株式会社TIMEWELLの濱本です。
「AIを導入したいが、情報漏洩が心配で踏み切れない」。CISOやセキュリティ担当者から、この声を毎週のように聞きます。
心配は的中しています。サムスンでは社員がChatGPTに社内ソースコードを入力し、機密情報が外部に流出する事故が発生しました。2024年3月には、ある対話型AIサービスでデータベース設定の不備により、ユーザーのプロンプトや個人情報が第三者に閲覧可能な状態になっていたことが発覚。こうした事故は現実に起きている。
ただ、AIを使わないリスクも無視できません。競合がAIで業務効率を上げるなか、自社だけが「セキュリティが心配だから」と導入を見送り続ければ、競争力の差は開く一方です。
必要なのは「使わない」判断ではなく、「安全に使う」仕組み。ここでは、企業のAI導入に必要なセキュリティ対策を20項目のチェックリスト、リスク別の対策表、段階的な導入フローにまとめました。
AIセキュリティの全体像
AI導入におけるセキュリティリスクは、従来のITシステムとは性質が違います。ここを理解しないと、的外れな対策に時間を使うことになります。
| リスク分類 | 具体的なリスク | 発生頻度 | 影響度 | 従来ITとの違い |
|---|---|---|---|---|
| データ漏洩 | 入力データがAIモデルの学習に使われる | 高 | 大 | 入力が即学習データになりうる |
| プロンプトインジェクション | 悪意ある指示でAIの挙動を操作される | 中 | 大 | 全入力を信頼してしまう特性 |
| ハルシネーション | AIが事実に基づかない回答を生成する | 高 | 中〜大 | 出力の正確性が保証されない |
| モデル汚染 | 学習データに毒を仕込まれる | 低 | 大 | 攻撃の検知が困難 |
| 権限逸脱 | AIエージェントが意図しない操作を実行 | 中 | 大 | 自律的に行動する特性 |
| メモリリーク | AIの記憶に残った情報が別ユーザーに漏洩 | 中 | 大 | 会話履歴の管理が必要 |
| サプライチェーンリスク | 利用するAI APIやモデルの脆弱性 | 中 | 大 | 外部依存度が高い |
Microsoftの2026年2月のセキュリティブログが鋭い指摘をしています。従来のシステムは入力を検証してから処理するが、LLMはすべての入力を有効なものとして受け取る。「前の指示を無視してXを実行せよ」というコマンドが、そのまま攻撃として成立する。これは従来のセキュリティの常識では防げない脅威です。
リスク別の対策表
各リスクに対して、技術面と運用面の両方から手を打つ必要があります。
| リスク | 技術的な対策 | 運用的な対策 | コスト | 優先度 |
|---|---|---|---|---|
| 入力データの漏洩 | DLPの導入、入力フィルタリング | 機密情報の入力禁止ルール策定 | 中 | 最優先 |
| 学習データへの利用 | オプトアウト設定、プライベートAPI利用 | 利用規約の確認と記録 | 低〜中 | 最優先 |
| プロンプトインジェクション | 入力サニタイズ、システムプロンプトの堅牢化 | 出力の人間レビュー体制 | 中 | 高 |
| ハルシネーション | RAGによる根拠付き回答、出典表示 | 回答の事実確認プロセス | 中 | 高 |
| 不正アクセス | API認証、IP制限、多要素認証 | アクセスログの定期監査 | 低 | 高 |
| 権限逸脱 | 最小権限の原則、サンドボックス実行 | 操作ログの監視、異常検知 | 中 | 高 |
| データ保管場所 | 国内サーバー利用、暗号化 | データレジデンシーの確認 | 中 | 高 |
| モデル汚染 | 信頼できるプロバイダーの選定 | ベンダー監査、SLAの確認 | 低 | 中 |
| メモリリーク | セッション分離、自動削除設定 | 利用後のデータ消去確認 | 低 | 中 |
| コンプライアンス違反 | 監査ログの自動記録 | ガイドラインの策定と教育 | 低 | 高 |
20項目セキュリティチェックリスト
AI導入前に確認すべき20項目です。自社の状況に照らし合わせてチェックしてください。
データ保護(5項目)
- D-1 入力データがAIモデルの学習に使われないことを契約や利用規約で確認したか
- D-2 機密情報(個人情報、営業秘密、財務データ)の入力を防止する仕組みがあるか
- D-3 AIが処理するデータの保管場所(リージョン)を把握しているか
