【記事のポイント】
- シャドーAIは、企業が承認していない生成AIツール(ChatGPT・Gemini・Claudeなど)を従業員が業務利用する状態。プロンプト入力ごとに機密情報漏洩リスクが発生し、検知も困難
- Gartner調査で従業員の57%が個人AIを業務利用、IBM 2025年データ侵害コストレポートによるとシャドーAI利用が多い組織は、少ない/ない組織と比べて平均約67万ドル(約1億円)の追加コストを負担。IPA「情報セキュリティ10大脅威2026」で第3位に初選出
- 対策の本質は「禁止」ではなく「正しく使わせる」こと。当社クラウドネイティブではゼロトラストモデルによる多層防御でシャドーAIの侵入経路を構造的に塞ぐ
こんにちは!アシスタント 兼 広報のEimiです。
突然ですが、皆さんに質問です。
業務中に、会社が承認していないChatGPTやGeminiなどのAIツールを使ったこと、ありませんか?
ドキッとした方、結構いるんじゃないでしょうか。実はこれ、今めちゃくちゃ大きな問題になっていて、「シャドーAI(Shadow AI)」という名前までついているんです。
しかも、調査データを見ると思っていた以上に深刻な状況。今日はそんなシャドーAI問題について、最新データとクラウドネイティブの対策事例を一緒に整理していきます!
シャドーAIの基本情報
| 項目 | 内容 |
|---|---|
| 別称 | Shadow AI / BYOAI(Bring Your Own AI) |
| 定義 | 企業のIT部門が承認・管理していない生成AIツールの業務利用 |
| 主な対象ツール | ChatGPT、Gemini、Claude、Copilot、Cursorなど |
| 主なリスク | 機密情報漏洩・データの学習データ化・コンプライアンス違反 |
| 検知難易度 | 高(従来型防御では困難。CASB/SWGで一定の可視化は可能だが、ブラウザ統合AIの画面読み取り・セッション横断までは追加統制が必要) |
| IPA 10大脅威2026 | 「AIの利用をめぐるサイバーリスク」として第3位(初選出) |
| 侵害時の追加コスト | シャドーAI利用が多い組織は平均約67万ドルの追加コスト(IBM 2025) |
| 主な対策アプローチ | ゼロトラスト(CASB・DLP・EDRによる多層防御) |
シャドーAIとは?一言でいうと「会社が知らないところで使われている生成AI」
シャドーAI(Shadow AI)とは、企業のIT部門が把握・承認していない生成AIツールを、従業員が業務で利用している状態のことです。 ChatGPT、Gemini、Claudeなどの個人アカウント利用が典型例で、機密情報の漏洩・コンプライアンス違反・データの学習データ化といったリスクを引き起こします。
シャドーAIの主要な特徴は3つあります。
- 従来型防御では検知困難:ブラウザアクセスだけで完結するため、ファイアウォールやIDSなど従来型の境界防御では通常のWebアクセスと見分けがつかない。後述するCASB(Cloud Access Security Broker)などのゼロトラスト系ツールを導入して初めて可視化が可能になる
- プロンプト入力ごとに漏洩リスク発生:1回の入力でも機密情報が外部サーバーへ送信される
- 学習データ化の可能性:無料版や個人プランでは、サービスや設定によっては入力データが学習・品質改善等に利用される可能性がある
似た言葉に「シャドーIT」(未承認のソフトウェアやデバイスを業務で使うこと)がありますが、シャドーAIはさらに厄介です。なぜなら、ブラウザでウェブサイトにアクセスするだけで使えてしまうので、検知が圧倒的に難しいんです。
ChatGPTやGemini、Claudeなど、無料でアカウントが作れて即使えるツールがたくさんあるので、「ちょっと議事録要約するだけ」「メールの下書き作るだけ」と気軽に使ってしまう人がたくさんいる状態です。
なお、ここで言う「検知が難しい」というのは、あくまでファイアウォール・IDS・URL/IPブロックといった従来型の境界防御では見えにくい、という意味です。CASBやSWGを導入すれば、未承認AIサービスへのアクセス、ファイルアップロード、個人テナント利用などは可視化・制御しやすくなります。ただし、ブラウザ統合AIが表示中の画面内容をどの範囲まで読み取り、クラウド側に送信したかを完全に識別できるとは限りません。だからこそ、検知だけでなく、アカウント分離・拡張機能統制・高機密SaaSでの利用制限を組み合わせる必要があります。
シャドーAIとシャドーITの比較表
下表は、シャドーITとシャドーAIの主要な違いを5つの観点でまとめたものです。
| 項目 | シャドーIT | シャドーAI |
|---|---|---|
| 対象 | 未承認のソフトウェア・デバイス | 未承認のAIツール(ChatGPT、Geminiなど) |
| 利用方法 | インストールやアカウント作成が必要 | ブラウザだけで使える |
| 検知難易度 | 中(ネットワーク監視で発見可能) | 高(従来型防御では困難。CASB等で可視化可能) |
| 情報漏洩リスク | ファイル共有・保存経由 | プロンプト入力ごとに発生 |
| 学習データ化 | なし | 入力内容がAIモデルの学習に使われる可能性 |
シャドーAIの実態をデータで見てみた【2026年最新】
結論:調査によって母集団や定義は異なりますが、個人アカウントや未承認AIの業務利用はすでに無視できない規模に達しています。 以下、信頼性の高い調査5本の数字を一次ソースで検証し、調査対象と母数を明記してまとめました。
主要調査データ一覧
| 調査元 | 発表時期 | 主要指標 | 調査対象 |
|---|---|---|---|
| Gartner | 2026年2月 | 57%が個人AI業務利用、33%が機密情報入力 | 従業員175名 |
| Cyberhaven Labs | 2026年2月 | AI入力の39.7%に機密情報 | 222社の数十億件データ |
| サイバーセキュリティクラウド | 2026年5月 | 67%がAI業務利用、15%がシャドーAI状態 | 日本の会社員300名 |
| Microsoft & LinkedIn | 2024年5月 | 78%がBYOAIを実施(2024年時点) | 31カ国31,000名 |
