小売業における生成AIのセキュリティリスクを表現した画像

# 小売業における生成AIの導入と高まるセキュリティコスト

## 導入

小売業界は、顧客体験の向上や業務効率化のために、生成AIの導入に積極的です。しかし、この急速な技術導入は、新たなセキュリティリスクとコストを伴うことが、最新のレポートで明らかになりました。本記事では、小売業界における生成AIの現状と、それに伴うセキュリティ上の課題について深掘りします。

## 生成AI導入の現状とセキュリティリスク

サイバーセキュリティ企業Netskopeの報告によると、小売業界の組織の95%が現在生成AIアプリケーションを利用しており、これはわずか1年前の73%から大幅に増加しています。この数字は、小売業者が競争に取り残されないよう、いかに迅速に生成AIの導入を進めているかを示しています。しかし、この「AIゴールドラッシュ」には暗い側面があります。組織がこれらのツールを業務に組み込むにつれて、サイバー攻撃や機密データ漏洩の新たな大規模な標的を作り出しているのです。

### シャドーAIからの脱却と企業主導の導入

レポートの調査結果は、小売業界が混沌とした初期導入段階から、より統制された企業主導のアプローチへと移行していることを示しています。従業員が個人のAIアカウントを使用するケースは、年初の74%から36%へと半減しました。その代わりに、企業が承認した生成AIツールの使用は、同時期に21%から52%へと倍増しています。これは、企業が「シャドーAI」の危険性に目覚め、状況を把握しようとしている兆候と言えます。

小売業のデスクトップ環境では、ChatGPTが81%の組織で使用され、依然として優位を保っています。しかし、その支配は絶対的ではありません。Google Geminiが60%の導入率で浸透し、MicrosoftのCopilotツールもそれぞれ56%と51%で追随しています。ChatGPTの人気は最近初めて低下しましたが、Microsoft 365 Copilotの使用は、多くの従業員が日常的に使用する生産性ツールとの深い統合のおかげで急増しています。

### 機密データの露出とアプリの禁止

小売業界における生成AI導入の裏側には、増大するセキュリティ上の悪夢が潜んでいます。これらのツールが有用である最大の理由である「情報処理能力」は、同時に最大の弱点でもあります。小売業者は、驚くべき量の機密データが生成AIに供給されている現状に直面しています。

最も一般的なデータ露出の種類は、企業のソースコードであり、生成AIアプリにおけるデータポリシー違反全体の47%を占めています。これに次ぐのが、機密性の高い顧客情報やビジネス情報などの規制対象データで、39%に上ります。これに対応して、リスクが高いと判断されたアプリを単純に禁止する小売業者が増えています。最も頻繁にブロックリストに載せられているアプリはZeroGPTで、組織の47%が、ユーザーコンテンツの保存や、データをサードパーティサイトにリダイレクトする懸念から、このアプリを禁止しています。

### エンタープライズ向けプラットフォームへの移行と新たな脅威

この新たな警戒心は、小売業界を主要なクラウドプロバイダーが提供する、より本格的なエンタープライズグレードの生成AIプラットフォームへと向かわせています。これらのプラットフォームは、モデルをプライベートにホストし、独自のカスタムツールを構築できるため、はるかに優れた制御を提供します。OpenAI(Azure経由)とAmazon Bedrockは、それぞれ小売企業の16%で使用され、同率でリードしています。しかし、これらも万能薬ではありません。単純な設定ミスが、強力なAIを企業の最も重要なデータに意図せず接続してしまい、壊滅的な情報漏洩につながる可能性があります。

脅威は、従業員がブラウザでAIを使用することだけではありません。レポートによると、組織の63%が現在、OpenAIのAPIに直接接続し、AIをバックエンドシステムや自動化されたワークフローに深く組み込んでいます。このAI固有のリスクは、クラウドセキュリティ衛生の不備という、より広範で厄介なパターンの一部です。攻撃者は、従業員が見慣れたサービスからのリンクをクリックする可能性が高いことを知り、信頼できる名前を使用してマルウェアを配信するケースが増えています。Microsoft OneDriveは最も一般的な原因であり、小売業者の11%が毎月このプラットフォームからのマルウェア攻撃を受けており、開発者ハブであるGitHubも9.7%の攻撃で利用されています。

職場での個人アプリの使用という長年の問題も、火に油を注ぎ続けています。FacebookやLinkedInのようなソーシャルメディアサイトは、ほぼすべての小売環境(それぞれ96%と94%)で、個人のクラウドストレージアカウントとともに使用されています。これらの未承認の個人サービスで、最悪のデータ漏洩が発生しています。従業員が個人アプリにファイルをアップロードした場合、結果として生じるポリシー違反の76%が規制対象データに関わるものです。

小売業のセキュリティリーダーにとって、カジュアルな生成AIの実験は終わりを告げました。Netskopeの調査結果は、組織が断固として行動しなければならないという警告です。すべてのウェブトラフィックを完全に可視化し、高リスクのアプリケーションをブロックし、どの情報をどこに送信できるかを制御するための厳格なデータ保護ポリシーを施行する時が来ています。適切なガバナンスがなければ、次のイノベーションは簡単に次の見出しを飾る情報漏洩になりかねません。

[元記事](https://www.artificialintelligence-news.com/2025/09/24/generative-ai-in-retail-adoption-comes-at-high-security-cost/)