この記事は マッケンジーとの との対談を基にしています ヌーラ・アーメド=モシェ との 『The Secure Disclosure』ポッドキャスト。全編をお聴きください。
ある企業は、訴訟に関する電話会議中に誰かがAIによる議事録作成ツールを使用したため、100万ドルの損失を被った。行動科学者のヌーラ・アーメド=モシェがポッドキャストで説明しているように、このツールは機密の会話内容を要約し、それを相手方に送信してしまった。相手方はその内容を利用して、自分たちの条件での和解を強要した。法律の専門家たちは、AIが生成した議事録が、現在では訴訟における証拠開示の対象として日常的に扱われるようになっていると警告している。
メモを取る人はその一例に過ぎない。 従業員は、会社が把握している以上に多様な形でAIを活用しており、実のところ、彼らはそうせざるを得ない状況に追い込まれているのです。アーメド=モシェ氏によれば、これは恐怖による反応だといいます。「AIがやってきて自分の仕事を奪ってしまうのではないかという、一般的なパニック感があるのです」。現在、95%以上の雇用主がAIスキルを持つ人材の採用を希望しています。従業員たちは、雇用市場の動向を正しく読み取っているからこそ、ツールの活用において取り残されることを恐れているのです。
その不安こそが、「シャドウAI」を後押ししている要因です。技術の進化が承認プロセスのスピードをはるかに上回っているため、従業員は承認されていないツールに頼らざるを得なくなっています。IT部門がPoCを実施し、アクセス権限を付与する頃には、従業員はすでに友人から「もっと優れたツール」の存在を耳にしているのです。ワークフローに合わない承認済みツールを提供し、それ以外のすべてをブロックしてしまうと、従業員は実際に使用しているツールを隠すようになってしまうのです。
そして、隠れることこそが、破綻の始まりなのだ。
今や、パニックこそがあなたの攻撃対象領域となっている
調査によると、現在、従業員の半数以上が職場で承認されていないAIツールを使用していることが明らかになっています。そのうち半数以上は、会社が管理・監視しておらず、存在すら把握していないツールに、機密性の高い社内データを入力しています。つまり、法的文書、顧客データ、社内戦略といった機密情報が、すべて審査されていないモデルへと流入していることになります
無料プランの信頼できるツールでさえ、そのデータをモデルの学習に利用している可能性があります。信頼性の低いツールであれば、完全にセキュリティ侵害を受ける恐れもあります。そして、アーメド=モシェ氏が指摘したように、「まだ歴史が浅いため、リスクが実際に顕在化した例は今のところ見当たらないと思います」。影響の範囲は依然として拡大しており、我々が目撃しているのはまだ初期段階に過ぎません。
禁止しても効果はない
承認されていないAIの利用をすべて禁止したいという衝動は理解できる。サムスンもChatGPTに対してそうした措置を講じた。あるセキュリティコンサルタントがRedditに、クライアントから同様の要求を受けたものの、その後、その企業のCEOが6か月間にわたり個人アカウントでChatGPTを利用して取締役会向け資料を作成していたことが判明したと投稿した。
従業員が頼りにしているツールを禁止したところで、彼らがその使用をやめることはないだろう。 アーメド=モシェ氏が言うように、「組織内でAIツールの使用を禁止しようとしても、もはや企業として成功することは不可能だと思います」。AIツールには確かにセキュリティ上のリスクがありますが、それは私たちの業務遂行に欠かせない要素でもあります。AIツールを禁止するのは、10代の若者に携帯電話を使わないように言うようなものです。彼らはただ、あなたの目につかない場所で使うようになるだけです。
これは以前にもあった話です。シャドウITは長年にわたり存在しており、企業が個人用デバイスの利用をブロックすることがかえって生産性を低下させることに気づいたことで、BYODが生まれました。企業には、それらを安全に管理する方法が必要だったのです。シャドウAIも同様の問題ですが、その影響はさらに深刻です。
シャドウAIに対応するためのセキュリティ体制の整備方法
このギャップを埋めている組織は、そもそも従業員がツールの使用状況を隠したくなるような状況を解消している。
実際にできること:
- まずは状況を把握しましょう:何かをブロックする前に、現在どのようなツールが使用されているかを調査してください。Aikido 、通常のアタックサーフェス外にある脅威について、すべての開発者用デバイスを監視します。
- ワークフローの課題を把握する:従業員が社外ツールを使用しているのには、それなりの理由があります。その原因を突き止め、実際に機能する解決策で課題を解消しましょう。
- 心理的安全性を醸成する: 行動変容を図る上で、懲罰よりも率直な 対話が効果的だ。親しみやすいセキュリティチームは、閉鎖的な組織風土では決して得られないような可視性を確保できる。
- 承認プロセスよりも迅速に動くこと。エンタープライズソフトウェアでは有効だった「概念実証(POC)から本番導入まで3ヶ月」というプロセスは、脅威の状況とツール環境が月ごとに変化している状況では通用しません。
「シャドウAI」は新たなフィッシングの手口であり、技術的な対策で軽減はできても、決して根絶できない人間の行動に起因する問題です。パニックこそが脆弱性なのです。まずはそこに対処すべきです。
{{cta}}
