利用SaaSに潜む「隠れAI」、3社に1社は未確認。半数以上がAIに起因したセキュリティ事故を経験

株式会社アシュアード（本社：東京都渋谷区、代表取締役社長：大森 厚志）は、従業員1,000名以上の大手企業の情報システム部門所属の方300名を対象に、AIの業務利用とセキュリティ評価の実態に関する調査を実施しました。その結果、業務で利用するSaaSの一部の機能でAIが活用されているかを確認している企業は65.5%にとどまり、約3社に1社が「隠れAI」によるリスクに晒されている可能性があることが判明しました。さらに、SaaSを利用する企業のうち、半数以上の58.5％が、AIまたはAIを活用したSaaSに起因（可能性含む）する情報漏えい等のセキュリティインシデントを経験していることも明らかになりました。

※本調査を引用される際には、「アシュアード調べ」と必ずご記載ください。
※本リリースでは、ChatGPTやGeminiのようなAIを主体としたサービスを「AIサービス」、一部の機能にAIを活用しており、SaaS利用者がその事実を認識しにくい、または認識できないサービスをSaaSの「隠れAI」と定義・記載しています。

①AIサービスの利用およびセキュリティ評価実態

大手企業の約8割がAIサービスを利用。導入にあたり約7割が「セキュリティ」を重視

ChatGPTやGeminiのようなAIサービスの業務利用について、48.3％が「全社的に利用を許可・推奨」、29.7％が「一部の部署・社員のみ利用を許可」と回答し、合わせて78％でAIサービスを業務で利用していることが明らかになりました。AIサービスを導入するうえで重視する要素については 、「セキュリティ」を選択した人が74.4％と最多となりました。企業活動におけるAIの活用が広く浸透する一方で、多くの企業がセキュリティ面での安全性を考慮した上で導入を推進していることが伺えます。

約9割がAIサービスのセキュリティ評価に課題。約半数が「評価基準」「専門人材不足」を指摘

AIサービスのセキュリティ評価については、「新規契約時・契約後も定期的に行っている」が79.9%、「新規契約時のみ行なっている」が14.1％で、合わせて94％がセキュリティ評価を実施しています。しかしその一方で、89.5％がAIサービスのセキュリティ評価において課題を抱えていることが明らかになりました。具体的には、「AIのセキュリティを評価できる専門人材が不在または不足している」が50%、「AIに対する評価基準が不明瞭・確立されていない」が49.1%と、いずれも約半数の企業が課題として挙げました。

②SaaSの「隠れAI」リスク実態

SaaSの「隠れAI」の存在は認識するも、3社に1社は業務で利用するSaaSのAI活用有無を確認せず

AIの業務利用におけるセキュリティリスクは、AIを主体としたサービスに限らず、一部の機能やサービスでAIを活用しているSaaSの利用時にも存在します。AIとは無関係に見えるサービスでも、実はAIを利用している「隠れAI」の場合、リスクに気付くことが難しく、注意が必要です。

実際に、Assuredが過去にセキュリティ評価を実施したSaaSの42.8％で、既存のAIを利用または自社でAIを開発していました。しかし、これらのサービスのうち、利用規約の明示、学習データの収集・利用ルールを策定しているのは、いずれも約半数にとどまっていることが明らかになっています（参照：約4割のSaaSがAIを利用または開発。SaaSの「隠れAI」に注意（Assured調査））。

この結果を受けて、本調査では、業務で利用するSaaSの一部の機能でAIが活用されている可能性があることを認識しているかどうかを聞いたところ、認識している企業は84.9%に上りました。しかし、実際に「AI機能の有無を確認しているか」という問いに対して「はい」と答えたのは65.5%にとどまり、約3社に1社はAI活用の有無を未確認のまま利用している実態が明らかになりました。

