KnowBe4 Japanは3月31日、日本国内の企業・団体に勤める従業員を対象に実施した「AIエージェントのセキュリティへの影響に関する意識調査」の結果を発表した。主な調査結果の概要は以下のとおり。
・AIエージェントの利用状況と活用意向:回答者の40%が自組織でAIエージェントをすでに導入しており、今後の利用拡大を見込む回答は70%(「そう思う」36%、「ややそう思う」34%)に上る。昨年の生成AI調査では導入率が62%、拡大見込みが73%だったが、AIエージェントは生成AIと比較してより専門性・自律性が高いツールであることから、導入はより慎重に進んでいる状況がうかがえる。
・セキュリティリスクの認識と懸念:AIエージェントの利用に伴うセキュリティリスクを「大きい」と認識している割合は68%(「そう思う」27%、「ややそう思う」41%)。特に懸念として多く挙げられたのは「機密情報の漏洩」が最多で、次いで「著作権などの侵害」「ハルシネーション(誤情報の生成)」という、いずれも人の判断や操作に起因するヒューマンリスクが上位を占めた。
・リスク理解の現状:AIエージェントを利用する際のセキュリティリスクを「従業員が理解している」と答えた割合は合計30%(「そう思う」6%、「ややそう思う」24%)にとどまった。昨年の生成AI調査(32%)と比べてほぼ横ばいで、AIの形態が変わっても「組織としてのリスク理解」が追いついていない現状が続いている。
・セキュリティ責任の所在:AIエージェントを利用する際のセキュリティへの責任が、経営者、IT/セキュリティ部門、AIエージェントを使う従業員の「全員にある」と考える回答者はわずか25%にとどまった。
・AI悪用の脅威認識:AIを悪用したサイバー攻撃について、「脅威に感じる」と回答した割合は合計83%(「そう思う」46%、「ややそう思う」37%)で、昨年の74%から9ポイント上昇した。深刻化が懸念される攻撃として「フィッシングメール/SMS」「ランサムウェア」「ビジネスメール詐欺(BEC)」がほぼ同数で上位に並び、ソーシャルエンジニアリング系攻撃のAIによる高度化への警戒感が強まっている。
・強化すべき対策:AIエージェント利用に伴うリスク低減策として最も多く選ばれたのは「セキュリティ教育・リテラシー教育の実施」、次いで「利用規定〔ポリシー〕の策定と周知」「エージェントへのアクセス制御の強化」だった。また、AIを悪用したサイバー攻撃への対応策も「セキュリティ訓練/教育」が最多で、技術的対策にとどまらず「人」へのアプローチを重視する傾向は今年も変わらなかった。
■調査から見えた3つの大きな課題
・普及の加速に追いつかない組織教育:AIエージェントの利用拡大は確実視されているが、従業員のリスク理解度は30%と、前年(32%)から改善が見られません。技術の進化スピードに対し、組織の教育体制が取り残されている。
・「ガバナンスの空白」が生む不測の事態への脆弱性:AIエージェント利用の責任が「全員にある」と回答した層はわずか4分の1(25%)。役割に応じた責任分散の議論が不足しており、AIが自律的に動く中で事故が起きた際、対応の遅れや特定部署への過度な負担を招く「ガバナンスの空白」が生じている。
・技術が進化しても、リスクの核心は「人」:懸念されるリスクの上位には「機密情報漏洩」「著作権侵害」「ハルシネーション(もっともらしい嘘)」が並ぶ。AIがどれほど自律化しても、それを利用・管理する「人」の判断が最大の防御層(ヒューマン・ファイアウォール)であることに変わりはない。
関連リンク