- D-4 データの暗号化(転送時と保管時)が実施されているか
- D-5 データの保持期間と削除ポリシーが明確か
アクセス制御(5項目)
- A-1 AIサービスへのアクセスにSSOまたは多要素認証を適用しているか
- A-2 部門や役職に応じたアクセス権限を設定しているか
- A-3 APIキーの管理ルール(ローテーション、保管場所)が決まっているか
- A-4 退職者や異動者のアクセス権を速やかに無効化する手順があるか
- A-5 管理者アカウントの一覧が最新の状態で管理されているか
利用ポリシー(5項目)
- P-1 生成AI利用ガイドラインを策定し、全社に周知しているか
- P-2 AIに入力してよいデータの範囲(許可リストと禁止リスト)を定義しているか
- P-3 AI出力の利用ルール(そのまま使わない、事実確認必須など)を明文化しているか
- P-4 インシデント発生時の報告フローと対応手順が整備されているか
- P-5 利用ポリシーの定期見直しスケジュール(年2回以上)が決まっているか
監視・監査(3項目)
- M-1 AIサービスの利用ログ(誰が、いつ、何を入力したか)を取得・保管しているか
- M-2 異常な利用パターン(大量入力、深夜のアクセスなど)を検知する仕組みがあるか
- M-3 定期的な監査(四半期ごと)を実施し、結果を経営層に報告しているか
ベンダー管理(2項目)
- V-1 AIサービス提供企業のセキュリティ認証(ISO27001、SOC2など)を確認したか
- V-2 SLA(可用性、データ保護、インシデント対応時間)を契約に盛り込んでいるか
「いいえ」が5個以上あるなら、本番利用の前に対策が必要です。10個以上なら、セキュリティ体制の見直しから始めてください。
段階的導入フロー
AIのセキュリティ対策を一気に完璧にするのは無理です。段階的に整備していくのが現実的なアプローチ。
フェーズ1:評価と準備(1〜2ヶ月)
この段階でやることは3つです。
- リスクアセスメント:自社のAI利用シナリオを洗い出し、「どの部門が」「どんなデータを」「どのAIサービスで」処理するかの一覧を作成する
- ポリシー策定:チェックリストのP-1〜P-5に対応する利用ポリシーを作成する。総務省の「AI事業者ガイドライン」(2025年3月 第1.1版)が参考になる
- ツール選定:セキュリティ要件を満たすAIサービスを選定する
| 確認項目 | 具体的な確認内容 | 重要度 |
|---|---|---|
| データの学習利用 | 入力データがモデル学習に使われないか | 最重要 |
| データ保管場所 | 日本国内のサーバーで処理・保管されるか | 最重要 |
| 暗号化 | 転送時(TLS 1.3)と保管時(AES-256)の暗号化対応 | 最重要 |
| 認証方式 | SSO、SAML、多要素認証への対応 | 重要 |
| 監査ログ | 利用ログの取得とエクスポート機能 | 重要 |
| セキュリティ認証 | ISO27001、SOC2 Type IIの取得状況 | 重要 |
| インシデント対応 | 障害時の連絡体制、SLA | 重要 |
フェーズ2:パイロット運用(2〜3ヶ月)
限定した部門でパイロット運用を開始します。IT部門や企画部門など、セキュリティリテラシーの高い部門が適しています。
この期間の重点は4つです。
- 利用ポリシーの遵守状況のモニタリング
- 禁止データの入力がないかの確認(DLPログの分析)
- ユーザーからのセキュリティに関する質問や懸念の収集
- インシデント対応手順の実地訓練
パイロット期間で「ポリシーとして決めたが実際には守れない」項目が必ず見つかります。これはフロー改善のための貴重なフィードバックです。
フェーズ3:段階展開(3〜6ヶ月)
パイロットの結果をもとにポリシーと運用を修正し、他部門へ展開します。
展開の順序は、取り扱うデータの機密度で決めてください。
- IT部門(パイロット)
- 企画・マーケティング部門(公開情報中心)
- 営業部門(顧客情報を含む可能性あり)
- 人事・法務部門(機密度の高い情報)
- 全社展開
機密度の高い部門ほど後にすることで、先行部門で得たノウハウを活かせます。
フェーズ4:定常運用と継続改善
全社展開後も回し続けるサイクルがあります。
月次でやること。利用ログのレビューとDLPアラートの確認・対応。
四半期でやること。セキュリティ監査の実施、ポリシーの見直し、新たなリスクの洗い出し。
