AIは導入できても、統制できているか

Jun 15

Check Pointが示す「AIセキュリティ・ギャップ」

「組織はもはや、AIを導入するかどうかではなく、自社のセキュリティアーキテクチャがAIの規模・速度・自律性に対応できるかを問われている」

2026年6月、Check Pointが公表した2026 Cloud Security Report（Cybersecurity Insidersとの共同調査）は、エンタープライズのAI活用に潜む空白を数字で可視化しました。

最も重い数字がこれです。78%の組織が、過去1年間に確認済みまたは疑いのあるAI関連セキュリティインシデントを報告しています（Check Point, 2026 Cloud Security Report）。内訳を見ると、54%が「確認済みのインシデントを少なくとも1件経験した」と回答し、さらに24%が「疑いはあるが、可視性が不足していて確認できない」と答えています。つまり4社に3社が、AI関連の問題に「遭遇した」か「遭遇したかどうかも分からない」状態にあります。

「戦略を更新した」と「戦略を実行できる」の間にある51ポイント

このレポートが突きつけるもう一つの数字が、採用と実行のギャップです。

77%の組織が、AIに対応してクラウドセキュリティ戦略を更新済みだと回答しています。一方で、その戦略を実際に運用・強制できるアーキテクチャを持つ組織は26%にとどまります（Check Point）。意図と実行能力の間に、51ポイントの開きがあります。

戦略は紙の上で更新されました。しかし、それを現場で動かす仕組みが追いついていません。Check PointはこれをAIセキュリティ・ギャップ（AI Security Gap）と呼んでいます。

何がインシデントを生んでいるのか

レポートが挙げるインシデントの種類は幅広いものです。従業員が許可なく外部AIツールを使う、いわゆるシャドーAI。AIシステムを通じた機微データの漏洩。AIが生成したフィッシングやディープフェイク攻撃。

ここで注目したいのは、48%の組織が「非人間アイデンティティ（AIエージェントやAPI）」を主要なセキュリティリスクとして挙げている点です（Check Point）。攻撃の入口が、人間の振る舞いを前提に設計された従来のセキュリティ境界の外側に移りつつあります。

レポートはこう指摘しています。AIトラフィックは、ますます正規の業務活動に似てきており、検出を著しく難しくしている、と。

エンタープライズが今対応すべき設計の問い

Check Pointのレポートが示す状況を、エンタープライズの設計課題として整理すると3点になります。

AI活用の速度に、統制の速度を合わせているか。戦略を更新した77%と、実行できる26%の差は、計画ではなく実装の問題です。AIを導入する意思決定と同じ熱量で、それを監督する仕組みに投資できているか。
「誰が」AIを使っているかを可視化できているか。インシデントの24%が「疑いはあるが確認できない」というのは、可視性そのものの欠如を意味します。見えないものは統制できません。シャドーAIの可視化が、統制の起点になります。
エージェントとAPIを「アイデンティティ」として管理できているか。48%が非人間アイデンティティをリスクと認識し始めています。人間に対する権限管理と同じ厳密さで、エージェントの権限を設計する段階に入っています。

導入そのものは、もはや競争優位ではありません。導入したAIを、誰が、どの基準で、どの統制のもとで動かすか——その設計こそが、活用の成否を分けるのではないでしょうか。

AIxができること

AIxでは、REWIREフレームワークをベースに、エンタープライズのAI変革を支援しております。

① AI人材のマッチング・チーム組成

AIガバナンス設計・セキュアな運用基盤の構築・エージェント権限設計に精通した専門人材を、要件定義からアサインまで一貫してサポートしております。

② 経営層・AI推進担当者向けアドバイザリー

REWIREの6次元のうち、特にR（Responsibility＝責任設計）の観点から、AI活用と統制の非対称がどこで生じているかを診断し、優先順位と打ち手を整理。ご関心のある方はお気軽にお問い合わせください。