セキュリティトレーニングなどを展開するKnowBe4 Japanは4月17日、生成AIの活用とサイバーセキュリティへの影響に関する意識調査の結果を発表した。生成AIが企業活動に不可欠な存在になりつつある一方で、セキュリティリスクへの対処が追いついていない現状が浮き彫りになったとしている。
KnowBe4 Japanでは、生成AIのサイバーセキュリティへの影響をどのように考えているか実態を把握する目的で、生成AIの利用状況や利用者のリスク、その対策について意識調査を実施。2025年1月21日〜3月17日に、日本国内の企業・団体に勤務する従業員を対象としたオンライン調査で364人から回答を得た。
その結果、生成AIの急速な普及に対し、大きな期待が寄せられる一方で、情報漏えいや著作権侵害といったセキュリティリスクへの懸念も広がっていることが分かった。また、このような現状から、セキュリティ対策において「人」を中心とした組織文化を構築する必要性が明確になったと考察している。
調査結果の主な内容は次の通り。
調査結果の詳細(提供:KnowBe4 Japan)
※クリックすると拡大画像が見られます
- 生成AIの利用状況と活用意向:62%が自組織で生成AIを既に導入しており、73%が今後の利用拡大を見込んでいる。従業員数規模で見ると1000人以上の組織では生成AIを利用している割合が80%であるのに対して、1000人未満の組織では生成AIの利用が46%にとどまっており、小規模組織における今後の利用拡大の伸びしろが大きいことが分かった
- セキュリティリスクの認識と懸念:70%が生成AIにセキュリティリスクを感じており、「機密情報の漏えい」や「著作権侵害」といった人に起因する「ヒューマンリスク」を主要な懸念として挙げている
- リスク理解の現状:生成AIを利用する際に自組織の従業員がリスクを「理解している」と回答したのは32%で普及との間に意識差が生じている。1000人以上の組織では「従業員がリスクを理解している」と答えたのは41%だった一方、従業員数1000人未満の組織では24%と全体平均を下回っていた。また、生成AIを利用していない人はリスク判断ができない傾向もみられたことから、生成AIを安全に利用するためにも、組織全体で取り組む意識改革は今後の大きな課題といえる
- セキュリティ責任の所在:当事者意識を問う設問において、セキュリティの責任主体は「組織全体で取り組む課題」として認識されている。特に1000人以上の大規模組織では全体の傾向と同様に「組織に携わる全員の責任」と捉えていたが、1000人未満の小規模組織では「経営者が責任を負うべき」と捉える傾向があった。また、役職別に見ると経営者、役員、本部長は経営サイドにセキュリティの責任があると考えており、部長以下の一般社員は、自分自身やIT/セキュリティ部門に責任があると捉える傾向があった
- AI悪用の脅威認識:生成AIを悪用したサイバー攻撃について、74%が「脅威」と感じており、「フィッシング」や「ビジネスメール詐欺」などソーシャルエンジニアリング系攻撃の高度化が強く懸念されている
- 強化すべき対策:脅威への対策としては、ほぼ全ての業種において「セキュリティ訓練/教育」を強化すべきと回答しており、技術もさることながら「人」に対するアプローチを重視する傾向が見られた
KnowBe4 Japanは、生成AIの急速な能力拡大と普及により、ヒューマンリスクへの対応は今後ますます重要な課題となると指摘。その上で、「人のミス=ヒューマンエラー」であることを組織の課題として、恐れず正しくアプローチするためには、セキュリティを重視する風土や気風など「セキュリティ文化の醸成」が不可欠になると提案している。
