• FAQ > 技術情報 > セキュリティ > DLP > 【AI特集ブログ①】生成AIセキュリティ対策はなぜ必要か ― 利用者3倍・プロンプト6倍に見る企業の情報漏洩リスク
  • No : 1714
  • 公開日時 : 2026/06/09 19:31
  • 更新日時 : 2026/06/11 16:34
  • 印刷

【AI特集ブログ①】生成AIセキュリティ対策はなぜ必要か ― 利用者3倍・プロンプト6倍に見る企業の情報漏洩リスク

本稿は生成AIセキュリティ対策の必要性について記載したブログとなります。

1. 生成AIは「特別なツール」から「日常業務の基盤」へ
2. 見落とされやすい3つの生成AIリスク
3. 従来型対策だけでは防ぎにくい理由
4. SSEが実現する「見える力」と安全なAI活用
5. 今後はAI利用の"見える化"が前提になる

また、生成AI活用のガバナンス強化に最適なSSE ”Netskope"について、詳細を知りたい方は、下記ホワイトペーパーをダウンロードしてみてください!

「企業で契約すれば問題ない」と思い込んでいませんか?生成AI活用のガバナンス強化にNetskopeが最適なワケ

カテゴリー : 

1. 生成AIは「特別なツール」から「日常業務の基盤」へ


生成AIの業務利用は、もはや一部の先進企業だけの取り組みではありません。
文章作成、議事録要約、翻訳、調査、コード生成、問い合わせ対応など、日々の業務の中でChatGPT、Google Gemini、Microsoft 365 Copilotといった生成AIサービスを使う場面は急速に広がっています。
Netskopeの「クラウドと脅威レポート:2026年」では、SaaS型生成AIアプリの利用者数が過去1年で平均3倍に増加し、生成AIアプリに送信されるプロンプト数は6倍に増加したとされています。
ここでいうプロンプトとは、利用者がAIに入力する指示文や質問文のことです。つまり、生成AIを使う人が増えただけでなく、AIに入力される業務データの量そのものも急増しているということです。





引用元:『クラウドと脅威レポート:2026年』
https://www.netskope.com/jp/resources/cloud-and-threat-reports/cloud-and-threat-report-2026

この変化は、企業にとって大きな生産性向上の機会である一方、情報漏洩リスクの拡大も意味します。生成AIは便利であるほど、従業員が顧客情報、設計資料、ソースコード、契約書、社内メモなどを入力してしまう可能性が高まります。
企業が生成AIを安全に活用するには、「利用を禁止するか、許可するか」という単純な判断ではなく、誰が、どのAIに、どのような情報を送っているのかを把握する視点が欠かせません。

 

2. 見落とされやすい3つの生成AIリスク


― リスク1:シャドーAI
企業がまず注意すべきリスクの一つが、シャドーAIです。シャドーAIとは、会社が正式に許可・管理していない生成AIサービスを、従業員が個人アカウントなどで利用する状態を指します。
業務効率化のために善意で使っていたとしても、会社側からは利用実態が見えず、機密情報が外部サービスに入力されても検知できない場合があります。

― リスク2:プロンプト経由のデータ漏洩
二つ目は、プロンプト経由のデータ漏洩です。これは、会社が認めた生成AIサービスを使っている場合でも起こり得ます。たとえば、顧客リストを貼り付けてメール文面を作らせる、未公開の製品仕様を入力して要約させる、障害ログやソースコードを送信して原因分析を依頼する、といった行為です。正規のアプリ利用であっても、入力内容に機密情報や個人情報が含まれていれば、情報漏洩につながる可能性があります。

― リスク3:AI特有の攻撃・リスク
三つ目は、AI特有の攻撃や新しい利用形態に伴うリスクです。代表例がプロンプトインジェクションです。これは、AIに対して本来の指示を無視させたり、不適切な情報を出力させたりする攻撃手法です。
また、AIエージェント、MCP、AIブラウザのように、AIが外部システムと連携し、ファイル参照や操作を行う仕組みが広がることで、リスクはさらに複雑になります。AIが人の代わりに動く範囲が広がるほど、従来の「人がWebサイトを見る」前提のセキュリティ対策だけでは対応しにくくなります。



 

