国産サイバーセキュリティ企業のChillStackは、AIを組み込んだ自社サービスのセキュリティ対策における決裁者を対象に『AIセキュリティ対策に関する実態調査』を実施し、188名から得た回答を発表した。
また、同調査ではAIセキュリティ対策を自社で対応する層を「内部実施層」、外部へ委託する層を「外部委託層」と定義し、それぞれの体制における現状や課題の違いを比較している。
ガイドライン認知率83.0%、「よく理解している」内部実施層は外部委託層の2倍以上
総務省が2026年3月に公表した『AIセキュリティ技術的対策ガイドライン』の認知度を尋ねたところ、「よく理解している」と「なんとなく理解している」を合わせると83.0%にのぼる結果に。対策の主体が自社か外部かによって、担当者のガイドライン理解度に大きな差があることが分かったという(n=188)。

ガイドラインを理解していても「対策済み」は3割、外部委託層は遅れが顕著
ガイドラインを理解している層に対し、自社の対策に変化があったかを尋ねたところ、「対策を見直し、すでに反映済み」と回答したのは30.8%という結果に。内部実施層では37.5%が反映済みと回答した一方、外部委託層では17.3%にとどまり、対応の遅れが顕在化していることが分かったとしている(n=156/ガイドラインを理解している人)。

リリース前対策「不十分」は全体で約8割
リリース前のセキュリティ対策が十分に実施できているか尋ねたところ、「十分に実施できている」は20.2%にとどまる結果に。「概ね実施できているが、十分とは言えない」「実施はしているが、不十分だと感じている」「ほとんど実施できていない」を合わせると、何らかの不十分さを感じている層は約8割にのぼったとのことだ(n=188)。

リリース前対策が不十分な理由1位は「コスト・リソース不足」
リリース前の対策が不十分な理由を尋ねたところ、内部実施層・外部委託層ともに「コスト・リソースが不足している」が最多に。2位以下を見ると、内部実施層では「社内にセキュリティ知見を持つ人材がいない」が41.8%、「対策すべき項目が多く優先順位がつけられない」が35.2%と続いた(n=91/リリース前対策が不十分な人)。

一方、外部委託層では「対策すべき項目が多く優先順位がつけられない」が33.9%、「何をもって十分とするかの基準がわからない」が32.2%と続いた(n=59/リリース前対策が不十分な人)。
リソース不足は共通課題でありながら、内部実施層では人材面の課題が、外部委託層では判断基準の不明確さが、それぞれ上位に表れる結果となった。
リリース前対策、1位「入力検証・フィルタリング」2位「不正指示への耐性設定」3位「出力検証・フィルタリング」
リリース前に実施しているセキュリティ対策を尋ねたところ、「入力プロンプトの検証・フィルタリング」が46.8%で最も多く、「システムプロンプトによる不正な指示への耐性設定」が45.7%、「出力内容の検証・フィルタリング(ガードレールの設置)」が45.2%と続いた(n=188)。

リリース後の定期モニタリングの実施率:内部実施59.2%・外部委託19.1%
リリース後の定期的なセキュリティモニタリングやリスク評価の実施状況を尋ねたところ、「定期的に実施している」と回答したのは内部実施層が59.2%だったのに対し、外部委託層では19.1%にとどまる結果に。外部委託層ではリリース後の継続的な管理が手薄になりやすい実態がうかがえるとしている(n=120/内部実施層、n=68/外部委託層)。

<定期モニタリングを実施していない理由(内部実施層)/一部抜粋>
- コストをかけるほどのメリットや対価を感じないため
- 実務に影響を出さない形で、定期診断を計画・調整する体制ができていない
<定期モニタリングを実施していない理由(外部委託層)/一部抜粋>
- 運用に落とし込むための効率的な体制や、業務フローが構築できていない
- 社内規定がない
- コスト負担と、社内の人員・リソース不足がネック
外部委託層の32.4%がベンダーの対策内容を「把握できていない」
外部委託層に対し、ベンダーが実施した対策の内容を把握しているか尋ねたところ、「あまり把握できていない」が26.5%、「ほとんど把握できていない」が5.9%と、合わせて32.4%が対策内容を把握できておらず、委託後の管理がブラックボックス化している実態が浮き彫りになったとのことだ(n=68/外部委託層)

ベンダーの対策内容を把握できない理由は「時間・リソース不足」が最多
ベンダーの対策内容を十分に把握できていない理由を尋ねたところ、「確認する時間・リソースがない」が31.8%で最も多く、「社内に内容を判断できる人材がいない」が27.3%、「ベンダーからの報告・説明の機会が少ない」が27.3%と続いた。社内のリソース不足とベンダーとの連携不足が重なり、把握できない状況を生み出していることがうかがえるという(n=22/対策内容を把握できていない外部委託層)。

定期モニタリングを行う内部実施層の97.2%が「適切に対策できている」
内部実施層のうち定期的にモニタリングやリスク評価を実施している方に対し、その結果をもとに適切な対策を実施できているかを尋ねたところ、「十分に実施できている」が38.0%、「おおむね実施できている」が59.2%となり、合わせて97.2%が適切に対策を実施できていることが分かったという(n=71/定期モニタリングを実施している内部実施層)。

強化したいAIセキュリティ対策、内部実施層は「定期診断の仕組みづくり」、外部委託層は「人材育成・確保」が最多
今後強化したいAIセキュリティ対策の取り組みを尋ねたところ、内部実施層では「定期的なセキュリティ診断・モニタリングの仕組みづくり」が55.0%で最も多く、「担当者のセキュリティ対策への理解促進」が47.5%と続いた(n=120/内部実施層)。

外部委託層では「社内にセキュリティの知見を持つ人材の育成・確保」が45.6%で最も多く、「担当者のセキュリティ対策への理解促進」が32.4%と続いた(n=68/外部委託層)。
内部実施層は仕組みの整備を、外部委託層は人材基盤の強化を優先しており、それぞれが抱える課題の違いが今後のニーズにも表れる結果になったとのことだ。
調査概要
- 調査名称:AIセキュリティ対策に関する実態調査
- 調査機関:Freeasy
- 調査対象:AIを組み込んだ自社サービス・プロダクトを展開し、AIセキュリティの検討・対策に関与する決裁権・選定権がある人
- 調査方法:Webアンケート
- 調査日:2026年5月25日~2026年6月3日
- 有効回答数:188
【関連記事】
・Cognition、セキュリティ自律化システムを発表 エンジニアリングと同等のスピードで脆弱性対処を
・業務で生成AI利用の約4割が「禁止後も利用継続」か──サイバーセキュリティクラウド調査
・AkamaiとNVIDIA、AIファクトリー上でセキュリティ統合へ エージェンティック時代に必要なパフォーマンスと両立
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
