お世話になっております。CloudNative 営業担当 伊藤でございます。
「生成AIを社内で使いたいが、セキュリティが心配で踏み切れない」「AIのセキュリティ対策、と言われるが、何から手をつければいいか分からない」──。
こうした相談が、ここ最近で一気に増えました。ただ、つまずく原因の多くは、「AIセキュリティ」という言葉が広すぎることにあります。
これは情報セキュリティとよく似ています。というかほぼ同じですね。「情報セキュリティ対策」と一口に言っても、その中身はウイルス対策、ID・パスワード管理、ネットワークの防御、データの暗号化……と多岐にわたります。「対策しよう」と言うだけでは話が進まず、まずは何の話をしているのかを整理する必要があります。
AIセキュリティもまったく同じです。プロンプトインジェクション(後述)のような技術的な脅威の話と、社員が勝手にChatGPTを使ってしまう話は、本来まったく別のテーマなのに、同じ会議で混ざって語られがちです。
AIセキュリティを構成する要素は、数え上げればきりがありません。あれもこれもと脅威や論点を並べ始めると、かえって全体像が見えなくなり、議論が前に進まなくなります。
そこでこの記事では、情シスが向き合う内部統制・ガバナンスの観点にしぼって、まずはAIセキュリティを4つに分類します。「会社として、AIの利用やデータの扱いをどう統制するか」という切り口です。この4つに分けて捉えるだけで、「自社が今、どの話をしているのか」「次に何を検討すべきか」がぐっと見えやすくなります。
なお、これはAIセキュリティのすべてを網羅した唯一の分け方ではありません。今回は「情シスがガバナンスの文脈でまず押さえるべき4つ」として整理する、とご理解ください。難しい専門用語はそのつど補足するので、私のような非エンジニアの方も一緒に整理していきましょう。
今回分類する4つは、次の通りです。
- シャドーAI(社員の“勝手な利用”の統制)
- データ保護とAIサプライチェーン(入力データの行き先)
- アクセス権・認証認可(AIが“誰の権限”で動くか)
- AIガードレール(AIの暴走・誤りへの防御)
分類1:社員の“勝手な利用”を防ぐ「シャドーAI」
最初の分類は、いちばん身近な「シャドーAI」です。
シャドーAIとは、情シスが把握しないまま、社員が個人の判断で外部の生成AIサービスを業務に使ってしまう状態を指します。便利だからと、社外秘の資料やお客様の個人情報を、無料のAIサービスにそのまま貼り付けてしまう──といったケースが典型です。
これは、「シャドーIT(会社が許可していないツールを勝手に使うこと)」のAI版だと考えると分かりやすいです。
対策の基本は2ステップです。
まず、現状を見える化する。 社内からどんなAIサービスにアクセスがあるかを把握します(CASBと呼ばれる、クラウド利用を可視化する仕組みなどが使われます)。
次に、安全な使い道を用意する。 ここで「全面禁止」にしてしまうと、業務効率が落ちるうえ、かえって隠れて使う人が増えます。法人向けの安全なプランを会社として契約して正式に配る、あるいは社内専用のAI環境を用意するなど、禁止ではなく安全な代替を渡す**のが現実的です。
分類2:入力データと「AIサプライチェーン」のリスク
安全なAI環境を用意したら、次は入力するデータ(プロンプト)の保護です。
法人向けプランの多くは「入力したデータをAIの学習に使いません」と明記しています。ただ、気をつけたいのはそれだけではありません。ここで出てくるのが「AIサプライチェーンリスク」です。
最近は、いつも使っているSaaS(グループウェアやCRM、人事システムなど)に、AI機能が“標準で”組み込まれ始めています。このとき見落としやすいのが、直接契約しているサービスの「裏側」です。
そのAI機能は、裏でどこのAI(LLM=生成AIの本体となる大規模言語モデル)と、どんな条件でつながっているのか。チェックしたい観点は次のようなものです。
- 入力データは、どこに・どのくらいの期間ためられるのか
- 別のAI事業者にデータが渡る場合、学習をオフにする手続きは必要か
- そのつながり先(再委託先)のセキュリティ水準やデータの保管場所は問題ないか
つまり、契約している会社だけでなく、その先につながっている事業者まで含めて確認するという視点です。これは新しい脅威というより、これまでの「委託先のセキュリティ確認」の対象がAIにまで広がった、と捉えると分かりやすいかもしれません。
分類3:AIが“誰の権限”で動くか「アクセス権・認証認可」
3つ目は、この記事でいちばん丁寧に説明したい分類です。AIが社内データを読み、自動で作業をするようになるほど、「アクセス権の管理(誰が・何を見て・何をしてよいか)」が重要になります。
(1) RAG──AIが“見てはいけない情報”まで答えてしまう問題
最近は、社内文書(Box、SharePoint、Googleドライブなど)をAIに読み込ませて、自社専用の回答を作らせる仕組みが広がっています。これをRAG(検索拡張生成:AIが社内データを検索して、それを参照しながら答える方式)と呼びます。
ここでよく起きるのが、アクセス権のすり抜けです。
たとえば一般社員がAIに「来期の評価基準を教えて」と聞いたとします。もしAIが、本来は人事部しか見られないフォルダまで検索対象にしていたら、AIの回答を通じて、見えてはいけない情報が漏れてしまいます。
