生成AIのセキュリティリスク──企業が押さえるべき6つの脅威と対策

生成AIの企業導入が進む一方で、セキュリティ懸念が導入を阻む要因の筆頭に立っている。コーレ株式会社が2026年1月に実施した505名対象の調査によると、生成AI活用の課題として32.5%が「セキュリティ」を挙げた。OWASPによると、プロンプトインジェクションは本番環境のAIシステムの73%以上で検出されている（2026年6月時点）。本記事では、企業が直面する6つの脅威と、それぞれに対応する具体的な対策を整理する。

1. プロンプトインジェクションはOWASP LLM脅威ランキング1位（攻撃成功率50〜84%）──完全な防御策は存在せず、多層防御が前提になる
2. 従業員の98%の組織で未承認AIツールが使われている（シャドーAI）──承認済みツールの提供で未承認利用が89%減少したとの報告あり
3. EU AI Act の高リスクAI規制は2026年8月2日に適用開始──日本企業もEU市場向けサービスがあれば対象になる

1. プロンプトインジェクション──AIへの「命令の上書き」

脅威の内容: 攻撃者がAIシステムへの入力（プロンプト）に悪意ある命令を紛れ込ませ、本来の動作を逸脱させる手法。OWASPはこれをLLMアプリケーション脅威の第1位（LLM01:2025）にランクしている。

2026年時点の状況: Help Net Securityの報道（2026年6月11日）によると、プロンプトインジェクションは本番環境のAIセキュリティ障害の主因であり続けている。Securance社の報告では、攻撃成功率はシステム構成と試行回数によって50〜84%。Microsoft Copilot（CVSS 9.3）、GitHub Copilot（CVSS 9.6）、Cursor IDE（CVSS 9.8）で実際にCVEが報告されている。2026年3月にはUnit 42が商用プラットフォームにおける初の大規模間接プロンプトインジェクション攻撃を記録した。

対策:

• 入力検証レイヤーの設置: ユーザー入力とシステムプロンプトの分離を徹底する。入力をサニタイズし、既知の攻撃パターン（命令上書き・ロールプレイ誘導）をフィルタリングする
• 最小権限の原則: AIシステムがアクセスできるデータ・APIの範囲を業務上の必要最小限に絞る。仮にインジェクションが成功しても被害範囲を限定できる
• 出力の検証: AI出力を業務プロセスに反映する前に、ルールベースのチェックまたは人間のレビューを挟む

OWASPによれば、フロンティアモデル（OpenAI・Google・Anthropic）であっても完全な防御は実現していない。単一の対策でなく多層防御が前提になる。

2. データ漏洩──従業員が3日に1回、機密情報をAIに入力している

脅威の内容: 従業員が業務で生成AIを利用する際、顧客情報・ソースコード・社内文書などの機密データをプロンプトに含めてしまうリスク。Cyberhaven社の調査によると、従業員は平均して3日に1回、機密情報をAIツールに入力している。

2026年時点の状況: Practical DevSecOpsの報告（2026年）によると、企業のAI関連データ漏洩の60%以上が、侵害されたインフラではなく「従業員が公開AIツールに入力した内容」に起因している。外部AIのAPIは、明示的に設定しない限り送信内容をログに記録し、モデル訓練に利用する可能性がある。

対策:

• 入力禁止情報の明文化: 「個人情報」「ソースコード」「未公開の財務データ」など、AIツールに入力してはならない情報カテゴリをポリシーとして明文化する
• DLP（データ損失防止）ツールの導入: AIへの送信内容をリアルタイムで監視し、機密情報を含むリクエストをブロックまたは警告するソリューション（Cyberhaven、Nightfall AI等）を導入する
• オンプレミス/プライベートクラウドでのモデル運用: 機密性が高い業務では、外部APIを使わずプライベート環境でモデルを動かす選択肢を検討する

3. ハルシネーション（幻覚）──AIが「もっともらしい嘘」を出力する

脅威の内容: LLMが事実に基づかない情報をあたかも正しいかのように生成する現象。Gartner社はハルシネーションによる企業損失を1億ドル以上と試算している。

2026年時点の状況: 汎用的な質問ではハルシネーション率が1%未満まで下がったモデルもある（OpenAI GPT-4oで0.7%）一方、領域特化ではリスクが残る。法務領域で6.4%、医療領域で10〜20%、RAGベースの法務ツールでは33%との報告がある（SQ Magazine、2026年）。ECRI（米国の医療技術評価機関）は「AIチャットボットの誤用」を2026年の医療技術ハザード第1位にランクした。

