可視性の欠如
CISOの15%のみが全体把握
49%が未承認AIツールを利用
シャドーAIが侵害の20%を占める
二次・三次依存の把握は困難
強制移行の現実
モデル切替で出力・遅延が変化
国防総省取引企業に波及
依存グラフの即席構築を迫られる
30日で実行すべき対策
実行パスの動的マッピング
主要AIベンダーの停止テスト実施
サブプロセッサー開示の要求
出典:VentureBeat
詳細を読む
米連邦政府が全省庁に対しAnthropic技術の使用停止を命じる指令を発出しました。6カ月の移行期間が設けられましたが、多くの省庁は自組織のワークフロー内でAnthropicモデルがどこに組み込まれているかを把握できていません。
2026年1月のPanorays調査によると、ソフトウェアサプライチェーンの全体像を把握しているCISOはわずか15%にとどまります。さらにBlackFogの調査では、従業員の49%が雇用主の承認なくAIツールを導入しており、経営幹部の69%がそれを容認していることが判明しました。
Enkrypt AIのCSO、メリット・ベア氏は「AIの依存関係は他のベンダーの機能に埋め込まれ、動的に呼び出され、非決定的で不透明だ」と指摘します。従来のSaaS型シャドーITとは異なり、ログに痕跡が残らないことが対応を困難にしています。
IBMの報告書によるとシャドーAI関連のインシデントは全侵害の20%を占め、平均被害額を67万ドル押し上げています。米大手企業10社中8社がClaudeを利用しているとされ、そのサプライチェーンに属する企業は契約の有無にかかわらず間接的にAnthropicに依存しています。
ベア氏は30日以内に実行可能な4つの対策を提唱しています。ゲートウェイ層での実行パスの動的マッピング、データの入出力制御ポイントの特定、主要AIベンダーの停止シミュレーションによる隠れた依存関係の発見、そしてベンダーへのサブプロセッサー・モデル情報の開示要求です。次の強制移行は6カ月の猶予なく訪れる可能性があります。