SaaS事業者の情報提供不足が課題。SaaS事業者から、AI機能について十分な情報が提供されていると感じる企業は4割未満

SaaS事業者からAI機能に関する情報（概要、利用データ、セキュリティ対策など）が十分に提供されていると感じている企業は37.3%に留まり、43.3%が「不足している」と回答しました。また、AI機能の有無を確認する際の方法として、「サービス事業者（プロバイダー）に直接確認する」が58.1%で最多でした。続いて、「公式サイト・利用規約を調べる」が47.5％、「第三者評価サービスを利用する」が26.8％でした。

半数以上が、AIおよびAIを活用したSaaSの業務利用に起因する、あるいはその可能性が疑われるセキュリティインシデントを経験

AIおよびAI活用SaaSの利用に起因する、またはその可能性が疑われるセキュリティインシデントを経験したことがあると回答した企業は58.5%と、半数以上に達しました。特に多かったのは、「不適切なデータ利用」（29.2%）、「機密情報の漏洩」（26.8%）、「データの改ざん・破壊」（24.6%）でした。2社に1社以上がインシデントを経験していることから、SaaSに対する適切なセキュリティ評価を実施したうえで、AIを主体としたサービスに限らず、「隠れAI」も含めて、利用企業として実施すべきセキュリティ対策（アクセス制限や入力情報の制限等）を講じることの重要性が浮き彫りになりました。

株式会社アシュアード Assured事業部 セキュリティエキスパート／セキュリティサービス部 部長 公認情報システム監査人（CISA） システム監査技術者　真藤 直観 コメント

今回の調査結果は、多くの企業がAIのセキュリティリスクに晒されている現状を示しています。AIの利便性は疑うところがなく、より広範囲に利用が拡大するものと考えています。SaaSはこうした技術と親和性が高いため、サービス提供側、サービス利用側の双方がAIの組み込みを前提としたリスク管理が求められる段階にきています。特に、サービス提供側、サービス利用側双方が安全な活用ができる環境にむけて、提供側での十分な情報提供、利用者側での適切なセキュリティ評価、そして両者でセキュリティ対策を行うことが不可欠です。

しかしながら、前回発表したAssured独自データの調査結果では、約4割のSaaSがAIを利用または開発しているなか、利用規約の明示、学習データの収集・利用ルールを策定しているサービスはいずれも約半数に留まりました。さらに、AIを利用または開発しているサービスのうち約4割が、AIの品質管理、およびセキュリティ対策を実施していないことも明らかになっています。

これらの背景が、本調査で明らかになった、大手企業の半数以上で発生しているAIに起因したセキュリティインシデントに繋がっていると考えられます。

今後もAssuredは、企業が安心してAIおよびAIを活用したSaaSを利用できるよう、「隠れAI」も含めたSaaSのセキュリティリスクを可視化するサービスを提供してまいります。

【クラウドサービスのセキュリティ信用評価「Assured」について】

「Assured」は、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。セキュリティの専門家による第三者評価の結果をプラットフォーム上で共有管理することで、信頼できる評価情報を誰もが簡単に入手できる、これまでにないセキュリティ評価の仕組みを提供します。2025年現在、金融機関150社を含む1,000社以上の企業に導入され、クラウドサービスの安心・安全な活用促進を支えています。

URL：https://assured.jp/

X：https://twitter.com/AssuredJP

【株式会社アシュアードについて】

「信頼で、未知を拓く。」をミッションとし、企業のセキュリティ対策を支援するサービスを運営。産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開するVisionalグループにおいて、サイバーセキュリティ領域を担い、脆弱性管理クラウド「yamory（ヤモリー）」、クラウドサービスのセキュリティ信用評価「Assured（アシュアード）」、取引先企業のセキュリティ信用評価「Assured企業評価」を展開。インターネットですべてが繋がる社会において、信頼から新たな繋がりを作り、新しい可能性を社会に生み出していくことを目指す。

URL：https://assured.inc

【株式会社アシュアード 採用情報】

「信頼で、未知を拓く。」

デジタル化が進む社会において、「信頼」を巡る課題を解決するアシュアード。

ともに未来をつくる仲間を、募集しています。

[Assured 採用情報] https://assured.inc/careers/assured

[yamory 採用情報] https://assured.inc/careers/yamory