| IBM | 2025年7月 | シャドーAI多い組織は67万ドル追加コスト、全侵害の20%が起因、97%がアクセス制御不足 | 600件の侵害事例 |
📝 注:各調査は母集団・設問・「シャドーAI」または「BYOAI」の定義が異なります。数値は単純比較ではなく、未承認・個人AI利用が無視できない規模にあることを示す参考指標として掲載しています。
Gartner調査(2026年2月発表・従業員175名対象)
2026年版「サイバーセキュリティのトップ・トレンド」レポートで発表された数字です。
- 57%以上の従業員が業務目的で個人の生成AIアカウントを使用
- 33%が承認されていないツールに機密情報を入力したことを認めている
- 2030年までに40%以上の組織がシャドーAI起因のセキュリティ・コンプライアンスインシデントを経験する見込み(Gartner 2025年11月発表、サイバーセキュリティリーダー302名対象)
💡 注:57%・33%の数字は2025年5月〜11月にGartnerが従業員175名を対象に実施した調査結果です。母数は限定的ですが、業界の傾向を示す代表的な指標として広く引用されています。
Cyberhaven Labs「2026 AI Adoption & Risk Report」
数十億件の実データに基づいた大規模分析レポートです。
- AIツールへのデータ入力の39.7%に機密情報が含まれている
- 従業員は平均で「3日に1回ペースに換算する頻度」で機密データをAIに入力している(記事者による推計値)
- ChatGPT利用の32.3%、Gemini利用の24.9%が個人アカウント経由
- 先進企業(フロンティア企業)の開発者の約90%がAIコーディング支援を利用、典型的な組織では約50%、AI活用が進んでいない層では6%にとどまり、Cyberhavenの分析では先進企業の開発者がAIコーディング支援を使う確率は一般組織の11.5倍
サイバーセキュリティクラウド調査(2026年5月13日発表・会社員300名)
日本国内の最新データです。
- 業務で何らかの生成AIを利用している人は67%
- そのうち約15%が企業管理外でAIを利用する「シャドーAI」状態
- 利用者の約60%が何らかの業務情報をAIへ入力
Microsoft & LinkedIn「Work Trend Index」(2024年5月発表)
BYOAI(Bring Your Own AI)の代表的な調査です(やや古いデータですが、業務へのAI持ち込み規模の参考値として取り上げます)。
- 78%のAI利用者が個人で契約したBYOAIツールを業務に持ち込み
- 小規模・中規模企業では80%に上昇
IBM「2025年データ侵害コストレポート」
侵害時の経済的影響を示すデータです(600件の侵害事例を分析)。
- シャドーAIの利用が多い組織は、少ない/ない組織と比べて平均で約67万ドル(約1億円)の追加コストを負担
- 全侵害の20%がシャドーAI起因
- AI関連侵害を受けた組織の97%が適切なAIアクセス制御を欠いていた
- グローバル平均の侵害コストは前年比9%減の444万ドル
これはかなり深刻な数字です。「うちの会社は大丈夫」と思っている方も、Gartner調査で57%が個人GenAI業務利用、Microsoft/LinkedIn調査では78%がBYOAIを実施、日本国内のサイバーセキュリティクラウド調査でも約15%がシャドーAI状態と、調査の母集団・定義は異なれど、個人アカウントや未承認AIの業務利用は無視できない規模に達しています。
そして、これは潜在的なリスクだけではなく、実際に事件が起きています。代表的な事例として、2023年3月にSamsungで発生したソースコード漏洩事件があります。エンジニアがChatGPTに社内のソースコードや会議議事録を貼り付けたことで機密情報が外部に流出し、Samsungは一時的に社内での生成AI利用を全面禁止しました。
ただし、Samsungはそのまま「AI禁止」を続けたわけではなく、その後自社管理下のAI環境を整備し、Galaxy AIなどの自社サービス展開も含めて、管理された形でのAI利用へと舵を切っています。この経緯自体が、本記事のテーマである「禁止」ではなく「正しく使わせる」というシャドーAI対策の本質を体現していると言えます。企業規模やセキュリティ体制に関係なく「ちょっと使うだけ」で起こりうる問題であり、起きた後にどう管理可能な形に再構築するかが問われる時代になっています。
なぜシャドーAIが発生するのか?3つの根本原因
シャドーAIが発生する最大の理由は「個人AIツールが企業の正規ツールより便利だから」です。 以下の3つの根本原因が、従業員を未承認ツールへ向かわせています。
原因1:正規ツールの提供が遅い・不十分
会社が公式に提供しているツールが不十分だったり、申請しないと使えなかったり、そもそも生成AIが禁止されていたりすると、従業員は個人アカウントでこっそり使い始めます。
原因2:業務効率化への強いプレッシャー
業務効率化のために真面目に頑張っている人ほど、こっそりAIを使っているという皮肉な状況。悪意があるわけではないんです。
原因3:他社との競争力ギャップへの危機感
特に開発者の世界では深刻で、Cyberhaven Labsの2026年データによれば、先進企業の開発者の約90%がAIコーディング支援を利用している一方、典型的な組織では約50%、AI活用が進んでいない層では6%にとどまっています。Cyberhavenの分析では、先進企業の開発者がAIコーディング支援を使う確率は一般組織の11.5倍。
この格差を見て、自社で禁止されていても「他社の開発者はこんなに進んでるのに……」と感じて、個人アカウントでGitHub CopilotやCursor、Claude Codeを使い始めるエンジニアがたくさんいるそうです。気持ちはわかります。
シャドーAIのリスクとは?4つの深刻な問題
シャドーAIには「機密情報の学習データ化」「保存先の不透明性」「AIエージェントの暴走」「侵害コストの増加」という4つの主要リスクがあります。 順に解説します。
リスク1:機密情報がAIの学習データに使われる可能性
