【速報】Varonis、AIセキュリティ企業を1.5億ドルで買収エンタープライズAI時代に必須のTRiSM対策とは

Varonisが1.5億ドルでAIセキュリティ企業を買収、エンタープライズAI管理の新時代へ

データセキュリティ大手Varonisが、AIセキュリティ専門企業AllTrue.aiを約1.5億ドルで買収しました。日本企業の経営層やIT責任者にとって、AIセキュリティとAIガバナンスへの対応は喫緊の課題となっています。SecurityWeekの報道によると、AllTrue.aiはAI Trust, Risk, and Security Management（AI TRiSM）を専門とする企業であり、この買収により、企業がAIシステムを安全かつコンプライアンスに準拠した形で大規模導入できる体制が強化されます。AIエージェントやコパイロットが自律的に意思決定を行う時代において、AIの「可視化」と「制御」が経営課題として浮上しています。

なぜ今、AIセキュリティ統合が急務なのか

企業がAIモデルやエージェントを大規模に展開するにつれ、これらのシステムは単なるデータ分析にとどまらず、自律的な意思決定を行い、データの読み取り・書き込み・変更・アクションを機械的なスピードで実行するようになっています。Varonisの共同創業者兼CEOであるYaki Faitelson氏は、この状況について「AIは予測不可能な動作をする可能性がある。どのAIシステムが存在し、何をしているのか、どのデータにアクセスできるのかを把握していなければ、AIを安全に活用できない」と警鐘を鳴らしています。

AllTrue.aiは、シャドーAIを含む組織全体のAIシステムを可視化し、リアルタイムでガードレールを適用して安全でない動作を防止する技術を提供しています。同社のCEOであるRon Bennatan氏は、IBMに買収されたGuardiumやImpervaに買収されたjSonarの開発者としても知られる人物です。同氏は「多くのAIセキュリティの取り組みはモデルやプロンプトに焦点を当てているが、AIの本当の価値とリスクは、AIがアクセスできる企業データに関連している」と指摘しています。

日本企業においても、ChatGPTをはじめとする生成AIツールの業務利用が急速に広がっています。しかし、IT部門が把握していない「シャドーAI」の存在や、従業員が機密情報をAIに入力してしまうリスクは、多くの情報システム部門にとって頭の痛い問題となっています。特に中堅企業では、専任のセキュリティ担当者を配置できないケースも多く、AI活用とリスク管理の両立に苦慮している状況が見られます。

AI TRiSM市場の急成長と規制強化の動き

Gartnerの予測によると、2026年までにAIの透明性・信頼性・セキュリティを運用化した組織は、AIモデルの採用率、ビジネス目標の達成、ユーザー受容において50%の改善を実現するとされています。また、2026年までに不正なAIトランザクションの80%以上は、悪意ある攻撃ではなく、情報の過剰共有や不適切な使用、AIの誤動作といった内部のポリシー違反が原因になるとも予測されています。

規制面でも動きが活発化しています。EUのAI法は2026年8月2日から一般適用が開始され、透明性要件への対応が求められます。米国でもコロラド州のSB24-205が2026年2月から高リスクAIに対するリスク管理と影響評価を義務付けるなど、州レベルでの規制が進んでいます。Gartnerの調査では、AI TRiSM関連のスタートアップが2022年10月から2025年9月の間に約17億ドルのベンチャー資金を調達しており、市場の急拡大が裏付けられています。

日本企業にとっても、これらの海外規制は他人事ではありません。EU域内に顧客や拠点を持つ企業はAI法の適用対象となり、グローバル展開を進める企業は各国の規制動向を注視する必要があります。また、日本国内でも経済産業省がAIガバナンスに関するガイドラインを整備しており、今後の規制強化に備えた準備が求められています。

御社が今すぐ取り組むべきAIセキュリティ対策

この買収事例から、日本企業が学ぶべきポイントは明確です。AIの導入が進む中、セキュリティは「侵害を防ぐこと」だけでなく、「自律システムが安全かつ確実にポリシーに沿って動作するか信頼できるかどうか」に焦点が移っています。

第一に、自社内でどのようなAIシステムが稼働しているかの棚卸しが必要です。シャドーAIと呼ばれる、IT部門が把握していないAIツールの利用状況を可視化することが出発点となります。

第二に、AIがアクセスできるデータの範囲を明確にし、最小権限の原則を適用することが求められます。機密情報への不必要なアクセスを制限することで、リスクを大幅に低減できます。

第三に、AIの動作をリアルタイムで監視し、異常な挙動を検知・制御できる体制を整えることが不可欠です。問題が発生してからでは遅く、予防的な監視が重要になります。

第四に、EU AI法や米国各州の規制動向を踏まえたコンプライアンス対応のロードマップ策定と、AIガバナンスに関する社内ポリシー整備・従業員教育を同時に進めることで、内部からのリスクを最小化できます。

こうしたAIセキュリティの課題は、専門知識やツール、継続的な運用体制が求められます。限られた人員で他業務と兼務する情シス部門や、IT専門外の経営層だけで継続運用するのは現実的に困難です。

GXOが提供するセキュリティ支援

GXOでは、180社以上の支援実績をもとに、企業のセキュリティ体制構築を包括的にサポートしています。SIEM・SOARの導入から、SOC（セキュリティオペレーションセンター）の構築、インシデント対応体制の整備まで、上流から下流までの一気通貫した伴走型支援を提供しています。AIセキュリティやDX推進におけるリスク管理についても、お客様の状況に応じた最適な解決策をご提案いたします。

まとめ

VaronisによるAllTrue.aiの買収は、エンタープライズAI時代におけるセキュリティの在り方が大きく変わりつつあることを示しています。AIがビジネスプロセスの中核に組み込まれる中、「可視化」「制御」「コンプライアンス」の三位一体でAIリスクを管理することが企業の競争力を左右します。AIセキュリティとAIガバナンスの両輪で対策を進め、安全なAI活用基盤を構築することが、今後の成長戦略において不可欠です。

AIセキュリティやガバナンス体制の構築についてお悩みの方は、ぜひGXOにご相談ください。 お問い合わせはこちら