AI基本計画が示す企業の責任
日本政府は、AIの健全な利活用を目的として「AI基本計画(人工知能基本計画)」を策定しています。 この計画では、AI活用の推進と同時に、情報セキュリティや個人情報保護への配慮が重要な柱として示されています。
AI活用とリスク管理はセットで考える必要がある
2025年12月23日に閣議決定されたAI基本計画では、AIの利便性だけでなく、リスク管理やガバナンスの重要性が強調されています。 特に、個人情報や機密情報を扱う法人利用では、利用者側が責任を持って安全対策を講じることが前提とされています。
2026年は単にAIツールを導入するのではなく、利用ルールや管理体制を含めた全体設計もAIサービス活用を考えるうえで求められるでしょう。
2025年に相次いだセキュリティインシデント
AIやクラウドサービスの普及に伴い、2025年には国内外でセキュリティインシデントが相次いで報告されました。 これらの事例は、AI関連サービスのセキュリティ対策が経営課題になりつつあることを示しています。
人的ミスと管理不備が原因となるケースが増加
2025年トレンドマイクロのセキュリティ動向レポートでは、攻撃手法の高度化だけでなく、設定ミスや権限管理不備といった人的要因による事故が多いと指摘されています。
不正アクセスやランサムウェア攻撃を始めとしたサイバーリスクは、どの業種でも起こり得ます。AIサービスの活用場面でも例外ではなく、アクセス制御やログ管理が不十分な状態で利用されることで、被害が拡大する恐れがあります。
AI活用で懸念される代表的なセキュリティ課題
AI導入時の不安は漠然としがちですが、内容を整理するといくつかの典型的な課題に分類できます。 課題を正しく理解することが、過度な不安を減らす第一歩です。
機密情報や個人情報の漏えい
生成AIに社内資料や顧客データを入力した場合、その情報が外部に送信されるのではないかと懸念されます。 また、チャットログが保存され、意図しない形で再利用されるリスクも考えられます。 アクセス権限の管理が甘い場合、誰でも重要情報を入力できてしまう点も課題です。
AIアカウントの不正利用
退職者のアカウントが残ったままになっていたり、APIキーが適切に管理されていなかったりすると、不正利用につながります。 特に複数のAIサービスを併用している企業では、管理が複雑化しやすい傾向があります。
誤回答やハルシネーション
AIは誤った情報をもっともらしく出力することがあります。 契約や法務、医療関連など、誤りが大きな影響を与える業務での利用には慎重な設計が必要です。
セキュリティ不安を解消する基本方針
AIサービスの安全性を高めるためには、「ルール整備」「可視化」「制御」の三つを意識することが重要です。 この三点を組み合わせることで、実務に即した対策が取りやすくなります。
AI利用ルールと教育の整備
入力してよい情報、禁止する情報を明文化することで、情報漏えいリスクを下げられます。 あわせて、AIの回答を最終判断に使わないなど、利用上の注意点を共有することも重要です。
利用状況の可視化と監査
誰がどのAIを使っているのかを把握できる状態を作ることで、問題発生時の原因特定や再発防止につながります。 ログ管理や監査証跡の保存は、内部統制の観点でも重要です。
技術的な制御によるリスク低減
人的注意だけに頼らず、システムで制御することでヒューマンエラーを補えます。 情報の持ち出し防止や認証強化は、AI利用時にも有効です。
【課題別】AIサービスのセキュリティ対策と有効なツール比較
AIサービスのセキュリティ対策は、課題ごとに有効なツールが異なります。 ここでは、実務で検討されることが多い4つの課題について、運用面の対策とあわせて、導入を検討しやすいセキュリティ製品を整理します。