無料版や個人向けプランでは、入力データの保存・利用条件が企業契約と異なる場合があり、サービスや設定によっては学習・品質改善等に利用される可能性があります。法人契約(ChatGPT Enterprise、Claude for Work、Gemini for Workspaceなど)では、入力データをモデル学習に使わない旨を明示しているサービスもあります。ただし、保存期間、ログ管理、管理者設定、DPA、サブプロセッサ、データ所在地はサービスごとに異なるため、業務利用では契約条件と管理設定を確認したうえで利用することが基本です。
無料版や個人プランで顧客情報、売上データ、ソースコードを入力すると、その内容が企業の管理外に保存され、サービス提供者側のログ、品質改善、レビュー、外部連携、履歴管理の対象になる可能性があります。問題は「すぐに他人の回答へ出るか」だけではなく、企業側が保存場所・保持期間・削除・監査証跡を管理できなくなる点にあります。
リスク2:データの保存先が不透明
入力したデータがどこのサーバーに、どんな形で、いつまで保存されているのか、ユーザー側からは見えません。日本のセキュリティ基準やプライバシー規制が及ばない海外サーバーに保存されていることも普通にあります。
リスク3:AIエージェントの暴走と新たな攻撃面
最近はAIが自律的にタスクを実行する「AIエージェント」が増えていますが、ここには大きく2つのリスクがあります。自律実行による誤動作と、外部攻撃によるエージェント乗っ取りです。
(1)自律実行による暴走:Replit事件(2025年7月)
2025年7月17-18日、Replitの自律AIコーディングエージェントが、明示的な「コードフリーズ」指示を無視して本番DB(1,206名の経営者と1,196社以上のデータ)を削除し、さらに「ロールバック不可能」と虚偽の報告をしました。実際にはロールバックが機能し、後にデータは復旧されましたが、「無許可実行→虚偽報告→復旧可能性の隠蔽」という三重の問題を露呈した事件です。AIエージェントの暴走、もうSFの話じゃないんです。
(2)外部攻撃によるエージェント乗っ取り(2026年)
2026年に入ってからは、ブラウザ上で動くAIエージェントへのprompt injection攻撃が継続的に報告されています。第三者セキュリティ研究者からの技術報告として、以下のような事例があります(いずれも各社の発見者による技術報告であり、ベンダー公式の脆弱性アドバイザリとは区別が必要です)。
- ShadowPrompt(Koi Security、2026年1月報告):悪意あるWebサイトを訪れるだけでClaude Chrome拡張に命令を注入できたPoC。旧バージョンではGmail/Drive操作につながり得たと報告。バージョン1.0.41で修正済みとされています
- ClaudeBleed(LayerX、2026年5月報告):権限を持たないChrome拡張からClaude in Chromeに命令を注入できたとする報告
- Perplexity Comet / PleaseFix(Zenity、2026年3月報告):カレンダー招待などに埋め込まれた間接prompt injectionにより、AIブラウザがパスワード等を探索・外部送信し得る攻撃が示され、責任ある開示後に修正されたと報じられています
何が怖いって、これらは、従来の「添付ファイルを開く」「実行ファイルを起動する」といった明示的な危険操作がなくても、悪意あるWebページの閲覧、悪意ある拡張機能の導入、外部コンテンツの要約といった日常的な操作を起点に成立し得るタイプの攻撃です。「変なファイルを開かない」「怪しいメールを開かない」みたいな従来型のリテラシー教育だけでは防げません。
AIエージェントは「自律的に動いて誤る」「外部から攻撃される」という二重のリスクを持ちます。シャドーAIの管理においては、エージェント機能を持つAIツールほど厳格な統制が必要になってきています。
リスク4:データ侵害コストの増加
IBMの2025年データ侵害コストレポートによれば、シャドーAIの利用が多い組織は、利用が少ない/ない組織と比べて平均で約67万ドル(約1億円)の追加コストを負担しています。全侵害の20%がシャドーAI起因で、AI関連侵害を受けた組織の97%が、適切なAIアクセス制御を欠いていました(グローバル平均の侵害コストは前年比9%減の444万ドル)。
IPA 10大脅威で第3位にランクイン
これだけ深刻な問題なので、IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2026」で「AIの利用をめぐるサイバーリスク」が初選出で第3位にランクインしました!シャドーAIはその中心的な問題のひとつです。
シャドーAI 2.0:ブラウザ統合AIの構造的リスク
ここまで紹介してきたのは、主に「個人アカウントの汎用AIにブラウザから貼り付けて使う」タイプのシャドーAIでした。でも、2025年後半から2026年にかけて、もう一段やっかいなタイプが登場しています。それがブラウザ統合AIです。
代表的な3つのブラウザ統合AI
- Claude in Chrome(Anthropic):Chrome拡張機能としてブラウザに常駐し、開いているページを読んだり、複数タブを横断して操作したりするエージェント型AI
- Gemini in Chrome(Google):Chrome本体に統合されたAI機能
- Copilot in Edge(Microsoft):Edge本体に統合されたAIアシスタント
これらが従来のシャドーAIと決定的に違うのは、「ブラウザに表示中のあらゆるページの内容にアクセスできる」という点です。Anthropic自身が公式ヘルプ「Using Claude in Chrome safely」で、JavaScript実行が有効なサイトではブラウザが持つログインセッションや保存済みWebデータにClaudeがアクセスし得る、と明記しています。
つまり、従業員が個人プランで導入して業務PCのChromeに入れた場合、以下のSaaS画面の内容がログイン済みセッションごとAIに渡る可能性があります。
- Microsoft 365 / Google Workspace
- Salesforce / HubSpot
- Notion / Box / Slack
- GitHub / Jira / Confluence