企業への影響として、AI利用者の47%がハルシネーションに基づく情報で業務上の意思決定を行った経験があると回答している（Gitnux、2026年）。金融分野ではAIの意思決定の42%がハルシネーションを理由に覆されたとの報告もある。

対策:

• RAG（検索拡張生成）の導入と検証: 社内データソースを参照させることで事実に基づいた回答を促す。ただしRAG自体にもハルシネーションリスクがある（法務RAGツールで33%）ため、検索結果の品質管理が前提になる
• 出力の人間レビューを業務プロセスに組み込む: 意思決定に使うAI出力は、担当者が一次ソースと突合する手順を明文化する
• ドメイン別のリスク評価: 法務・医療・財務など誤情報の影響が大きい領域では、AI出力を「下書き」として扱い、専門家の確認を必須にする

4. シャドーAI──組織の86%がAIデータの流れを把握できていない

脅威の内容: IT部門の承認なく従業員が個人判断で外部AIツールを業務利用すること。The Hacker News（2026年4月）の報道によると、98%の組織で未承認AIツールが使われている。Vectra AIの報告では、86%の組織がAIデータの流れを可視化できていない。

2026年時点の状況: 平均的な企業には1,200の未承認アプリケーションが存在し、47%の従業員が企業の管理外である個人アカウントで生成AIプラットフォームを利用している（Optro、2026年）。IBMの2025年調査によると、AIガバナンスポリシーを整備している組織は37%にとどまる。Gartner社は2030年までに40%以上の企業がシャドーAIに起因するセキュリティまたはコンプライアンスインシデントを経験すると予測している。

対策:

• 承認済みツールの提供: 従業員が使いたいと思う品質のAIツールを公式に提供する。Vectra AIの報告によると、承認済みツールの提供により未承認利用が89%減少した
• 利用状況の可視化: CASB（Cloud Access Security Broker）やSWG（Secure Web Gateway）で、AI関連サービスへのアクセスをモニタリングする
• 利用ガイドラインの策定と教育: 「何を使ってよいか」「何を入力してはならないか」を具体的に示したガイドラインを策定し、定期的に研修を実施する

5. データポイズニング／サプライチェーン攻撃──訓練データを汚染する

脅威の内容: AIモデルの訓練データや学習パイプラインに悪意あるデータを混入させ、モデルの出力を操作する攻撃。NeuralTrustの報告（2026年）によると、攻撃対象はデータだけでなく、分散学習時のモデルの重みにまで拡大している。

2026年時点の状況: 多くの企業がサードパーティのデータセットやAPIに依存しており、1つの汚染されたデータセットが、それを参照する何千ものアプリケーションに影響を及ぼしうる（SNS India、2026年）。RedFoxSec社の報告（2026年）では、オープンソースリポジトリやクラウドパイプラインを標的としたサプライチェーン上流への攻撃が増加傾向にある。

対策:

• データの出所と品質の検証: 訓練データ・ファインチューニングデータの提供元を記録し、異常値や不自然なパターンを継続的に監視する
• モデルの動作監視: デプロイ後のモデル出力を継続的にモニタリングし、ドリフト（出力傾向の変化）を検出する仕組みを導入する
• サプライチェーンの棚卸し: 使用しているAIモデル・データセット・APIの一覧を作成し、各コンポーネントの提供元・更新頻度・ライセンスを管理する（SBOM/AI BOMの考え方）

6. 規制対応リスク──EU AI Actの適用は2026年8月2日

脅威の内容: AI関連の法規制が世界各地で施行段階に入っており、対応が遅れた企業は罰則・市場アクセス制限を受けるリスクがある。

2026年時点の状況: Holland & Knight（2026年4月）の報告によると、EU AI Actの高リスクAI規制は2026年8月2日に適用開始される。透明性義務（生成AIコンテンツの識別可能性、ディープフェイクの表示義務など）も同時期に発効する。EU域外の企業であっても、EU市場向けにAIサービスを提供している場合は対象になり、EU域内に認定代理人の設置が義務づけられる。