<script type="application/ld+json">
{
"@context": "https://schema.org",
"@graph": [
{
"@type": "BlogPosting",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#article",
"mainEntityOfPage": {
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
},
"headline": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"image": {
"@type": "ImageObject",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage",
"url": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"contentUrl": "https://www.aikido.dev/images/blog/shadow-ai-risks.png",
"width": 1200,
"height": 630
},
"datePublished": "2026-05-12T00:00:00+00:00",
"dateModified": "2026-05-12T00:00:00+00:00",
"author": {
"@type": "Person",
"@id": "https://www.aikido.dev/authors/nicholas-thomson",
"name": "Nicholas Thomson",
"jobTitle": "Senior SEO & Growth Lead",
"worksFor": {
"@type": "Organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev"
},
"sameAs": [
"https://www.linkedin.com/",
"https://x.com/"
]
},
"publisher": {
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
}
},
"keywords": [
"shadow AI",
"shadow IT",
"AI security risks",
"unapproved AI tools",
"employee AI usage",
"AI data leakage",
"BYOD security",
"AI note-taker risks",
"security posture",
"attack surface",
"AI governance",
"insider threat",
"enterprise AI security",
"AI compliance",
"behavioral security"
],
"articleSection": "Cybersecurity",
"inLanguage": "en-US",
"timeRequired": "PT5M",
"isBasedOn": {
"@type": "PodcastEpisode",
"name": "AI Panic is Driving Shadow IT with Noora Ahmed-Moshe",
"url": "https://creators.spotify.com/pod/profile/thesecuredisclosure/episodes/AI-Panic-is-Driving-Shadow-IT-w-Noora-Ahmed-Moshe-e3ivlbo",
"partOfSeries": {
"@type": "PodcastSeries",
"name": "Secure Disclosures"
}
},
"about": [
{
"@type": "DefinedTerm",
"name": "Shadow AI",
"description": "The use of unapproved or unsanctioned AI tools by employees within an organization without the knowledge or consent of IT or security teams."
},
{
"@type": "DefinedTerm",
"name": "Shadow IT",
"description": "The use of information technology systems, software, and services without explicit organizational approval."
},
{
"@type": "Thing",
"name": "AI security risk",
"sameAs": "https://schema.org/Thing"
},
{
"@type": "Thing",
"name": "BYOD",
"description": "Bring Your Own Device — a policy allowing employees to use personal devices for work purposes."