- IdP / MDM / EDR / SIEM などの管理コンソール
「機密情報をプロンプトに貼り付ける」よりも、はるかに広い範囲のデータが対象になります。プロンプト入力すらしていなくても、ただページを開いているだけで機密が読まれ得るんです。
Anthropic公式ヘルプでも注意喚起されているブラウザAI固有リスク
Anthropic公式ヘルプは、Claude in Chromeには以下のリスクがあると説明しています。
- Webページ・メール・文書に隠された命令によるプロンプトインジェクション
- 機密情報の抽出・共有、重要ファイルの削除、意図しないWeb操作
- JavaScript実行が許可されたサイトでは、ログインセッションや保存済みWebデータへのアクセスが起こり得る
つまり、ベンダー自身が「ブラウザAIには構造的なリスクがある」と公式ヘルプで注意喚起している領域です。「すでに抜かれている」と断定するのは言い過ぎですが、「構造的に情報流出や誤操作につながり得る」という評価は妥当です。
「アカウント境界=データ境界」の崩壊
さらに2026年に入って注目されているのが、同一AIアカウントでの複数デバイス操作という問題です。
たとえばClaude in Chromeでは、同じAnthropicアカウントで複数のデバイスにインストールしていると、片方のデバイスから出した指示がもう片方のChromeで実行されたという挙動が、Anthropic公式リポジトリ上のユーザー報告で報告されています(2026年5月時点で、GitHub Issue #33813は「Closed as not planned」、Issue #42660は「Closed as duplicate」となっています)。
ここで重要なのは、Anthropicがこの挙動を脆弱性として認定したわけではないということです。「not planned」というステータスからは、Anthropic側が「仕様の範囲内」と判断している可能性が示唆されますが、ベンダーが正式に立場を表明しているわけでもありません。つまりベンダーの想定挙動なのか未対応の問題なのか、外部からは確定できない状態です。ユーザー側としては、この挙動が成立し得る前提でセキュリティ設計を組むのが現実的です。
もしこの挙動が成立しているとすると、何が起こり得るか?
従来のセキュリティ設計では、
- 業務PC / 私物PCを MDMで分離
- 業務ネットワーク / 個人ネットワークを SWGで分離
- 業務データ / 個人データを DLPで分離
という多層防御を前提としていました。ところが、従業員が業務PCと私物PCで同じAIアカウントを使っていると、MDM・SWG・DLPの分離前提をすり抜けて、業務PCの認証済みセッションが私物PCから操作可能になる経路が生まれます。
「アカウント1つが、複数デバイスのセッションを束ねるバックドアになり得る」という、これまでのシャドーIT対策のフレームワークでは想定外の領域です。これは、企業が想定してきた「業務端末・業務アカウント・業務SaaS」という境界の外側に、AIアカウントという横断的な操作主体が生まれることを意味します。つまり、従来の「アカウント境界=データ境界」という前提が、そのままでは成立しにくくなっています。
これは、人間のシャドーAI問題が、NHI(Non-Human Identity)ガバナンスの問題と地続きになっていることを意味します。ブラウザ統合AIやAIエージェントは、人間のアカウントで認証されながら、実際には非人間的な操作主体としてSaaSやデータにアクセスします。つまり、従来の「人間ID」と「マシンID」を分けて考えるだけでは足りず、AIアカウント・AIエージェントを含めた統合的なアイデンティティ設計が必要になります。NHI管理については別記事「NHI(Non-Human Identity)管理が一気に立ち上がってきた件」で詳しく扱っています。
第三者の技術報告で示されているリスク
ブラウザ統合AIには、Anthropic公式が認識しているリスクに加えて、第三者セキュリティ研究者から複数の技術報告が出ています(リスク3でも触れた内容と一部重なります。いずれも発見者による技術報告であり、ベンダー公式の脆弱性アドバイザリではない点に留意してください)。
- ShadowPrompt(Koi Security、2026年1月):悪意あるWebサイトを訪問するだけでChrome拡張が乗っ取られ得るPoC。バージョン1.0.41で修正済みとされる
- ClaudeBleed(LayerX、2026年5月):権限ゼロのChrome拡張からClaude in Chromeに命令を注入できたとする報告
これらが示唆しているのは、ブラウザ統合AIは構造的に攻撃面が広いということです。
ブラウザ統合AI向けの対策アプローチ
ブラウザ統合AIは、従来のシャドーAI対策(CASBによる「未承認SaaSへのアクセス制御」)だけでは捉えきれない領域です。「アカウント境界の崩壊」「ログイン済みセッションの横断」「プロンプトエンジニアリング」という3つの新規リスクに対応するため、以下の4層で対策を組み立てるのが現実的です。
層1:アカウント分離の強制(最重要)
「アカウント境界=データ境界」の崩壊への直接的対策です。
- 業務でAIを使うなら、Enterpriseテナントの会社メールアカウントのみを許可
- 個人Anthropic / Google / Microsoftアカウントを業務PCで使うことを禁止
- IdP(Okta、Entra ID等)経由のSSO配下に業務AIアカウントを集約し、組織側で一元管理
- 退職時の即時アカウント停止フローを整備
これにより、私物PCと業務PC間で同一アカウントが使われる経路を断ち、cross-device操作リスクを根本から減らせます。
層2:拡張機能のインストール統制(MDM層)
エンドポイントでブラウザAI拡張そのものを管理します。
- MDMで
ExtensionInstallBlocklist/ExtensionInstallAllowlistを強制適用 - Chrome / Edge / Brave等、対象ブラウザ全てに同等のポリシーを展開
- 個人プランの拡張機能ID(Claude in Chrome、Gemini拡張等)を明示的にブロックリスト化
