社内にAIを展開するほど業務効率が高まる一方、「組織が気づいていない新たな攻撃面」が同時に生まれています。IPA(情報処理推進機構)は2026年1月、「情報セキュリティ10大脅威 2026」組織編で「AIの利用をめぐるサイバーリスク」を初選出・3位に位置づけました[1]。セキュリティを強化するはずのAIが、なぜ攻撃面になるのか。その実態と、既存のインシデント対応計画に何が足りないかを整理します。
AIは「守る側」だけではなく「新たな攻撃面」でもある
IPA 2026年10大脅威、AIリスクが初登場3位の意味
IPA「情報セキュリティ10大脅威 2026」組織編のランキングは次の通りです[1]。1位「ランサム攻撃による被害」(11年連続)、2位「サプライチェーンや委託先を狙った攻撃」(8年連続)、そして3位に今回初選出の「AIの利用をめぐるサイバーリスク」が入りました。AI特有のリスクが、社会的影響の大きい脅威として初めて認定されたことを示しています。
IPAのプレゼンスライドは、このリスクの主な論点として「許可なきAI業務利用による情報漏えい」「生成結果を鵜呑みにすることで生じる問題」「AIを悪用した攻撃の高度化・巧妙化」を挙げています[1]。いずれも、AIを日常的に使う組織全体が当事者となる問題です。
社内AIが生む3つのリスク経路
社内AI導入が攻撃面を広げる経路は大きく3つあります。第一は「従業員による意図せぬ情報漏洩」で、機密情報をAIツールに入力した結果のデータ流出リスクです。第二は「AIエージェント・MCPサーバー経由の侵入」で、社内システムと連携するAIのインターフェースが攻撃者の侵入口になります。第三は「シャドーAI(未承認ツール利用)」が作り出す管理外の通信経路です。
これら3経路に共通するのは、従来の境界型セキュリティでは対処できないという点です。外部からの攻撃を防ぐ設計は、社内から始まるリスクに対して機能しません。
見えていないリスク:シャドーAIとMCPサーバー
承認なき「個人AI」が作り出す盲点
2026年5月にサイバーセキュリティクラウドが実施した実態調査(会社員300人対象)では、回答者の67%が業務で生成AIを利用しており、その利用者のうち約15%が「企業管理外のシャドーAI」を使用していることが判明しました。同調査の生成AI利用者では、約60%が財務データ・顧客情報・契約書といった業務情報をAIに入力しており、約45%がAI利用ルールの有無すら把握していません[2]。
同調査では別項目として、生成AI利用者の35%が「ヒヤリとした経験がある」と回答しており、そのうち約14%は実際の問題に発展していました。また37%がAIの出力を確認・修正せずそのまま業務に使用しています[2]。シャドーAIの本質的な問題は、IT部門が把握できないデータフローを組織内に生み出す点にあります。把握できていないインシデントには、計画があっても対応できません。
MCPサーバーが開けた新しい攻撃の扉
AIエージェントと社内システムを連携する「MCP(Model Context Protocol)」の普及が、新たなリスクをもたらしています。Wizの「State of AI in the Cloud 2026」によれば、同調査では80%の環境にMCPサーバーが確認され、57%以上がセルフホスト型AIエージェントを展開していると報告されています[3]。AIはすでに実験段階を超え、業務インフラそのものになっています。
実際に確認されている攻撃として、「間接プロンプトインジェクション」があります。GitHub MCPサーバーの実証では、攻撃者がパブリックリポジトリに悪意あるプロンプトを含むIssueを投稿し、AIエージェントがそれを読み込んだ際にプライベートリポジトリ内のデータが漏えいするという攻撃が示されました[4]。また別系統の攻撃として「ラグプル」があり、最初は無害に見えるMCPサーバーが後から悪性の定義に書き換えられ、エージェントの動作を乗っ取るというものです[5]。MCPサーバーは導入後も継続的な監視が必要な攻撃面です。
旧来のインシデント対応計画では何が足りないか
AI起因インシデントに対応できない既存の計画
多くの組織のインシデント対応計画(IRP)の演習シナリオは、外部起点の攻撃を中心に組み立てられている場合が多く、社内のAI利用が起点となるインシデントへの対応が十分に想定されていないことがあります。「マルウェアが検出されたら」「不審なメールを受信したら」といった従来型シナリオが中心であれば、AI起因の事故への初動が遅れるリスクがあります。Wizの調査では81%のクラウド環境がマネージドAIサービスを利用し、80%以上の組織でAI IDE拡張機能を使う開発者がいます[3]。AIがここまで浸透している以上、IRPでもAI起因事故を明示的に扱う必要性は高まっています。
IPAも「AIの利用をめぐるサイバーリスク」の対策には、技術的な防御と並んで「利用ルールの整備と従業員への周知」が不可欠と指摘しています[1]。ところが同調査の生成AI利用者では約45%がルールの有無すら把握できていない状況です[2]。計画と現場の乖離が埋まらない限り、インシデントが起きても対応は後手に回ります。
再設計に必要な3つの追加項目
AI時代のインシデント対応計画に追加を検討すべき項目として、以下の3点を挙げます。
① AI利用ツールのインベントリ管理:どの部署が、どのAIツールを、どのデータと接続して使っているかを定期的に棚卸しします。シャドーAIの検出には、ネットワークトラフィックの監視と従業員への定期申告制度の組み合わせが有効です。
② MCPサーバー・AIエージェントの権限管理:AIエージェントに付与する権限を最小限に絞るゼロトラスト原則を適用します。MCPサーバーへの接続はホワイトリスト管理とし、想定外の大量データアクセスを検知するルールを設定します。
③ AI特有シナリオとエスカレーション基準の整備:「機密データをAIに誤入力した」「AIエージェントが想定外の外部通信を行った」といったAI固有のシナリオを計画に明記します。初動対応の担当者、エスカレーション先、証跡保全の手順を事前に定めておくことが重要です。
さいごに
「AIを導入すれば効率化もセキュリティも強化される」という期待は、現実の半分しか見ていません。IPA「情報セキュリティ10大脅威 2026」でAIリスクが初登場3位に入ったことは、AI固有のリスクへの対応が特定の先進企業だけの課題ではなくなったことを示しています[1]。
「AIを使う前提の組織設計」への切り替えが今まさに必要です。IRPは作成して終わりではなく、新しいAI技術が業務に組み込まれるたびに見直す「生きたドキュメント」として運用することが、AI時代のセキュリティの基本となります。
出典
- [1] 情報セキュリティ10大脅威 2026 / 解説書(組織編) / プレゼンスライド(組織編) – IPA 独立行政法人 情報処理推進機構
- [2] 生成AIの業務利用実態調査(2026年5月) – 株式会社サイバーセキュリティクラウド
- [3] State of AI in the Cloud 2026 – Wiz Research
- [4] GitHub MCP Exploited: Accessing private repositories via MCP – Invariant Labs
- [5] WhatsApp MCP Exploited: Exfiltrating your message history via MCP – Invariant Labs
この記事を書いた人
