記事のサマリー(TL;DR)
- Google Cloud COOが「AIセキュリティは後付け不可、経営レベルの課題」と明言
- Gemini APIの不正利用でGoogle Maps用APIキーを持つ開発者が1万ドル超の請求被害
- APIキー削除後も最大23分間リクエストが通るという脆弱性を、セキュリティ企業Aikidoが実証
国内クラウド・SaaS 事業者が今すぐ点検すべきAPIキー管理の盲点
Google Cloud COO Francis de Souzaの発言は、日本企業にとっても他人事ではありません。特に注目すべきは2点です。
第一に、「エージェントが社内を巡回することで、誰も気にかけていなかった旧来のSharePointサーバーや放置されたデータリポジトリが掘り起こされる」という指摘です。日本企業でも、情報システム部門が把握しきれていないオンプレ共有フォルダやSaaSのAPIトークンが大量に存在するケースは珍しくありません。AIエージェントの導入がデータガバナンスの課題を一気に顕在化させるリスクがあります。
第二に、Google Maps向けに発行したAPIキーがいつの間にかGeminiへのアクセス権限を持ち、削除後23分間もリクエストが通り続けるという今回の実例です。kintoneやSalesforce、Stripeなど複数のSaaSにAPIキーを持つ日本の中小ECや業務システム開発会社は、自社の請求アラートの上限設定と、APIキーの権限スコープを今一度確認することが現実的な対策です。GoogleがAPIキーの自動ティアアップグレードを明示的な同意なしに実施していた点は、プラットフォーム選定時の審査基準として記憶しておく必要があります。
詳細
Google Cloud COO が語る「AIセキュリティの本質」
ロサンゼルスで開催されたあるイベントの舞台裏で、Google CloudのCOOFrancis de Souza(フランシス・デ・スーザ)にインタビューする機会がありました。彼は大学教授のような落ち着いた口調で、企業がいま直面しているAIセキュリティの課題について丁寧に語ってくれました。
「移行期が存在するとは思うが、そのあとには今よりも良い場所に辿り着けると考えている」と彼は言います。ただし、これはGoogleが既に答えを持っているという意味ではなく、Googleを含むすべてのプレイヤーがリアルタイムで試行錯誤しているという状況を正直に認めた発言でもあります。
「セキュリティは後付けにできない」——プラットフォームアプローチの重要性
de Souzaのメッセージの核心は、セキュリティ専門家が以前から経営層に訴え続けてきたことであり、AIの登場によって一段と緊急度が増した論点です。
「企業がAIの取り組みを進める際には、プラットフォームアプローチを取らなければならない」と彼は強調します。「セキュリティは後から追加できるものではありませんし、従業員各自の判断に委ねられるものでもありません。」
彼が特に警告したのが**「シャドーAI(Shadow AI)」**の問題です。これは、組織の管理外で従業員が勝手にコンシューマー向けツールを使ってしまう状況を指します。こうした行動を防ぐためにも、企業はプラットフォームに対してセキュリティ・ガバナンス・監査可能性(auditability)を最初から要求する必要があると彼は主張します。
「AI戦略は、データ戦略とセキュリティ戦略なしには存在し得ない。三者は一体のものとして進めなければならない。」
マルチクラウドの現実と整合したセキュリティ体制
de Souzaの主張で興味深いのは、Google Cloudのみを推奨しているわけではないという点です。インタビュアーから「それはGoogleの広告に聞こえる」と突っ込まれると、彼はあえてこれを否定しました。
「一つのクラウドを選んだとしても、その企業はSaaSアプリケーションに依存しており、異なるクラウドを使っているビジネスパートナーも存在する。クラウドをまたぎ、モデルをまたいで一貫したセキュリティ体制を持つことが重要だ」と彼は言います。
Googleはマルチクラウドアプローチへのコミットメントを表明しており、単一クラウドで完結していると思っている企業でも、実際にはそうなっていないケースがほとんどだと指摘しています。
攻撃速度の変化——侵害から次フェーズへの移行が「8時間」から「22秒」に
脅威の環境が根本的に変わった点として、de Souzaは「最初の侵害から次の攻撃ステージへの移行にかかる時間が、かつての8時間から22秒にまで短縮している」と述べました。
攻撃対象の範囲(アタックサーフェス)も、従来のネットワーク境界を大きく超えて拡大しています。
「従来の資産に加えて、今やモデル自体があります。モデルの学習に使うデータパイプライン、エージェント、プロンプト——これらすべてを保護しなければなりません。」
AIエージェントが浮かび上がらせる「放置されたデータの墓場」
de Souzaがとりわけ注意を促したのが、AIエージェントの社内巡回によって生じる思わぬリスクです。
