C
月内に
Red Accessの調査により、従業員が「Vibe Coding」を用いて自作したAIアプリケーションが、認証などの基本セキュリティ対策を欠いたまま公開され…
📌 一言でいうと
Red Accessの調査により、従業員が「Vibe Coding」を用いて自作したAIアプリケーションが、認証などの基本セキュリティ対策を欠いたまま公開され、機密情報が漏洩しているリスクが判明しました。約5,000個の企業向けAIアプリが発見され、そのうち約2,000個に機密データが含まれていましたが、アクセス制御がなされていませんでした。これはIT部門の管理外でAIツールが導入される「シャドウAI」のリスクが、単なるチャット利用からアプリ自作へと拡大していることを示しています。
🔍該当判定
- IT部門が把握していない、社員が個人で作成したAIアプリ(Vibe Coding等)が社内で利用されている
- AI開発プラットフォーム(Cursor, Replit, v0.dev等)を使って、社内データを組み込んだツールを公開している
- 社内向けにAIツールを自作したが、ログイン画面(ID・パスワード認証)を設置せずにURLを共有している
- AIツールを構築し、社内の本番システムやデータベースと直接連携させている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
AIアプリケーションの資産棚卸しを実施し、利用可能なプラットフォーム、取り扱い可能なデータの種類、および最低限のセキュリティ基準を明確に定めたガバナンス体制を構築すること。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIツール・アプリの個人利用および自作に関するお願い
お疲れさまです。情報システム担当です。
最近、AIを使って簡単にアプリを作成できるツールが増えていますが、会社の許可なく作成したアプリに社内データや個人情報を入力し、そのまま公開してしまうことで情報漏洩が発生するリスクが高まっています。
ご協力をお願いしたいこと:
1. 会社の許可なく、社内データや機密情報をAIアプリに組み込んだり、外部に公開したりしないでください。
2. 業務でAIツールや自作アプリを利用したい場合は、必ず事前にIT部門へ申請し、審査を受けてください。
対応期限: 本日中(確認をお願いします)
お疲れさまです。情報システム担当です。
最近、AIを使って簡単にアプリを作成できるツールが増えていますが、会社の許可なく作成したアプリに社内データや個人情報を入力し、そのまま公開してしまうことで情報漏洩が発生するリスクが高まっています。
ご協力をお願いしたいこと:
1. 会社の許可なく、社内データや機密情報をAIアプリに組み込んだり、外部に公開したりしないでください。
2. 業務でAIツールや自作アプリを利用したい場合は、必ず事前にIT部門へ申請し、審査を受けてください。
対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Guidelines on the Use and Creation of AI Tools/Apps
Dear employees,
With the rise of tools that allow easy AI app creation, there is an increasing risk of corporate data leaks if apps containing sensitive information are published without proper security checks.
Requested Actions:
1. Do not incorporate internal corporate data or sensitive information into AI apps or publish them externally without official authorization.
2. If you wish to use AI tools or custom-built apps for business purposes, please submit a request to the IT department for review first.
Deadline: Immediate
Dear employees,
With the rise of tools that allow easy AI app creation, there is an increasing risk of corporate data leaks if apps containing sensitive information are published without proper security checks.
Requested Actions:
1. Do not incorporate internal corporate data or sensitive information into AI apps or publish them externally without official authorization.
2. If you wish to use AI tools or custom-built apps for business purposes, please submit a request to the IT department for review first.
Deadline: Immediate