ITセキュリティ担当者が「自社のAI利用状況を把握している」と思っていても、クラウドの中ではすでに別の現実が動いている。自己ホスト型AIを運用する組織の68%が、自分たちで選んだわけではないAIコンポーネントをサードパーティ製ソフトウェア経由で取り込んでいる——。Wizが数十万件のクラウド環境を分析した「State of AI in the Cloud 2026」レポートが突きつけるのは、こうした構造的な盲点だ。MCP(Model Context Protocol)サーバーが80%のクラウド環境に存在し、AIエージェントの29%はIT部門の承認を受けていないとされる。
Googleによる320億ドルの買収(2025年成立)を経てWizはGoogleのクラウドセキュリティ戦略の中核に位置づけられており、このレポートはAIインフラ管理の業界標準を実質的に規定しようとする動きでもある。従来のセキュリティ管理モデルは「何を導入するかを選んだ後に保護する」前提で設計されていた。だがAIが「選ばずに入り込むもの」になった今、その前提は通用しない。セキュリティ担当者は「AIが何を使っているか」を知ることから始める必要がある。
企業インフラに静かに入り込む「意図しないAI」の広がり
重要な転換が起きている。企業が「AIツール」として認識する以上の速度で、AIコンポーネントがインフラの奥深くに入り込んでいるという現実だ。マネージドAIサービスを利用するクラウド環境は81%、自己ホスト型AIソフトウェアを運用する環境は90%に上り、AIはすでに企業インフラの標準的な構成要素になっている。その中でも特に注視すべきは、MCP(Model Context Protocol)サーバーの普及率だ。クラウド環境の80%に存在するこのコンポーネントは、AIモデルが外部ツールやデータソースと連携するための接続層を提供している。
エージェントAIの展開も急速に進む。57%の組織がすでに自己ホスト型のAIエージェント技術を稼働させており、71%が少なくとも1つのAIコパイロットを導入済みだ。開発現場では80%の組織が、AI IDEエクステンションを利用する開発者を抱えている。AIが特定のサービスとして利用されるフェーズを超え、開発ツール・エージェント基盤・接続プロトコルという形で組織のインフラに織り込まれている。
しかしこの普及率の高さより深刻な問題がある。自己ホスト型AIを運用する組織の68%が、サードパーティ製ソフトウェアを経由してモデルを取り込んでいる。Wizはこの現象を「推移的AI(transitive AI)」と呼ぶ——組織が明示的に選択していないAIコンポーネントが、ツールチェーンの中に自動的に組み込まれていくメカニズムだ。IDE拡張として個人が導入するケース、CI/CDパイプラインに混入するケース、サードパーティライブラリ経由でAIコンポーネントが流入するケース——これらはいずれも、中央の資産管理台帳には記録されにくい。
MCPとAIエージェントが攻撃面を広げる仕組み
MCPはAnthropicが主導するAIツール連携の標準プロトコルで、2024〜2025年にかけて急速に普及した。AIアシスタントがファイルシステム・データベース・外部APIに接続する際の「共通言語」として設計されており、開発者はモデルごとに異なる連携ロジックを書く手間を省ける。この標準化が普及を加速させた一方で、MCPサーバーは「AIがアクセスできるリソース」を集約する中継点でもあるため、攻撃者にとっても高価値なターゲットとなる。MCPの90%が自己ホスト型である現実は、パッチ適用・設定管理・アクセス制御をすべて組織側が担わなければならないことを意味する。
Wizとは独立したOX Securityの研究によれば、MCP設計上の脆弱性は7,000超の公開サーバーと累計1億5,000万ダウンロード超の影響範囲に関係するとされており、設計レベルのリスクが実装全体に波及しうる。MCPサーバーを持つ組織のうちインターネットに直接公開されているのは5%にとどまるが、内部ネットワーク上での存在自体が把握されていないことが問題の核心だ。
AIエージェントのリスクはさらに複雑な側面を持つ。従来のアプリケーションはコードが実行するアクションの範囲が静的に決まっていたが、AIエージェントは推論に基づいて動的にツールを選択・呼び出す。コードリポジトリへのアクセス権を持つAIエージェントが、プロンプトインジェクション(悪意ある入力でAIの動作を操作する手法)によって意図しないファイルを読み書きしたり、外部サービスに接続したりするリスクは、すでに理論的な話ではない。AIエージェントの「賢さ」は、誤誘導されたときの影響範囲の大きさとトレードオフの関係にある。
シャドーITとvibe codingが作る「把握できない攻撃面」
AIツールの急速な普及は、IT部門の承認プロセスを超える速度で現場への浸透を進めてきた。Techzineの報道によると、AIエージェントの29%が公式承認を受けておらず、シャドーITを構成しているとされる。2025年のセキュリティ準備態勢調査では、25%の回答者が「どのAIサービスが動いているか把握していない」と回答しているとされる。セキュリティ統制の前提となる可視性が、AI領域では根本的に欠けている状態だ。
