上野 宣のセキュリティ宣言 - 第1回AIは新しい侵入口になるのか? 攻撃者視点で考えるAI利用のセキュリティ

連載スタートから前回で30回を迎えたこのコーナー、今回から装いも新たにリニューアルしました。

株式会社トライコーダ 代表取締役
上野 宣 氏
奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。
ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。
AIが企業システムの一部になり始めている
ChatGPTの登場以来、企業で生成AIを利用する場面が急速に増えています。例えば皆さんの組織でも、次のような用途があるのではないでしょうか。
- 社内文書を検索するAIチャットボット
- 問い合わせ対応の自動化
- コード生成や開発支援
- 社内データの分析
これらは業務効率を大きく改善する便利な仕組みです。しかし、攻撃者の視点から見ると、少し違う印象を受けることがあります。それは、AIが企業システムの中に入り込んできたということです。
AIは単独で動くものではありません。多くの場合、次のようなシステムと接続されています。
- 社内データベース
- メールシステム
- クラウドストレージ
- API
つまり、AIは単なるツールではなくITインフラの一部として動作しています。これはセキュリティの観点から見ると重要な変化です。新しいシステムが増えれば、それだけ攻撃対象が増えることを意味します。
攻撃者のAIを見る視点
AIのセキュリティというと、「AI自体がハッキングされるのでは」と心配する方もいるかもしれません。しかし、攻撃者はAIシステムそのものを壊すことにはあまり興味がありません。攻撃者が欲しいのは、機密データ、認証情報、システムへのアクセス権、そして社内ネットワークへの侵入経路です。
つまり、攻撃者にとって重要なのは「そのAIが何にアクセスできるのか」という点です。例えば、AIチャットボットが社内文書を検索できる場合、そのAIが適切に制御されていなければ、攻撃者はAIを踏み台にして社内の情報を取得できてしまう可能性があります。
AIエージェントという新しいリスク
最近は「AIエージェント」と呼ばれる仕組みも登場しています。従来のチャット型AIは質問に対して答えを返すだけでした。しかし、AIエージェントはそれだけでなく、外部のシステムやツールを呼び出して実際にアクションを起こすことができます。これはAIが人の代わりにシステムを操作する仕組みで、例えば次のようなことを行います。
- メールの送信
- データ検索
- スケジュール登録
- レポート作成
業務効率の面では非常に便利ですが、裏を返せば、AIエージェントが乗っ取られた場合の影響範囲はこれまでよりも大きくなります。AIエージェントは、多くの場合、次のような権限を持っています。
- APIキー
- サービスアカウント(非人間アカウント)
- データアクセス権
攻撃者が狙っているのは、まさにこうした権限です。もしAIエージェントの認証情報が漏洩すれば、攻撃者は人間のアカウントを使わずにシステムを操作できてしまいます。
シャドーAIという新しい問題
AIの利用が広がるなかで、もう一つ注意すべき問題があります。それが「シャドーAI」です。これは、IT部門が把握していないAIの利用のことで、例えば次のようなケースがあります。
- 開発チームが独自にAIのAPIを利用
- 社員が個人アカウントでAIツールを使用
- 部門単位でAIサービスを契約
この状況は、以前から問題になっている「シャドーIT」とよく似ています。実際、クラウドサービスの普及によって、組織の管理外でツールが利用されるケースは珍しくありません。
AIの場合、特に問題になるのはデータで、社員がAIに次のような情報を入力してしまうことがあります。
- 社内資料
- 顧客情報
- 設計資料
こうした情報は外部のAIサービスで処理されるため、組織の管理外に出てしまう恐れがあります。
AIシステムにも起きる設定ミス
AIシステムは多くの場合、クラウド環境で構築されます。クラウドには柔軟性という大きなメリットがありますが、その反面、設定が複雑になるという問題もあります。例えば次のようなミスです。
- APIキーの公開
- 認証設定の不備
- 過剰なアクセス権限
こうした設定ミスは決して珍しいものではありません。クラウドの誤設定による情報漏洩は世界中で発生しており、攻撃者はスキャンツールを使って、公開されているリソースを継続的に探しています。AIシステムも例外ではありません。担当者にとっては小さな設定ミスでも、攻撃者にとっては大きなチャンスになることがあるのです。
AIを安全に使うために必要なこと
AIのセキュリティというと、特別な対策が必要なように感じるかもしれませんが、基本的な考え方はこれまでと大きく変わりません。重要なのは次のポイントです。
➊ AIの利用状況を把握する
まず、組織でどのAIが使われているのかを把握することが重要です。どのAIサービスを、誰が利用しているのか、どのデータを扱うのかを確認します。
❷ 権限管理を見直す
AIシステムが利用するアカウントやAPIキーは、最小権限の原則で管理する必要があります。AIが必要以上のデータにアクセスできる状態は、攻撃者にとって魅力的な標的となり得ます。
❸ シャドーAIを可視化する
AI利用を完全に禁止することは現実的ではありません。むしろ重要なのは、組織内でどのようなツールが使われているのかを把握することです。通信ログから外部AIサービスへのアクセスを確認する、AI利用の申請フローを整備するといった方法で、管理外のAI利用を把握・抑制できます。
❹ AIシステムの設定を定期的に確認する
AIシステムの多くはクラウド上に構築されるため、APIキーの管理状態やアクセス制御の設定を定期的に確認する必要があります。特に、公開状態になっているエンドポイントがないか、不要なAPIキーが残っていないかは、優先的にチェックすべきポイントといえます。クラウドの設定ミスは気づきにくいものですが、攻撃者は常にこうした隙を探しているのです。
AI時代のセキュリティ
AIは今後、企業システムの中でさらに重要な役割を持つようになります。しかし、どんな新しい技術であっても、攻撃者の視点は大きく変わりません。攻撃者が考えていることは、いつも同じで「どこから侵入できるか」です。
AIは便利な技術ですが、同時に新しいIT資産でもあります。だからこそ、AIを特別な存在として扱うのではなく、既存のセキュリティ管理の枠組みに組み込むべきだと筆者は考えます。まずは、自社でどのAIが使われているのかを把握することから始めてみてはいかがでしょうか。
(「SKYSEA Client View NEWS Vol.108」 2026年5月掲載)