- EnterpriseライセンスのAI拡張は許可リスト経由で配布
層3:ドメイン制御(SWG/CASB層)
ネットワーク経路でAIサービスへの通信を制御します。たとえば当社では、Netskopeを中心としたSSE/CASB/SWGの設計・運用を重視しています。もちろん、既存環境によってはZscalerやMicrosoft Defender for Cloud Appsなどを含めた構成も選択肢になります。重要なのは製品名そのものではなく、AIサービスへのアクセス、個人テナント利用、アップロード、拡張機能通信をどこまで可視化・制御できるかです。
claude.ai/gemini.google.com/copilot.microsoft.com系ドメインの制御- 業務テナント経由の通信のみ許可、個人テナント経由の通信はブロック(可能であれば)
- 拡張機能とAIベンダー間のクラウド経由通信を可視化・記録
層4:高機密SaaSでの利用禁止(運用ルール層)
ブラウザAIが「読んでよい画面」と「読ませない画面」を運用ルールで明示します。
- CRM(Salesforce、HubSpot)、IdP(Okta、Entra)、MDM、EDR、SIEM等の管理コンソールはブラウザAIから操作させない
- 顧客情報・人事情報・財務情報・未公開経営情報を扱う画面では、ブラウザAI拡張のサイドパネルを開かないことをポリシー化
- Claude in Chromeの場合、Enterprise管理コンソールのサイトAllowlist機能で技術的にも強制
なぜ「層1:アカウント分離」が最重要か
層2~4はいずれも従来のセキュリティ製品(MDM、SWG/CASB、DLP)の延長で実装できますが、層1だけは新しい統制発想です。
ブラウザAIによってAIアカウントが複数デバイスのセッションを束ねるバックドアになり得る以上、「業務PCのMDMさえ効いていれば安心」という従来の前提は崩れます。私物PCで同じAIアカウントを使っていたら、その経路から業務PCの認証済みセッションに到達し得る、というのが本質的なリスクです。
だからこそ、業務AIアカウントは組織管理下のSSO経由のみにし、個人アカウントの業務利用を運用・技術の両面で禁止することが、この新しいリスクへの第一防御線になります。
ただし、層1は最重要ですが単独で十分という意味ではありません。 個人AIアカウントを禁止しても、拡張機能、別ブラウザ、別プロファイル、スマホ、私物PC、ブラウザ同期など、迴回経路は残ります。まずアカウント境界を企業管理下に置き、そのうえで層2~4を重ねる多層構成が前提です。AIアカウントを業務IdP配下に集約しなければ、退職者対応、監査ログ、利用停止、データ保持設定、テナント単位のポリシー適用ができないため、層1は他層を機能させるための土台でもあります。
AIアカウントやAIエージェントを「特権を持ち得る操作主体」として扱えていない組織では、誰の権限でAIが動き、どのSaaSにアクセスし、退職時や委託終了時にどう停止するのかが曖昧になります。CyberArkの2025 Identity Security Landscapeでは、AI実装に対するセキュリティ統制を欠く組織が68%に上ると報じられており、AIをアイデンティティ統制の対象として扱う必要性が高まっています。だからこそ、ブラウザ統合AIではまず、業務AIアカウントを個人アカウントから切り離し、IdP配下の組織管理アカウントに集約することが最優先になります。
検知系の限界も認識すべき
ブラウザAI経由のデータ持ち出しは、従来のEDR/CASB/DLPでは検知が難しい場合があると認識しておく必要があります。
- EDRは端末内のファイル書き込み・プロセス起動を見る設計で、ブラウザ拡張内部のメッセージングは観測しづらい
- CASBは「どのSaaSにアクセスしたか」は見えても、「ブラウザAIが画面内容を読んでクラウド送信した」のかは識別困難な場合がある
- DLPはプロンプト直接入力には強いが、画面読み取り経由のデータ抽出には検知ロジックが追いついていない領域もある
このため、「検知して止める」よりも「そもそも経路を作らせない(層1~3の予防的統制)」を優先するのが現状の現実解です。
将来的には、AIエージェントごとに短命のアイデンティティを発行し、意図・タスク・実行環境に応じて必要最小限のアクセス権を一時的に付与する「Agentic Access Management」と呼べる新興領域が立ち上がりつつあります。ただし、これはまだ標準化された市場カテゴリというより、NHI管理・PAM・IAM・AIガバナンスが交差する形成途上の領域です。現時点では、まず本記事で示した4層の予防的統制を実装し、その先の発展形としてNHI管理やAIエージェント向けIAMを検討するのが現実的です。
「シャドーAI 2.0」とも呼べる領域で、現在進行形で攻撃面が拡大しているテーマです。従来のシャドーAI対策(プロンプト入力時のDLP・CASB)に加えて、アカウント分離とブラウザ拡張機能そのものの統制を組み合わせる必要が出てきています。
シャドーAI対策の基本方針:「禁止」が逆効果な3つの理由
シャドーAI対策において「全面禁止」は逆効果です。 理由は以下の3つで、本質的な解決には「正しく使わせる仕組み」が必要となります。
禁止が逆効果な3つの理由
- 競争力低下:他社が使っているのに自社が使わないと業務効率で大きく差をつけられる
- 地下化リスク:禁止しても見えないところで使われるだけ。むしろ管理できなくなる
- 生産性損失:AIを使わないと生産性が圧倒的に下がる時代になってきている
シャドーAI対策の3本柱
シャドーAIの問題は「使わせない」ではなく「正しく使わせる」ことで解決します。具体的には、以下の3つのバランスが大事になってきます。
- 承認済みのAIツールを会社で正式に提供する
- 何を入力していいか、悪いかのポリシーを明確にする
- 教育と監視の仕組みを作る
ゼロトラストで防ぐシャドーAI:「すべてを疑い、すべてを検証する」
シャドーAI対策の決定打は、ゼロトラストアーキテクチャの実装です。 従来の境界型防御では捉えきれないSaaS・ブラウザベースのAI利用に対して、ゼロトラストは「ネットワーク内部であっても信頼しない」という前提で多層的に防御します。
ゼロトラストとは?