OWASPによると、プロンプトインジェクションだけで少なくとも7つの主要フレームワーク（OWASP、MITRE ATLAS、NIST、EU AI Act、ISO 42001、GDPR、NIS2）にマッピングされる。

日本では、2026年6月時点でAI固有の包括規制法は施行されていないが、個人情報保護法・不正競争防止法・著作権法など既存法の適用がAI利用にも及ぶ。総務省・経済産業省のAI事業者ガイドライン（2024年4月公表）が実務上の参照基準になっている。

対策:

• 規制マッピングの実施: 自社のAI利用が各法域（EU AI Act、日本の既存法、業界規制）のどの条項に該当するかを棚卸しする
• リスク分類の社内基準策定: EU AI Actの4段階リスク分類（禁止・高リスク・限定リスク・最小リスク）を参考に、自社AI利用のリスクレベルを評価する
• 記録・文書化の体制整備: AI利用の目的・データソース・モデル選定理由・リスク評価結果を文書化する。規制当局への説明責任を果たすために、ログの保存期間も設定する

まとめ：対策の優先順位

6つの脅威すべてに同時に対応するのは現実的でない。以下の順序は「被害の即時性 × 対策の実行しやすさ」で整理したもの（筆者の判断に基づく）。

1. シャドーAIの可視化と承認ツール提供（コスト低・効果大）
2. 入力禁止情報のポリシー策定と従業員教育（データ漏洩対策の基盤）
3. AI出力の人間レビュープロセスの明文化（ハルシネーション対策）
4. プロンプトインジェクション対策の多層実装（技術的対応）
5. 規制マッピングと文書化（EU AI Act 2026年8月の期限）
6. サプライチェーンの棚卸しとモデル監視（中長期の取り組み）

---

出典・但し書き

出典は本文中に帰属として記載。以下に一覧を再掲する。

• コーレ株式会社「生成AI導入に関する調査」505名対象、2026年1月。セキュリティ懸念32.5%（元の依頼では33.5%と記載されていたが、一次ソースでは32.5%）
• OWASP Top 10 for LLM Applications 2025（LLM01: Prompt Injection）
• Help Net Security「Prompt injection still drives most agentic AI security failures in production」2026年6月11日
• Securance「Prompt injection: the OWASP #1 AI threat in 2026」
• Cyberhaven「Top Generative AI Security Risks In The Enterprise」
• A10 Networks「Top 9 Generative AI Security Risks in 2026」
• The Hacker News「The Hidden Security Risks of Shadow AI in Enterprises」2026年4月
• Vectra AI「Shadow AI explained: risks, costs, and enterprise governance」
• SQ Magazine「LLM Hallucination Statistics 2026」
• Gitnux「AI Hallucinations Statistics 2026」
• ECRI 2026 Top 10 Health Technology Hazards Report
• NeuralTrust「AI-Driven Supply Chain Attacks: The New Cyber Risk in 2026」
• SNS India「Data Poisoning: How Attackers Are Corrupting Enterprise AI Models in 2026」
• RedFoxSec「AI Security in 2026: Threats Enterprises Aren't Ready For」
• Holland & Knight「U.S. Companies Face EU AI Act's Possible August 2026 Compliance Deadline」2026年4月
• IBM AI Governance Survey 2025
• Gartner（ハルシネーション損失試算・シャドーAI予測）
• Practical DevSecOps「AI Security Statistics 2026」
• LAC「生成AIを安全に使うには？」2026年1月
• 総務省・経済産業省「AI事業者ガイドライン」2024年4月公表

但し書き（2026年6月20日時点）:

• 各統計値は調査実施者の方法論・対象・定義に依存する。異なる調査間で数字を直接比較する際は前提条件の違いに注意が必要
• OWASPの攻撃成功率（50〜84%）やCyberhaven社の「3日に1回」等の数字は、各社の調査・監視対象のバイアスを含む可能性がある
• EU AI Actの適用範囲・罰則の解釈は、施行後の運用指針や判例で変わりうる。本記事は法的助言ではない
• 日本のAI規制環境は流動的であり、本記事の記載は2026年6月20日時点の公開情報に基づく
• 「まとめ」の優先順位は筆者の判断であり、企業の業種・規模・AI利用の成熟度によって適切な順序は異なる