3. 従来型対策だけでは防ぎにくい理由


これまで多くの企業は、URLフィルタリングやファイアウォールによって、危険なWebサイトや不適切なクラウドサービスへのアクセスを制限してきました。URLフィルタリングとは、アクセス先のURLやカテゴリをもとに通信を許可・拒否する仕組みです。しかし、生成AI時代の情報漏洩対策では、アクセス先を見るだけでは不十分です。
なぜなら、問題は「どのAIサービスにアクセスしたか」だけではなく、「どのアカウントで、どのデータを、どのような目的で送信したか」にあるからです。同じ生成AIサービスでも、会社管理のアカウントで利用しているのか、個人アカウントで利用しているのかによってリスクは大きく異なります。また、単なる一般的な質問なのか、機密資料を貼り付けた相談なのかによっても、必要な制御は変わります。

さらに、現在のWeb通信やクラウド通信の多くはSSL/TLSで暗号化されています。これは通信を保護する重要な技術ですが、セキュリティ管理の観点では、暗号化された通信の中身を確認しにくいという課題もあります。
そのため、企業にはSSL復号・検査によって通信内容を可視化し、プロンプトやアップロードファイルに機密情報が含まれていないかを確認する仕組みが求められます。




 

4. SSEが実現する「見える力」と安全なAI活用


こうした課題に対して注目されるのが、SSE、つまりSecurity Service Edgeです。SSEは、クラウド利用やWebアクセスを安全に制御するためのセキュリティ基盤で、SWG、CASB、ZTNA、DLPなどの機能を組み合わせて提供します。
SWGは安全なWebアクセスを実現する仕組み、CASBはクラウドサービスの利用状況を可視化・制御する仕組み、ZTNAはゼロトラストの考え方に基づき必要な利用者だけにアクセスを許可する仕組みです。
特に生成AI対策で重要なのが、CASBDLPです。DLPとはData Loss Preventionの略で、機密情報や個人情報が外部に送信されることを検知・防止する技術です。

CASBを活用することで、生成AIの利用状況を可視化しつつ、認可していない生成AIの利用を制限できます。そのうえで、DLPによって、生成AIに入力されるプロンプトやアップロードデータを検査し、顧客情報、マイナンバー、認証情報、ソースコードなどが含まれる場合に警告、ブロックといった制御を行えます。
また、単に禁止するだけでなく、ユーザーコーチングも重要です。
ユーザーコーチングとは、従業員がリスクのある操作をした際に、その場で注意喚起や代替手段を提示する仕組みです。
「この情報には個人情報が含まれる可能性があります」「会社管理のAIサービスを利用してください」といったメッセージを表示することで、従業員の利便性を損なわずに安全な使い方へ誘導できます。




 

5. 今後はAI利用の"見える化"が前提になる


今後、生成AIは単独のチャットツールにとどまらず、業務アプリ、ブラウザ、開発環境、問い合わせシステムなどに組み込まれていくでしょう。生成AIの活用を完全に止めることは現実的ではありません。むしろ、企業の競争力を高めるためには安全に使いこなすことが重要です。
一方で、AIエージェントがメールを読み、資料を要約し、システム操作を支援するようになれば、AIが扱うデータの範囲はさらに広がります。

そのため、企業には「どのAIを許可するか」だけでなく、「AIがどのデータに触れ、どこへ送信し、どのような処理をしたか」を継続的に把握する姿勢が求められます。
このため、生成AIセキュリティ対策の本質は「禁止」ではなく「見える化と統制」です。SSEの持つCASBによる可視化・制御、DLPによる情報漏洩対策、ユーザーコーチングによる注意喚起を活用することで、企業は生成AIの利便性を活かしながら、情報漏洩リスクを現実的に抑えることができます。
次回はまず第一歩として、「AI通信の"見える化"」をテーマに、生成AI利用における代表的なリスクである「シャドーAI」と「プロンプト経由の情報漏洩」について、具体的な業務シーンを交えながら解説します。


次回ブログ:AI通信の"見える化"が全ての起点 ― SSEとSSL復号がAIセキュリティの土台になる理由

生成AI活用のガバナンス強化に最適なSSE ”Netskope"

生成AI活用のガバナンス強化に最適なSSE ”Netskope"について、詳細を知りたい方は、下記ホワイトペーパーをダウンロードしてみてください!

「企業で契約すれば問題ない」と思い込んでいませんか?生成AI活用のガバナンス強化にNetskopeが最適なワケ