年次でやること。第三者によるセキュリティ評価、ガイドラインの大幅改訂(AI規制の動向を反映)、全社向けセキュリティ研修の実施。
日本のAIセキュリティ規制動向
2026年2月現在の主要なガイドラインを整理しておきます。
| ガイドライン名 | 発行元 | 最新版 | 主な内容 |
|---|---|---|---|
| AI事業者ガイドライン | 経産省・総務省 | 第1.1版(2025年3月) | AI事業者の責務、リスク管理 |
| AIのセキュリティ確保のための技術的対策ガイドライン | 総務省 | 2025年度版(案) | プロンプトインジェクション対策、DoS対策 |
| 個人情報保護法のAI対応 | 個人情報保護委員会 | 随時更新 | AIによる個人情報処理の注意点 |
| EU AI Act | 欧州議会 | 2024年8月施行 | リスクベースのAI規制(日本企業も影響あり) |
Gartnerは2024年10月、AI時代の情報漏洩対策に不可欠な6つの要素を発表しました。ポリシー策定、データ分類、アクセス制御、監視、教育、インシデント対応。自社のセキュリティ体制をこの6要素で点検してみるといい。抜けている要素があれば、そこが脆弱性です。
総務省は2025年度末までに生成AIセキュリティガイドラインの策定・公表を予定しており、2026年度にはその更新を行う方針。規制は確実に厳格化する方向にあるので、先手を打った対策をしておくべきだと私は考えています。
よくあるセキュリティ失敗パターン
「禁止」で終わらせる
「AIの業務利用を禁止する」というルールを出す企業がありますが、現実には従業員が個人のスマホやPCで勝手にAIを使い始めます。シャドーAIと呼ばれる状態で、管理できないぶん禁止していないよりも危険。「安全に使うルール」を整備するのが正解です。
ツール選定時にセキュリティを後回しにする
「まず便利なツールを入れて、セキュリティは後で考えよう」。このアプローチは確実に問題を起こします。導入後にセキュリティ要件を満たせないとわかり、ツールの入れ替えが発生する。私はこのパターンを何度も見てきました。ツール選定とセキュリティ評価は同時にやってください。
一度作ったポリシーを放置する
AIの技術進化は速く、半年前のポリシーがもう使えないことがあります。AIモデルの新機能追加、新たな攻撃手法の発見、規制の変更。これらに合わせてポリシーは更新し続けるものです。作って満足しないでください。
まとめ
セキュリティ対策の話になると、「あれも守らないと、これも守らないと」と対策の積み上げだけに意識が向きがちです。重要なのは、セキュリティは「AIを使わせない」ための仕組みではなく、「安心して使える環境を作る」ための仕組みだという認識です。
ガチガチに固めすぎて誰も使えないルールを作るのは本末転倒です。チェックリストの20項目を全部クリアしてから始めようとするのも、おそらく現実的ではない。まずは「最優先」のデータ漏洩対策と学習データ利用のオプトアウトを押さえたうえで、パイロット運用しながら体制を固めていく。この順序で進めれば、セキュリティとスピードを両立できます。
ZEROCKのエンタープライズセキュリティ
ZEROCKは、企業のセキュリティ要件を満たすことを前提に設計されたAIナレッジプラットフォームです。
データはAWS東京リージョンで管理され、国内データレジデンシーを確保。入力データのモデル学習への非利用を保証しています。通信はTLS暗号化、保管データも暗号化済み。部門・ユーザー単位のアクセス制御、監査ログの記録とエクスポート機能、マルチLLM対応によるベンダーロックインの回避まで、エンタープライズに必要な機能を揃えています。
セキュリティを確保しながらAIの業務活用を進めたい方は、ZEROCKの詳細をご確認ください。
参考情報
- Microsoft Security Blog「Microsoft SDL: Evolving security practices for an AI-powered world」(2026年2月)
- 総務省「AIのセキュリティ確保のための技術的対策に係るガイドライン(案)」
- 経産省・総務省「AI事業者ガイドライン 第1.1版」(2025年3月)
- Gartner「AI/生成AI時代の情報漏洩対策に不可欠な6つの要素」(2024年10月)
- NTTデータ「情報漏洩?企業における生成AI活用の落とし穴」
- トレンドマイクロ「AI事業者ガイドラインから読み解くAI利用時のセキュリティ対策」