}
],
"mentions": [
{
"@type": "Person",
"name": "Noora Ahmed-Moshe",
"jobTitle": "Behavioral Scientist",
"sameAs": "https://www.linkedin.com/in/noora-ahmed-moshe/"
},
{
"@type": "Organization",
"name": "Samsung",
"sameAs": "https://www.samsung.com"
},
{
"@type": "SoftwareApplication",
"name": "ChatGPT",
"applicationCategory": "AI Assistant",
"operatingSystem": "Web",
"sameAs": "https://chat.openai.com"
},
{
"@type": "SoftwareApplication",
"name": "Aikido Endpoint",
"applicationCategory": "Security Software",
"operatingSystem": "Web",
"url": "https://www.aikido.dev/attack/surface-monitoring-dast"
}
],
"citation": [
{
"@type": "WebPage",
"name": "Samsung bans ChatGPT and other generative AI use by staff after leak",
"url": "https://www.bloomberg.com/news/articles/2023-05-02/samsung-bans-chatgpt-and-other-generative-ai-use-by-staff-after-leak"
},
{
"@type": "WebPage",
"name": "Eavesdropping by Algorithm: Legal Risks of AI Meeting Assistants",
"url": "https://www.babstcalland.com/news-article/eavesdropping-by-algorithm-legal-risks-of-ai-meeting-assistants/"
},
{
"@type": "WebPage",
"name": "AI Job Market Report",
"url": "https://zapier.com/blog/ai-job-market-report/"
},
{
"@type": "WebPage",
"name": "Many workers are using unapproved AI tools at work",
"url": "https://www.techradar.com/pro/many-workers-are-using-unapproved-ai-tools-at-work-and-sharing-a-lot-of-private-data-they-really-shouldnt"
}
],
"speakable": {
"@type": "SpeakableSpecification",
"cssSelector": ["h1", "h2", ".article-summary"]
}
},
{
"@type": "WebPage",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"url": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse",
"name": "Shadow AI risks start with fear, and banning makes them worse",
"description": "Employees aren't using unapproved AI tools to cause problems. They're scared of falling behind. Here's why banning shadow AI increases your security risk, and what to do instead.",
"isPartOf": {
"@type": "WebSite",
"@id": "https://www.aikido.dev#website",
"url": "https://www.aikido.dev",
"name": "Aikido Security"
},
"primaryImageOfPage": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#primaryimage"
},
"breadcrumb": {
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb"
},
"inLanguage": "en-US"
},
{
"@type": "BreadcrumbList",
"@id": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse#breadcrumb",
"itemListElement": [
{
"@type": "ListItem",
"position": 1,
"name": "Home",
"item": "https://www.aikido.dev"
},
{
"@type": "ListItem",
"position": 2,
"name": "Blog",
"item": "https://www.aikido.dev/blog"
},
{
"@type": "ListItem",
"position": 3,
"name": "Shadow AI risks start with fear, and banning makes them worse",
"item": "https://www.aikido.dev/blog/shadow-ai-risks-start-with-fear-banning-makes-them-worse"
}
]
},
{
"@type": "Organization",
"@id": "https://www.aikido.dev#organization",
"name": "Aikido Security",
"url": "https://www.aikido.dev",
"logo": {
"@type": "ImageObject",
"url": "https://www.aikido.dev/logo.png"
},
"sameAs": [
"https://www.linkedin.com/company/aikido-security",
"https://x.com/aikido_security"
]
},
{
"@type": "FAQPage",
"mainEntity": [
{
"@type": "Question",
"name": "What is shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI refers to the use of unapproved or unsanctioned AI tools by employees within an organization, without the knowledge or oversight of IT or security teams. It is a subset of shadow IT and poses significant data security and compliance risks."
}
},
{
"@type": "Question",
"name": "Why do employees use shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Employees use unapproved AI tools primarily out of fear of falling behind in a job market where AI skills are increasingly required. When approved tools don't fit their workflows, or approval cycles move too slowly, employees turn to tools that help them do their jobs more effectively."
}
},
{
"@type": "Question",
"name": "Why doesn't banning AI tools work?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Banning AI tools forces usage underground rather than eliminating it. Employees will use personal devices or accounts to access the tools they depend on. As with BYOD, the more effective approach is to create a secure, sanctioned framework that meets employees' actual workflow needs."
}
},
{
"@type": "Question",
"name": "What are the security risks of shadow AI?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Shadow AI poses multiple security risks including sensitive data being fed into unvetted models, data used to train third-party AI systems, exposure through breaches of unsecured tools, and AI-generated content such as meeting transcripts becoming discovery targets in legal proceedings."
}
},
{
"@type": "Question",
"name": "How can organizations reduce shadow AI risk?",
"acceptedAnswer": {
"@type": "Answer",
"text": "Organizations should first gain visibility into what tools are being used, understand the workflow gaps driving unsanctioned usage, create psychological safety so employees feel comfortable disclosing tool usage, and accelerate their approval cycles to keep pace with the speed of AI development."
}
}
]
}
]
}
</script>
