C
月内に
AIを用いてアプリケーションを構築する「Vibe Coding」により、セキュリティ管理外で公開された企業資産が急増しています
📌 一言でいうと
AIを用いてアプリケーションを構築する「Vibe Coding」により、セキュリティ管理外で公開された企業資産が急増しています。Red Accessの調査では、38万件以上の公開資産が見つかり、そのうち2,000件以上の企業アプリが機密データを保持したまま、アクセス制御なしにインターネットに公開されていました。これは、従来のプロンプトベースのShadow AIから、製品レベルのShadow AIへとリスクが移行していることを示しています。
🔍該当判定
- 社員がAIツール(Cursor, Replit, v0.devなど)を使って、自社専用のWebアプリを独自に作成し公開している
- IT部門の許可を得ず、AIで作成したアプリを社内業務(顧客管理やデータ集計など)に利用している
- AIで作成したアプリをインターネット上に公開し、ID・パスワードなどの認証設定をせずに運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
AIによるアプリ開発(Vibe Coding)の利用ガイドラインを策定し、本番環境へのデプロイ前にセキュリティレビューを必須とする。また、外部公開資産の継続的なスキャン(EASM)を導入し、意図しない公開資産を検知・排除する。