ポイントは、これが「AIのせい」というより、もともとの社内データのアクセス権設定が、AI経由で一気に表に出てくる問題だということです。AIを入れる前に、「そのフォルダ、本当に正しい人にしか見えない設定になっている?」という、地道な権限の棚卸しが効いてきます。
(2) NHI──AI自身の“IDと権限”をどう管理するか
もうひとつが、これから本番を迎える論点、NHIです。
NHIは「Non-Human Identity(非人間ID)」の略で、人間以外のIDを持って動くものを指します。少し意外かもしれませんが、システムやプログラムも、人間と同じように「自分は何者か」を示すID(サービスアカウントやAPIキーなど)を持って動いています。AIエージェント──人の代わりに、いくつもの作業を自動でこなすAI──も、その一つです。
人間がシステムにログインするとき、ID・パスワード・多要素認証(MFA)で本人確認をしますよね。ところが、こうした“人間以外のID”は、
- パスワードや多要素認証のような本人確認が効きにくい
- 使い終わっても消されず、放置されがち
- 「誰が管理しているのか」があいまいになりやすい
といった、人間のIDなら当たり前の管理が抜け落ちやすいのです。そして、こうしたIDは人間のIDの何十倍も社内に存在することも珍しくありません。
AIエージェントの場合、いちばん大事な問いはこれです──「そのAIは、いったい“誰の権限”で動いているのか?」
たとえば、一般社員が「この件、関係部署に共有しておいて」とAIに頼んだとします。もしAIが強い権限を持っていると、その社員本人にはできないはずの操作(全社員の情報を取り出す、社外に送信する、など)まで、AI経由で実行できてしまうかもしれません。
だからこそ、AIにも人間と同じ発想で管理が必要です。必要最小限の権限だけ渡す。使い終わったら権限を失効させる。誰の持ち物かをはっきりさせる。 こうした“人間以外のIDの管理”が、AI時代の新しい主戦場になります。
そして(1)のRAG(データのアクセス権)と(2)のNHI(AI自身の権限)は、別々ではなく「AI時代のアクセス権管理」としてセットで設計するのが理想です。
NHIに関しては、弊社の代表が以前に詳細な記事をupしておりますので、そちらもご参照いただけると幸いです。
- NHI(Non-Human Identity)管理が一気に立ち上がってきた件
https://blog.cloudnative.co.jp/articles/nhi-non-human-identity-management/
分類4:AIの暴走・誤りを止める「AIガードレール」
最後の分類は「AIガードレール」です。これは、AIへの入力と、AIからの出力の間に置くフィルターのことだと考えてください。自社で生成AIを組み込んだサービスやチャットボットを作るときに、特に重要になります。
ただし、ここは正直にお伝えします。ガードレールは万能ではありません。得意なことと、まだ苦手なことがあります。
- 入力のチェック(比較的得意):悪意ある指示でAIを操ろうとする「プロンプトインジェクション」(AIへの巧妙な命令文で、本来の制限を外させようとする攻撃)を検知・抑制する。ただし、この攻撃は完全に防ぎきる決定打がまだ無く、「被害を抑える」のが現実的なゴールです。
- 出力のチェック(比較的得意):AIの回答に個人情報や機密情報が混ざっていないか、不適切な表現がないかを確認する。
- ハルシネーション(苦手):AIが事実と違うことをもっともらしく答えてしまう「ハルシネーション」は、ガードレールだけでは防ぎきれません。ここは、信頼できる社内データを参照させる(前述のRAG)、そして重要な内容は人がチェックするといった運用面の工夫が本筋です。
「ガードレールを入れればAIのウソもゼロになる」わけではない、という点は、社内で期待値を合わせるうえでも押さえておきたいところです。
まとめ:4つの分類で“自社の現在地”を整理しよう
ここまで、AIセキュリティを4つに分類して見てきました。
- シャドーAI:社員の“勝手な利用”をどう見える化し、安全な代替を渡すか
- データ保護とAIサプライチェーン:入力データの行き先と、契約先の“裏側”をどう確認するか
- アクセス権・認証認可(RAG × NHI):AIが“誰の権限”で社内データを扱うか
- AIガードレール:AIの暴走や誤りを、どこでフィルターするか
「AIセキュリティ対策」と一言で言っても、中身はこれだけ幅があります。そして恐らくもっとありますし、AIの発展と共にもっと増えていくでしょうと思っています。だからこそ、いきなり個別の製品やツールを探す前に、まず自社が今AIセキュリティの中で、どの話をしているのかを整理することが、遠回りのようでいちばんの近道です。
頭の中が整理できれば、社内の議論も「結局なんとなく不安」から、「うちはまず分類1と2から手をつけよう」といった、地に足の着いた検討へと進められます。
最後に
株式会社クラウドネイティブは、特定の製品に偏らない中立的な立場で、ITインフラ・セキュリティの現状調査からグランドデザインの策定、導入・実装、運用支援までをワンストップで支援しています。
「生成AIを活用したいが、社内データのアクセス権の整理に不安がある」「AIエージェント時代を見据えたID管理のグランドデザインを描きたい」といった課題をお持ちの方は、お気軽にご相談ください。
今後とも何卒よろしくお願いいたします。