情報漏えいへの対策はDLPとCASBが中心
AIサービス利用時の最大の懸念は、機密情報や個人情報の漏えいです。 例えば、生成AIに社内資料や顧客データを入力した場合、その情報が外部に送信されるリスクが指摘されています。
運用面では、AIに入力してよい情報と禁止する情報を明確に定義し、利用者に周知することが基本です。 技術面では、DLPやCASBを組み合わせることで、実効性の高い対策につながります。
- ■DLP(情報漏えい対策)
- AIへの入力内容や外部送信データを監視し、個人情報や機密情報の持ち出しを検知・制御します。
- ■CASB(クラウドアクセスセキュリティ)
- 生成AIを含むクラウドサービスの利用状況を可視化し、ポリシーに基づいた制御を行います。
SecureLayer Browser Extension
- 機密情報のChatGPT・翻訳サイト等へうっかり流出を防止
- SaaS利用を可視化し、野良SaaSを検出
- AI解析で不審コードやマルウェアをリアルタイム無効化
株式会社アズジェントが提供する「SecureLayer Browser Extension」は、ブラウザ利用時の通信や操作を制御できるセキュリティソリューションです。 生成AIを含むクラウドサービスへのアクセス制御やデータ持ち出し対策として活用でき、CASB的な役割を担う場合があります。
マネーフォワードAdmina
- エージェントレスで社内のシャドーITを簡単検知
- 監査ログ、ブラウザ拡張、会計システムからの多段検知を採用
- 90000 SaaSのDBと検知SaaSをマッチング。日本のSaaSにも多数対応
マネーフォワードi株式会社が提供する「マネーフォワードAdmina」は、SaaS利用状況やアカウント情報を可視化・管理できるクラウド管理サービスです。 AIサービスを含むクラウド利用を把握し、シャドーITの抑止やガバナンス強化を図ることで、全社的な統制不足の解消に役立ちます。
以下の記事ではDLPやCASBの機能や選び方、おすすめの製品などを、具体的に比較して紹介しています。ぜひ参考にしてみてください。
不正利用を防ぐにはID管理とログ管理が重要
AIサービスの不正利用は、アカウント管理の不備や利用状況の把握不足から発生することが少なくありません。 退職者のアカウントが残ったままになっていたり、誰がどのAIを使っているか分からない状態はリスクにつながります。
運用面では、利用者ごとの権限管理や、定期的なアカウント棚卸しが欠かせません。 製品面では、ID管理とログ管理を組み合わせることで、不正利用の抑止と事後確認が可能になります。
- ■ID管理
- ユーザー認証やアクセス権限を一元管理し、AIサービスへの不正アクセスを防止します。
- ■ログ管理
- AIサービスの利用履歴を記録・保存し、不正利用や内部不正の早期発見に役立てます。
Keyspider
- クラウドID管理と効率化を実施し、変化に対応できるシステム運用
- “引継ぎ期間”を想定した対応が可能
- 組織情報に紐づけ、各システムの権限付与が自動的に行える。
株式会社アクシオが提供する「Keyspider」は、クラウドサービスや社内システムのIDとアクセス権限を一元管理できるID管理ソリューションです。 AI関連サービスの利用においても、ユーザーごとの権限設定やアカウント棚卸しを行うことで、不正利用や退職者アカウントの残存リスクを抑える運用に役立ちます。
クライアント運用管理ソフトウェア SKYSEA Client View
- 「日経コンピュータ 顧客満足度調査 2024-2025」で1位を獲得!