「多くの組織には、何年も前に放置されたSharePointサーバーや古いアクセス制御が残っています。今まで誰もその場所を把握していなかったため問題が露呈しませんでしたが、エージェントが社内を巡回すれば、そうしたデータ資産を発見し、中身を公開してしまいます。」
機械の速度には機械の速度で——AIネイティブな防御の台頭
こうした脅威環境に対応するため、de Souzaは**「AIネイティブな完全エージェンティック防御(fully agentic defense)」**の出現を挙げます。
「人間主導の防御や人間が介在するモデルではなく、組織は人間が全体を監督しながらエージェントに防御を担わせるモデルへ移行できるようになってきた」と彼は言います。
そして、これはもはやテクノロジーだけの問題ではないと強調します。「これは取締役会レベル、経営チームレベルの問題です。セキュリティチームだけの課題ではありません。」
セキュリティ人材の不足と「バグ黙示録(bug-pocalypse)」
AIが防御の多くを担うようになる一方で、それを監督できる人材は圧倒的に不足しており、AIが新たに生み出す脆弱性はセキュリティチームの対処速度を上回るペースで増え続けています。
LinkedInのCSO(最高情報セキュリティ責任者)Lea Kissner(レア・キスナー)は、ニューヨーク・タイムズ紙に対し「バグ黙示録(bug-pocalypse)に対処できる人材が必要だ」と述べ、業界がAIセキュリティを持続可能な形で理解できるようになるまでには少なくとも数年かかると予測しています。
Google Maps用APIキーがGeminiの不正請求に悪用——被害事例
では、プラットフォーム提供者であるGoogleはどうか。The Registerが直近数週間にわたって掲載した一連のレポートによると、多数のGoogle Cloud開発者がGeminiモデルへの不正なAPIコールによって5桁ドル規模の請求を受ける被害に遭っています。
被害パターンは共通しています。もともとGoogle Mapsのために、Googleの公式ドキュメントに従って公開設定で配置されたAPIキーが、いつの間にかGeminiへのアクセス権限を持つようになっていたのです。Googleがスコープを拡張した際に、その変更が明確に開示されなかったことが原因とされています。
- Rod Danan(インタビュー対策プラットフォーム「Prentus」のCEO)は、侵害されたAPIキーを攻撃者に悪用され、約30分で1万138ドルの請求が発生したと述べています。
- シドニー在住の開発者Isuru Fonseka(イスル・フォンセカ)は、自分では250ドルの支出上限が設定されていると思っていたにもかかわらず、約1万7000オーストラリアドルの請求が届いていることに気づきました。
二人とも知らなかった事実があります。Googleの自動システムが、アカウントの利用履歴をもとにビリングティアを自動アップグレードし、明示的な同意なしに上限を最大10万ドルに引き上げていたのです。
The Registerの最初の報道後、Googleは両者に返金を行いましたが、自動ティアアップグレードのポリシーを変更する予定はないと説明しており、「ユーザーの予算設定よりもサービス停止の防止を優先する」という方針を維持しています。
キー削除後も23分間リクエストが通る——Aikidoの実証研究
さらに問題が深刻なのは、侵害を発見したあとの対応です。The Registerが今週報じた、セキュリティ企業Aikidoの調査によると、開発者が侵害されたキーを発見して直ちに削除しても、最大23分間は攻撃者が引き続きそのキーを使用できることが判明しました。
Googleのインフラ全体に鍵の失効情報が伝播するのに時間がかかるためで、Aikidoの研究者Joseph Leon(ジョセフ・レオン)によると、その23分の窓の間には成功率が非常に不安定であり、「1分ごとに90%以上のリクエストが認証されることもある」とのことです。攻撃者はこの時間を使い、Geminiからファイルやキャッシュされた会話データを窃取できます。
Googleの新しい認証情報フォーマットは問題なし
Leonが指摘した重要な点があります。GoogleのサービスアカウントAPIキーは約5秒で失効し、Geminiの新しいAQプレフィックスのキーフォーマットは約1分で失効します。
「どちらもGoogleのスケールで動いている。どちらも、旧来のAPIキーでも技術的に解決可能だと示唆している」とLeonはAikidoのレポートに記しています。
つまり、23分という窓はエンジニアリング上の制約ではなく、優先順位の問題だということです。
教訓:「正論」と「実装速度」の間のギャップ
de SouzaのAIセキュリティに関するアドバイスは的確であり、真剣に受け止めるべきものです。ただし、プラットフォーム提供者が処方する内容と、そのプラットフォーム自身が対応している速度の間には現時点で明確なギャップが存在します。そのギャップを把握した上で、ベンダーのアドバイスを評価することが重要です。