何が起きたか
FireTailは2026年4月8日に公開したエンタープライズAIセキュリティリスク分析で、組織内のすべてのAI利用の90%が承認されたチャネル外で実施される(シャドウAI)こと、および企業のわずか34%しかAI固有のセキュリティ制御を導入していないことを明らかにした。このレポートではAIセキュリティ態勢管理(AISPM)をAIアセット全体の発見、検出、ガバナンスを一元化する新興実践として位置づけ、エージェント目標ハイジャッキング(OWASP Agentic Top 10 ASI01)をエージェント型AI最大のリスクとして強調した。
なぜ重要か
シャドウAIの発見は、ほとんどのエンタープライズが従業員が対話するAIモデル、共有されるデータ、またはそれが依存する出力についてほぼゼロの可視性を持つことを意味する。これにより、従来のDLPおよびCASBツールでは対処できない制御されないデータ流出とコンプライアンス上の懸念が生じている。
適用範囲
エンタープライズAIガバナンスを評価するセキュリティアーキテクトは、2026年のセキュリティスタック計画にAISPMを組み込むべきである。組織はポイントソリューションを調達する前にAIアセットインベントリをベースライン化する必要がある。CISOチームはAIセキュリティプログラムの前提条件としてシャドウAI発見演習を実行すべきである。