- 日々のログを収集し、情報漏洩リスクの素早い発見をサポート
- 特定のファイル操作などをログで確認、状況把握をご支援
Sky株式会社が提供する「SKYSEA Client View」は、パソコンの操作ログや利用状況を可視化できるクライアント運用管理ソフトウェアです。 AIサービス利用時の操作履歴を把握できるため、不正利用の抑止や、セキュリティインシデント発生時の原因調査にも活用できます。
以下の記事ではID管理やログ管理の機能や選び方、おすすめの製品などを、具体的に比較して紹介しています。ぜひ参考にしてみてください。
サイバー攻撃対策にはエンドポイントセキュリティ
AIサービスそのものだけでなく、利用する端末がマルウェアに感染している場合、認証情報の窃取や不正操作につながる可能性があります。 特に、テレワーク環境では端末管理が不十分になりやすい点に注意が必要です。
運用面では、端末の利用ルールやアップデート管理を徹底します。 製品面では、エンドポイントセキュリティを導入し、マルウェア感染や不審な挙動を検知・防御することが有効です。
- ■エンドポイントセキュリティ
- パソコンやスマートフォンを保護し、AIサービス利用時の不正操作や情報窃取リスクを低減します。
マネージドセキュリティサービス エンドポイントセキュリティ
- 高い検知精度のカスタムシグネチャーで見逃しリスクを低減
- SOCによる高度分析で運用負荷の低減やセキュリティの向上を実現
- 本製品とNWセキュリティデバイスの双方の監視による多層防御
NTTセキュリティ・ジャパン株式会社が提供する「マネージドセキュリティサービス エンドポイントセキュリティ」は、端末の脅威検知や対策運用を支援するマネージド型サービスです。 AIサービスを利用する端末のマルウェア感染や不正挙動を監視することで、サイバー攻撃による情報漏えいや不正操作リスクの低減に寄与します。
以下の記事ではEDR(エンドポイントセキュリティ)の機能や選び方、おすすめの製品などを、具体的に比較して紹介しています。ぜひ参考にしてみてください。
ガバナンス不足を補うGRCの活用
AI利用が部門ごとに進み、全社的な管理ができていない状態では、ポリシー違反や法令対応漏れが起こりやすくなります。 AI基本計画でも、ガバナンスの重要性が指摘されています。
運用面では、AI利用ポリシーの策定と定期的な見直しが必要です。 製品面では、GRCツールを活用することで、リスク評価やポリシー管理を効率化できます。
- ■(ガバナンス・リスク・コンプライアンス)
- AI利用に関するポリシー管理やリスク可視化を支援し、全社的な統制強化に役立ちます。
Oracle NetSuite
- 経営に必要な情報をリアルタイムに一元可視化
- 脱Excelで属人化と手作業を排除し業務を標準化
- 業績、KPI、キャッシュを多角的に分析・活用
日本オラクル株式会社が提供する「Oracle NetSuite」は、会計や業務管理を統合的に支援するクラウド型基幹システムです。 権限管理や操作ログの管理機能を通じて、AI活用を含む業務プロセス全体のガバナンス強化や内部統制の基盤として活用されるケースがあります。
以下の記事ではGRCの機能や選び方、おすすめの製品などを、具体的に比較して紹介しています。ぜひ参考にしてみてください。
AIのセキュリティ対策に関してよくある質問
- Q1:AIサービスは安全に使えるのでしょうか?
- AIサービス自体に大きな問題があるというより、利用方法や管理体制によってリスクが変わります。 ルール整備とセキュリティ対策を組み合わせることで、安全性を高めることは十分可能です。
- Q2:無料の生成AIは業務で使っても問題ありませんか?
- 無料サービスは手軽に使えますが、入力データの取り扱い条件やログ保存の有無を確認する必要があります。 機密情報を扱う業務では、法人向けプランや専用環境の検討が望ましいです。
- Q3:AIの誤回答を完全に防ぎたいです。
- 完全に防ぐことは難しいため、AIの回答を最終判断に使わない運用が重要です。 人による確認フローや、参照データを限定する仕組みを組み合わせることでリスクを抑えられます。
- Q4:どのセキュリティ製品から検討すべきですか?
- 情報漏えい対策やID管理など、既存のセキュリティ課題と共通する部分から検討すると導入しやすくなります。 AI専用対策だけにこだわる必要はありません。
まとめ
AIサービス導入時のセキュリティ不安は、政策動向や実際のインシデント事例から見ても、企業が向き合うべき重要な課題です。 一方で、「ルール整備」「可視化」「制御」を意識した対策を講じることで、過度に恐れる必要はありません。 DLPやID管理などのセキュリティ製品を比較検討し、自社に合った対策を選ぶためにも、複数製品の資料請求を行い具体的な違いを確認することをおすすめします。