Wizの調査によると、約20%の組織がAIを活用したコーディング(「vibe coding」)のプラットフォームでシステム的なセキュリティ上の問題を経験したとされる。vibe codingとは、AIアシスタントに自然言語で指示を与え、コードの詳細な理解なしにアプリケーションを構築していく開発手法だ。この手法が普及した環境では、生成されたコードのセキュリティ品質を検証する習慣が定着していないケースが多く、脆弱なコードが本番環境に流れ込みやすくなる。
生産性とセキュリティの時間軸がずれていることが、この問題を深刻にしている。ビジネス側は「今すぐAIを導入しないと競争に遅れる」という圧力の下で動く。セキュリティ側は「まず可視性を確保してから」と考える。その間も攻撃面は拡大し続ける。AI導入を遅らせれば競争力を失い、セキュリティを後置すれば攻撃面を広げる——「後付けで対応する」という従来の選択肢が、AI時代には機能しなくなっている。
Ollama脆弱性とAIを悪用したサプライチェーン攻撃
自己ホスト型AIランタイムの普及は、既存の脆弱性管理フローでは捕捉されにくい新たな攻撃面を生んでいる。オープンソースのLLM(大規模言語モデル)ランタイムであるOllama(ollama.com)で発見されたCVE-2024-37032(通称"Probllama")は、リモートコード実行(RCE)を可能にする深刻な脆弱性だ。Wizの調査によれば、この脆弱性が発見された当時、数千件のOllamaインスタンスがインターネットに直接公開された状態にあった。
Ollamaはローカル環境でのLLM運用を手軽にするツールとして急速に普及したが、セキュリティ設定を適切に行わないまま外部からアクセス可能な状態で稼働するケースが多数存在した。本来は認証設定を有効にすることで防げる問題だが、ドキュメント通りにセットアップしただけでは保護されない状態になっていた。AIツールの導入障壁が低いほど、セキュリティ設定の確認が省略されやすくなるという逆説が、現在進行形で攻撃面を広げている。
サプライチェーン攻撃の文脈でも、AIツールが新たな役割を担い始めている。Wizのレポートが報告するケースの中には、Claude・Gemini・Amazon QといったAIコマンドラインツールが偵察目的で悪用されたサプライチェーン攻撃が含まれる。攻撃者がAIツールのエコシステムに目を向け始めたことは、AIインフラのセキュリティ管理が従来のアプリケーション管理と同等の扱いを必要とする段階に来ていることを示している。「使いやすさ優先・セキュリティ後置」で展開したAIコンポーネントのツケが、今、現れている。
「すでに動いているAIを把握する」ことから始まるセキュリティ対策
Wizが推奨する対策の出発点は、シンプルな問いの転換だ。「どのAIプロバイダーを選ぶか」ではなく、「組織のクラウドの中にすでに何が動いているか」——この問いに答えられない限り、セキュリティ対策はインフラの実態と乖離したままになる。
対策は3段階で実施すべきだ。
第1段階:可視性の確保——MCPサーバーと自己ホスト型AIランタイムの棚卸し
CSPM(クラウドセキュリティ態勢管理)ツール——WizのようなCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)やPalo Alto Networks Prisma Cloud等——を使ってAIコンポーネントをスキャンし、どのコンポーネントがどのデータソースにアクセスしているかを可視化する。「AIを使っているか」という粗い問いではなく、コンポーネント単位で接続先・権限・更新状況を把握するインベントリが最初のゴールとなる。
第2段階:権限の最小化——エージェントへのアクセス制御
次に実施すべきは、AIエージェントに付与するアクセス権の絞り込みだ。エージェントが実際に必要とするツールとデータソースを明示的に定義し、それ以外へのアクセスをIAM(ID・アクセス管理)ポリシーで遮断する。Wiz Defend等のエージェント監視機能を活用すれば、実行時の権限逸脱をリアルタイムで検知できる。
第3段階:設定の強化とコードの検証
OllamaやMCPサーバーについては、具体的な設定変更が必要だ。Ollamaなら--host 127.0.0.1の明示的な設定とAPIキーの強制有効化、MCPサーバーなら接続元ホスト制限とトークンローテーション設定が、インターネット公開を防ぐ最低限の構成となる。開発者がAI IDEエクステンションやvibe codingプラットフォームを利用する環境では、生成コードのSAST(静的解析)チェックをCI/CDパイプラインに組み込むことが、脆弱なコードが本番に流れ込むリスクを下げる実践的な手段になる。
Googleによる320億ドルの買収を経てGoogleのセキュリティ戦略の中核に位置づけられたWizが「AIはすでにファーストクラスのインフラだ」と繰り返す背景には、現場の実態調査から得られた確かな根拠がある。AIが意図せず組み込まれる構造は、セキュリティツールの更新だけでは変わらない。セキュリティ担当者がいま取り組むべきは、既存の管理モデルを「AIが選ばれて入るもの」から「AIがすでに動いているもの」へと切り替え、まず組織内の実態を把握することだ。第1段階の棚卸しをここから始められるかどうかが、今後の攻撃面の広がりを左右する。