilot」のエージェントモードを悪用する。通常のXSS攻撃とは異なり、攻撃者はExcelファイルに不正なペイロードを埋め込むことで、ユーザーの操作なしにデータを外部に流出させることが可能だ。もはやXSSやSQLインジェクションといった従来の分類だけではこの影響を定義できない。被害の範囲を決定するのは、AIエージェントの権限と能力である。

AI導入に伴う懸念の増大に苦慮するCIO

　ロジカリスの報告書によれば、AIのセキュリティ確保はCIOにとって最優先課題だ。多くのCIOは、AIをマルウェアやランサムウェアに匹敵する重大なリスクと認識している。セキュリティチームを圧迫する新たな懸念には、従業員によるAIの誤用、不十分なガバナンス、「シャドーAI」、アプリケーションの乱立、監視不足が含まれる。組織の3分の1以上が、侵害の検知能力の低下やインシデント対応の遅れを報告している。