Veeam Softwareのジョン・ジェスターCROは3月25日の記者懇談会で、今年1月のAI基本法施行を受け、企業はデータ管理の在り方を抜本的に見直す必要があると述べた。AI導入が広がるなか、規制対応の前提となるデータの可視性確保が急務になっているとの認識を示した。

ジェスターCROは「規制強化が進む一方で、現場の準備は十分ではない」と指摘した。Veeam Softwareが2025年12月にITリーダーを対象に実施した調査では、CISOの約7割が、システム全体でデータがどこに保存され、どのように流れているかを把握できていなかったという。

AI基本法では、影響力の大きいAIシステムに対し、透明性を確保した文書化やリスク評価が求められる。個人情報保護法では、データ流出発生後72時間以内の所管当局への報告が義務付けられている。

また、金融委員会は金融会社に対し、AIモデルに用いるデータの出所を検証し、文書化するよう求めている。こうした規制対応の重要性が高まる一方、企業の準備は追いついていないとした。

同氏は、AIの普及によってデータセキュリティの脅威も大きく変化したと説明した。多くの企業では、データ流出時に72時間以内の十分な追跡ができておらず、AIツールが機微情報にアクセスしても記録が残らないケースが多いという。承認プロセスを経ないシャドーAIツールの利用も広がっているとした。

さらに、韓国では2025年にサイバー侵害事故2383件が報告され、主要事故の60%でAIが使われたと紹介した。その上で、AI時代には従来のセキュリティ前提が通用しにくくなっていると強調した。

従来は、人が主体となるアクセス管理を前提に、境界型セキュリリティや明確な権限設定、四半期ごとの監査で対応できたという。これに対し現在は、AIエージェントが1秒間に数千件規模でデータにアクセスし、複数のデータソースをまたいで同時に動作するようになっているとした。

加えて、モデルは日々変化しており、復旧もシステム全体ではなく、データセットや埋め込み、モデルの重みといった単位で行う必要があると説明した。

ジェスターCROによると、企業がAIリスクとして注視すべきポイントは、機微データの流出、データ侵害、コンプライアンス違反、AIエージェントのエラーの4点だ。「AIは数千のファイルを数分で書き換えられる。誤作動したAIシステムは、誰かが気付く前に記録を損なったり、機微情報を流出させたりする恐れがある」と警鐘を鳴らした。

こうした変化を踏まえ、Veeam Softwareは製品戦略を強化している。データ分類と追跡の自動化に加え、AIシステムやAIエージェント向けのアイデンティティ基盤ガバナンス、フォレンジック検証を活用した復旧機能も提供するという。

懇談会では「Agent Commander」にも言及した。AIが異常な変更を試みた際に即座に見つける「検知」、何が、いつ、どのAIツールによって変更されたかを把握する「保護」、問題のあるファイルだけを正確に戻す「復元」の3機能を提供すると説明した。

同社は、企業がAIエージェントと機微データ露出リスクに関する可視性を確保できるよう支援する狙いだとしている。

ジェスターCROは「Agent Commanderは、幅広いAIコンプライアンス対応に加え、パブリッククラウド上での安全なカスタムエージェント構築、企業向けSaaSエージェントの導入、シャドーAIリスクの可視化といった利用シナリオを支援する」と述べた。