生成AI・クラウド関連のデータポリシー違反の59%が規制対象の金融データ シャドーAIリスクは抑制が進むも、新たに個人用と企業用アカウントの使い分けリスクが顕在化
クラウドとAI時代に対応した最新のセキュリティとネットワーク技術で業界をリードするNetskope(NASDAQ: NTSK)の調査研究部門Netskope Threat Labsは、本日、金融サービス業界に関する最新のサイバー脅威レポートを発表しました。本レポートは、金融サービス業界の組織および従業員が直面している主要なサイバー脅威を過去13カ月間にわたり観測し、分析結果をまとめたものです。
図)金融サービス業界における生成AI使用状況:個人用アカウントと企業用アカウントの割合
金融サービス業界において生成AI(genAI)の導入が急速に進む中、機密性の高い金融データや顧客データが漏えいするリスクが高まっています。生成AI利用に関連するデータポリシー違反のうち、59%をこれら規制対象のデータが占めており、機密情報保護やコンプライアンス順守における課題が浮き彫りになっています。また、知的財産(20%)、ソースコード(11%)、パスワードおよびAPIキー(9%)も情報漏えいリスクの拡大に拍車をかけています。
生成AIは金融業界全体に普及しており、情報漏えいのリスクは一層深刻化しています。ユーザーの70%は生成AIツールを積極的に活用しており、ユーザーの97%は生成AI機能を間接的に組み込んだアプリケーションを利用しています。さらに、94%のユーザーがユーザーデータをトレーニングに使用する生成AIアプリケーションを利用しています。
シャドーAIの抑制が進む一方、個人・企業間での使い分けリスクが増加
シャドーAI対策においても、組織の取り組みは着実に進んでいます。業務における個人の生成AIアカウントを利用するユーザーの割合は過去1年間で76%から36%へと大幅に低下した一方で、組織が管理する生成AIソリューションの導入率は33%から79%へと増加しました。ただし、個人用と企業用の生成AIアカウントを使い分けるユーザーの割合は9%から15%に増加しており、機密性の高い金融データが管理されていない環境とセキュアな環境の間で移動するリスクが高まっています。
生成AIのエコシステムも多様化しています。ChatGPTは76%の組織に導入されており、生成AIアプリの中で引き続き最も広く利用されています。続くGoogle Geminiの利用率は、68%となりました。新興ツールも急速に普及しており、Google NotebookLMの導入率は39%、AssemblyAIは2025年6月の1%から37%へと急上昇しており、特化型AI機能への需要の高まりを反映しています。一方、セキュリティおよびコンプライアンス上の懸念からZeroGPT(46%)、DeepSeek(44%)、PolitePost(43%)などは多くの企業でブロック対象となっており、リスク管理への意識の高さが伺えます。
個人用クラウドアプリおよびクラウドを悪用したマルウェアにも注意が必要
生成AI以外のリスクとして、職場における個人用クラウドアプリケーションやオンラインアプリケーションの利用が、データセキュリティ上の脅威となっています。個人用アプリ使用時のデータポリシー違反の65%は規制対象データが原因で、従業員が企業の管理外の環境で業務を行う際に、機密性の高い金融情報が特に漏えいしやすいことを示しています。金融サービス業界において、職場で利用されている主な個人用アプリケーションは、LinkedIn(92%)、Google Drive(84%)、ChatGPT(77%)です。さらに、攻撃者は信頼性の高いクラウドプラットフォームをマルウェアの配布に多く悪用しています。GitHubは現在、マルウェアの配布に最も多く悪用されているプラットフォームとなっており、11%の組織に影響を与えています。Microsoft OneDriveが8%でこれに続きます。攻撃者は不審なドメインではなく正規のクラウドインフラを利用することで、悪意ある活動を通常の通信に紛れ込ませることができるため、脅威の検知が著しく困難になっています。
Netskope Threat LabsのディレクターであるRay Canzaneseは次のように述べています。
「金融機関が生成AIの導入を加速させるにつれ、機密データの漏えいにつながる経路も増加しています。組織管理ツールへの移行は前向きな一歩である一方で、今回の調査結果から、特に個人利用と企業利用が重複する領域で、リスクが依然として存在していることが明らかになっています。リスクを軽減するためには、多層的なアプローチが必要です。具体的には、ウェブおよびクラウド通信全体を検査してマルウェアを遮断する、不要なアプリをブロックする、データ損失防止(DLP)を活用するなどして機密情報を保護する、といった多層的なアプローチが不可欠です。また、リモートブラウザ分離(RBI)などの技術も、比較的高リスクのウェブサイトに安全にアクセスするうえで、重要な役割を果たします」
調査方法:本レポートの情報は、世界各地の金融サービス業界におけるNetskope顧客の一部に関する匿名化された使用データに基づいており、2025年2月1日から2026年2月28日までの間に、事前に承認を得て収集されたものです。
レポートの全文については、こちらをご覧ください。
Netskopeについて
Netskope(NASDAQ: NTSK)は、クラウドおよびAI時代の最新のセキュリティとネットワーク技術で業界をリードしています。人、デバイス、データに加え、エージェント、アプリケーション、ツール、LLMを含むAIエコシステム全体に対して、最適化されたアクセスとリアルタイムのコンテキストベースのセキュリティを提供し、セキュリティチームとネットワークチームの両方のニーズに応えることができます。Fortune 100企業の30社以上を含む数千社のお客様が、Netskope Oneプラットフォーム、ゼロトラストエンジン、そして強力なNewEdgeネットワークを信頼し活用しています。これらのソリューションにより、あらゆるクラウド、AI、SaaS、ウェブ、プライベートアプリケーションの利用状況を可視化し、セキュリティリスクの低減とネットワーク性能の向上を実現しています。
詳しくは、netskope.com/jpをご覧ください。
本件に関する報道関係者からのお問い合わせ先
Netskope 広報事務局 (合同会社NEXT PR内)
TEL: 03-4405-9537 FAX: 03-6739-3934
E-mail: netskopePR@next-pr.co.jp