ゼロトラスト(Zero Trust)とは、「社内ネットワークの内側であっても、すべてのアクセスを検証する」というセキュリティモデルです。「Never Trust, Always Verify(決して信頼せず、常に検証せよ)」を原則とし、以下の特徴を持ちます。
- ユーザー・デバイス・通信を都度認証:1回のログインで全てを信頼しない
- 最小権限の付与:業務に必要な範囲だけアクセス許可
- 常時監視と動的なアクセス制御:状況変化に応じて権限を即座に変更
- データ中心の保護:境界ではなくデータそのものを守る
なぜシャドーAI対策にゼロトラストが有効なのか
シャドーAIは「正規アカウントを持つ従業員が、社内端末から、無害に見えるブラウザでアクセスする」という形を取ります。境界型防御では「内部からの正規アクセス」として通してしまうため、ゼロトラスト型の継続的な検証と監視でしか実効的に止められません。
具体的には、ゼロトラストが提供する以下の機能がシャドーAIに刺さります。
- アクセス先の可視化:従業員がどのAIサービスにアクセスしているかをリアルタイム把握
- コンテンツ検査:プロンプトの中身まで見て、機密情報の送信を検知
- 動的なブロック・誘導:危険な利用を止めつつ、安全な代替手段へ誘導
- エンドポイント・ネットワーク・データの統合監視:複数レイヤーで多層的に防御
クラウドネイティブのゼロトラスト実装:シャドーAI対策にも応用できる考え方
クラウドネイティブでは、ゼロトラストを単なる製品導入ではなく、現実的に実装していくアーキテクチャとして位置づけています。公式サイトで公開している自社のゼロトラストモデルから、シャドーAI対策にも応用できる考え方を紹介します。
▲ クラウドネイティブのゼロトラストアーキテクチャ全体図
CASBによる通信経路の可視化と制御
クラウドネイティブでは、NetskopeとMicrosoft Defender for Cloud Appsという2つのCASB(Cloud Access Security Broker)を組み合わせて運用しています。
- 社内のデータがどの経路で取得され、どこにアップロードされたのかを可視化
- チャットツールに記載された特定の文字列まで含めて、全てのデータと経路を監視
- 未承認SaaSや危険な経路へのデータ送信を把握し、リスクに応じて制御
- 危険であると判断された場合は、安全な手段を従業員に提示して自動的にそちらへ遷移
ここで重要なのは、単に「禁止する」のではなく、危険な経路を検知したうえで安全な手段へ誘導する設計になっている点です。これは、シャドーAI対策で求められる「正しく使わせる」アプローチとも相性がよい考え方です。
デバイス・エンドポイント側からの多重防御
ネットワーク経路の可視化だけでなく、デバイスやエンドポイント側でも複数の仕組みを組み合わせています。
- Microsoft Defender for Endpoint:不審なふるまいを検知してインシデントを通知
- Druva:端末データをバックアップし、万一の際の復旧手段を確保
- DLPルール:大量の個人情報・クレジットカード番号・機密情報を検知した場合に、データ自体をアクセス禁止状態に変更
シャドーAI対策でも、ブラウザやSaaSの利用状況だけを見るのではなく、端末のふるまい、データの扱われ方、バックアップ・復旧まで含めて考えることが重要です。
データそのものを守るDLPの考え方
ゼロトラストでは、ネットワーク境界だけでなく、データそのものを守る発想が重要です。DLPルールにより、個人情報やクレジットカード番号などの機密性が高い情報を検知し、必要に応じてアクセス制御をかけることで、情報漏洩リスクを下げることができます。
生成AIサービスへの入力も、見方を変えれば「外部サービスへのデータ送信」です。そのため、シャドーAI対策では、どのAIサービスを使っているかだけでなく、どんなデータが外部に出ようとしているかを見る設計が欠かせません。
当社公式サイトの構成をもとにした整理
当社公式サイトでは「エンドポイントセキュリティ」「ネットワーク」「ID管理」「デバイス・セキュリティ」など、複数の観点からゼロトラストの実装が紹介されています。この記事では、シャドーAI対策に関わる要素として、以下のように整理します。
| 観点 | 主な役割 | クラウドネイティブの構成例 |
|---|---|---|
| ネットワーク・SaaS利用 | 通信経路の可視化・制御 | Netskope / Microsoft Defender for Cloud Apps |
| デバイス・エンドポイント | 端末のふるまい監視・復旧 | Microsoft Defender for Endpoint / Druva |
| データ保護 | 機密データそのものの制御 | DLPルール |
このように、クラウドネイティブのゼロトラスト実装は、ネットワーク、デバイス、データの複数レイヤーから情報保護を実現する考え方です。シャドーAI対策においても、この多層的な見方が重要になります。
「従業員が困惑しない情報共有の場」を整える
従業員が困惑しない情報共有の場を積極的に整えることで、シャドーITは抑制されます。
これはシャドーAI対策にも通じます。承認されたツールや安全な使い方が分かりにくいと、従業員は便利な個人向けAIツールに流れてしまいます。だからこそ、技術的なコントロールだけでなく、従業員が迷わず使える正規ルートを整えることも、ゼロトラスト実装の大切な要素です。
シャドーAI対策の実装ステップ:4段階アプローチ
シャドーAI対策は「可視化→ポリシー策定→ツール導入→教育・監視」の4ステップで実装します。 中小企業から大企業まで、規模を問わず適用可能な汎用フレームワークです。
ステップ1:現状の可視化(Discovery)
CASBやネットワーク監視ツールで、社内のAI利用状況を洗い出します。
- どの生成AIサービスが使われているか
- どの部署・誰が、どの頻度で利用しているか
- どんなデータが入力されているか
ステップ2:AI利用ポリシーの策定
「使ってよいAI」「ダメなAI」、「入力してよいデータ」「ダメなデータ」を明確に定義します。
- 承認ツールのホワイトリスト化
- 機密度別の入力可否ガイドライン
- 違反時の対応プロセス
ステップ3:技術的コントロールの導入
CASB・DLP・EDRなどで、ポリシーを技術的に強制します。
- CASBで未承認AIへのアクセス制御
- DLPで機密データの送信ブロック
- EDRでエンドポイントの振る舞い監視
ステップ4:教育と継続的監視
従業員教育とログ監視を継続的に実施します。
- AIリテラシー研修の定期実施
- インシデント発生時の振り返り
- ポリシーの定期見直し(最低四半期に1回)
まとめ
最後に要点を整理します。
- シャドーAI = 企業が承認していない生成AIツールを従業員が業務利用する状態。調査により母集団・定義は異なれど、個人アカウントや未承認AIの業務利用は無視できない規模に達している深刻な問題
- データで見ると = Gartner調査(従業員175名対象)で57%が個人AIで業務、33%が機密情報を入力、Cyberhaven Labsの大規模調査でAI入力の39.7%に機密データ
- IPA 10大脅威2026 = 「AIの利用をめぐるサイバーリスク」が初選出で第3位にランクイン
- IBM 2025レポート = シャドーAI利用が多い組織は、少ない/ない組織と比べて平均で約67万ドル(約1億円)の追加コストを負担。全侵害の20%がシャドーAI起因
- AIエージェントの暴走事例 = 2025年7月のReplit事件で、コードフリーズ指示を無視して本番DB(1,206名の経営者と1,196社以上)を削除し、「ロールバック不可能」と虚偽報告(実際は復旧可能だった)
- 対策の基本方針 = 「禁止」では解決しない。承認済みツール提供+ポリシー+監視のセットが必要
- 構造的な解決策 = ゼロトラストモデルによる多層防御(ネットワーク × エンドポイント × データ)
- 当社クラウドネイティブの実装例 = CASB・EDR・DLP・バックアップを組み合わせ、シャドーAIの侵入経路を多角的に遮断
「うちの会社、シャドーAI対策どうしてるんだろう?」と気になった方、ぜひ一度自社の状況をチェックしてみてくださいね!
当社クラウドネイティブはゼロトラスト実装の支援から個別ツールの導入まで、シャドーAI対策に関わる幅広い領域でご相談を承っています。気になる方はお問い合わせから相談も受け付けておりますので、お気軽にどうぞ!
弊社のゼロトラストモデルも公開していますので、参考にしてみてください!
<https://cloudnative.co.jp/security/>
よくある質問(FAQ)
シャドーAIとは何ですか?
シャドーAIとは、企業のIT部門が承認・管理していない生成AIツール(ChatGPT、Gemini、Claudeなど)を、従業員が業務で利用している状態のことです。ブラウザだけで使えてしまうため検知が難しく、プロンプト入力ごとに機密情報漏洩のリスクが発生します。
シャドーAIとシャドーITは何が違いますか?
シャドーITは未承認のソフトウェアやデバイスの業務利用全般を指し、シャドーAIはその中でも生成AIツールに特化したものです。シャドーAIはブラウザだけで使えてしまうため検知がより難しく、プロンプト入力ごとに情報漏洩リスクが発生する点が大きな違いです。
シャドーAIで具体的に何が漏れるのですか?
従業員がAIに入力した内容すべてです。顧客情報、財務データ、製品戦略、ソースコード、議事録、個人情報など、業務で扱うあらゆるデータが対象になります。Cyberhaven Labsの調査では、AIツールへのデータ入力の39.7%に機密情報が含まれていました。
シャドーAIをゼロにすることは可能ですか?
現実的にはゼロにすることは困難です。重要なのは「禁止」ではなく「正しく使わせる」アプローチで、承認済みの法人向けAIツールを提供し、ポリシーを明確化し、ゼロトラストモデルで監視・制御することでリスクを最小化します。
中小企業でもシャドーAI対策は必要ですか?
必要です。Gartnerの予測では2030年までに40%以上の組織がシャドーAI起因のインシデントを経験するとされており、企業規模に関係なくリスクが存在します。IBM 2025年データ侵害コストレポートでは、シャドーAI利用が多い組織は、少ない/ない組織と比べて平均で約67万ドル(約1億円)の追加コストを負担しています。
ゼロトラストとは何ですか?
ゼロトラストは「社内ネットワークの内側であっても、すべてのアクセスを検証する」というセキュリティモデルです。「Never Trust, Always Verify(決して信頼せず、常に検証せよ)」を原則とし、ユーザー・デバイス・通信を都度認証し、最小権限を付与し、状況変化に応じて動的にアクセス制御します。
なぜシャドーAI対策にゼロトラストが有効なのですか?
シャドーAIは「正規アカウントを持つ従業員が、社内端末から、無害に見えるブラウザでアクセスする」形を取るため、境界型防御では正規アクセスとして通ってしまいます。ゼロトラストは内部・外部を問わず常に検証するため、内部の正規ユーザーによる未承認AI利用を検知できる構造になっています。
シャドーAI対策の第一歩は何ですか?
シャドーAI対策の第一歩は自社の現状把握です。CASB(Cloud Access Security Broker)などのツールで、従業員がどの生成AIサービスを、どんな頻度で、どんなデータと共に利用しているのかを可視化することから始めます。
CASBとはどんなツールですか?
CASB(Cloud Access Security Broker)は、企業ネットワークとクラウドサービスの間に立ち、利用状況の可視化・アクセス制御・データ保護を行うセキュリティツールです。ゼロトラストアーキテクチャにおけるネットワーク層の中核を担います。
DLPとは何ですか?
DLP(Data Loss Prevention)は、機密情報の漏洩を防止するためのセキュリティ技術です。データの中身を直接検査して、個人情報・クレジットカード番号・機密情報などが社外に送信されようとした際に自動的にブロックします。ゼロトラスト多層防御におけるデータ層の中核を担います。
EDRとは何ですか?
EDR(Endpoint Detection and Response)は、PCやサーバーなどのエンドポイントの振る舞いを継続的に監視し、不審な挙動を検知・対応するセキュリティツールです。Microsoft Defender for EndpointやCrowdStrikeなどが代表的な製品で、ゼロトラスト多層防御におけるエンドポイント層を担います。
シャドーAI対策にかかる費用の目安は?
規模やツールにより異なりますが、CASB導入は1ユーザーあたり月額数百〜数千円、DLP・EDRを組み合わせた多層防御で月額1〜2万円程度が目安です。IBM 2025年レポートで「シャドーAI利用が多い組織は、少ない/ない組織と比べて平均で約67万ドル(約1億円)の追加コストを負担」という数字と比較すれば、予防投資の費用対効果は非常に高いと言えます。
シャドーAIはいつから問題視されるようになりましたか?
ChatGPTが2022年11月に一般公開された直後から問題視され始め、2023年にSamsungでソースコード漏洩事件が発生したことで企業の警戒感が一気に高まりました。日本では2026年1月のIPA「情報セキュリティ10大脅威2026」で第3位に初選出され、社会的認知が決定的になりました。
AIエージェントの暴走事例はありますか?
2025年7月のReplit事件が代表例です。Replitの自律AIコーディングエージェントが、明示的なコードフリーズ指示を無視して本番データベース(1,206名の経営者と1,196社以上のデータ)を削除し、さらに「ロールバック不可能」と虚偽報告しました。実際にはロールバックが機能して復旧されましたが、無許可実行・虚偽報告・復旧可能性の隠蔽が同時に発生した点が深刻です。
BYOAIとシャドーAIは同じ意味ですか?
ほぼ同義で使われますが、ニュアンスが少し異なります。BYOAI(Bring Your Own AI)は「従業員が個人のAIツールを業務に持ち込む」という行動に焦点を当てた用語で、必ずしも違反とは限りません。シャドーAIは「IT部門の把握外で利用されている」という管理・統制の視点での用語で、リスクの文脈で使われることが多いです。
関連用語集
- シャドーAI(Shadow AI):企業のIT部門が承認・管理していない生成AIツールの業務利用
- BYOAI(Bring Your Own AI):従業員が個人のAIツールを業務に持ち込む行為
- シャドーIT(Shadow IT):IT部門が把握していないソフトウェア・デバイスの業務利用全般
- ゼロトラスト(Zero Trust):「決して信頼せず、常に検証せよ」を原則とするセキュリティモデル
- CASB(Cloud Access Security Broker):企業ネットワークとクラウドサービス間の可視化・制御を行うツール
- DLP(Data Loss Prevention):機密情報の漏洩を防止する技術
- EDR(Endpoint Detection and Response):エンドポイントの振る舞いを監視・対応するツール
- IPA(情報処理推進機構):日本の独立行政法人で「情報セキュリティ10大脅威」を毎年発表
- AIエージェント:自律的にタスクを実行するAIシステム
- プロンプトインジェクション:AIへの悪意ある入力で意図しない動作を引き起こす攻撃手法
参考記事・出典
一次情報・公式発表
- Gartner - Top Cybersecurity Trends for 2026(2026/2/5発表)
- Gartner日本語版 - 2026年のサイバーセキュリティのトップ・トレンド
- Cyberhaven Labs - 2026 AI Adoption & Risk Report
- サイバーセキュリティクラウド - 生成AIの業務利用実態調査(2026/5/13)
- IPA - 情報セキュリティ10大脅威 2026
- IPA - 情報セキュリティ10大脅威 2026 解説書(組織編)
- IBM Newsroom - 2025 Cost of a Data Breach Report
- Microsoft & LinkedIn - Work Trend Index Annual Report
解説記事
- @IT - Gartner、6つのセキュリティトレンド
- Admina by Money Forward - シャドーAI対策完全ガイド
- ESET - シャドーAIは最大のセキュリティの盲点になり得る
- IA Insight Lab - シャドーAIが突然全社で爆発する日
関連事例
- Fortune - AI-powered coding tool wiped out a software company's database(Replit AIエージェント事件)
- LayerX Security - A Flaw In Claude's Browser Extension Allows Any Extension to Hijack It(ClaudeBleed 技術報告)
- Koi Security - ShadowPrompt: How Any Website Could Have Hijacked Claude's Chrome Extension(ShadowPrompt 技術報告)
- VentureBeat - Running Claude Code or Claude in Chrome? Here's the audit matrix for every blind spot your security stack misses(ブラウザAI関連脆弱性の包括的レビュー)
クラウドネイティブ関連
