検索
連載

なぜ今、「防御とAI」なのか 「禁止しているから大丈夫」が、もう通用しなくなった理由

生成AIは今や多くの職場に入り込んでいる。一方で、会社が把握しないAI利用や、AIエージェントへの権限付与は、情シスにとって新たな管理課題になりつつある。AIを禁止するだけでは実態は見えない。では、何から始めればよいのか。本連載では、専門部隊を持たない企業のIT担当者に向けて、AI時代の守り方を解説する。第1回はAIリスクの全体像と、最初に取り組むべき「見える化」を整理する。

Share
Tweet
LINE
Hatena

 2026年4月、セキュリティの常識を揺さぶる、あるニュースが流れました。AnthropicのAI「Claude Mythos」(クロードミュトス)が、主要なOSやWebブラウザに潜む未知の脆弱(ぜいじゃく)性を次々と見つけ出したのです。

 中には20年以上も見過ごされてきた欠陥もありました。同社が立ち上げた防御の取り組みでは、参加組織による調査も含め、1万件を超える深刻な脆弱性が確認されたと報じられました。この状況を「脆弱性の嵐」と呼ぶ専門家もいます。そして、その大半はまだ修正されていません。つまりこれから、あなたの会社で使っているソフトウェアにも、修正プログラム(パッチ)が次々と降ってくる可能性があるということです。

 問題は、パッチが出ること自体ではありません。自社への影響や適用の優先度、業務への支障を、限られた人数で判断し続けなければならない点にあります。専門部隊を持たない企業のIT担当者には重い負担です。

 本連載「防御とAI」では、専門部隊を持たない企業のIT担当者が、AIと向き合いながら自社を守るための考え方と「明日からできる一手」を全7回で整理します。第1回は、その全体像と「なぜ今なのか」を扱います。

AIで仕事が変わった、「リスクの地図」も変わった

 一言で「AIのリスク」と言っても、AIの使い方によって危険の形は変わります。本連載では、いま多くの職場で実際に起きている、次の3つのAI活用シーンを軸にします。

AI活用シーン×主なリスク 早見表
AI活用シーン 何が起きるか 主なリスク 連載で扱う回
チャットAIの業務利用 メール文面の作成、資料要約、アイデア出しなどに使う 機密情報の入力、誤回答の利用、著作権や個人情報の扱い 第3回、第4回
AIエージェント/自動化 AIがメール送信、データ更新、申請処理などを実行する 誤操作、権限の過剰付与、乗っ取り時の被害拡大 第5回
シャドーAI(無許可利用) 会社が許可・把握していないAIを社員が使う 情報漏えい、利用実態の不明化、問題発生時の対応遅れ 第2回

 新しいAIツールは次々に登場します。その全てを追い掛けるのは現実的ではありませんし、その必要もありません。大切なのは、個々のツール名ではなく、「どんな使い方をしているか」と「どんなデータを扱っているか」の2つで捉えることです。特に後者――扱う情報の機密性は、リスクの大きさを左右する最大の要素です。

 同じチャットAIでも、社外公開予定のブログの下書きを書かせるのと、顧客名簿や未公開の財務情報を貼り付けるのとでは、危険度はまるで違います。使い方(シーン)でリスクの“型”を、扱うデータ(機密性)でリスクの“重さ”を測る――この2つのものさしを持っておけば、新しいツールが出てきても「これはどのシーンで、どんなデータを扱うのか」と当てはめて考えられます(データの線引きそのものは、最も実務に直結する連載第3回でじっくり扱います)。

 身近な場面に置き換えてみましょう。チャットAIの業務利用は、メール文面の下書きや長い資料の要約など、既に多くの現場に入り込んでいます。AIエージェントや自動化は、「問い合わせメールを読んで、返信まで自動で送ってしまう」といった、AIが“自分で手を動かす”使い方です。下書きを作るだけなら人が最終確認できますが、送信や支払い、データ削除まで実行する設定にしていると、誤りや乗っ取りがそのまま外に出てしまいます。そしてシャドーAIは、会社が許可も把握もしていないAI利用――例えば、社員が私物スマホの無料ツールに業務情報を貼り付ける、といったケースを指します。

 「チャットで質問するだけ」から「AIに作業を任せる」へ、そして「会社が知らないところで使われる」へ。

 便利になるほど、リスクの面積も広がっていきます。大切なのは、これらは“いつか来る未来”ではなく、規模の大小を問わず既に自社で起きている可能性が高いという点です。まずはこの地図を頭に入れておいてください。なお、本連載は2部構成です。第1〜4回の第1部では“最低限押さえるべき守りの基本”を、第5〜7回の第2部では“AIを味方につける守りの高度化と、起きたときの備え”を扱います。

日本でも“公的な脅威”として位置付けられた

 ここまで見てきたAIのリスクは、もはや一部の専門家や先進企業だけが語る話ではありません。2026年に入り、流れははっきり変わりました。AIのリスクが、公的に「組織が備えるべき脅威」として名指しされたのです。

いま何が起きている?

 IPA(情報処理推進機構)が毎年公表する「情報セキュリティ10大脅威」の2026年版〔組織編〕で、「AIの利用を巡るサイバーリスク」が初めて選出され、第3位にランクインしました。長年トップを占める「ランサムウェア攻撃」「サプライチェーンを狙った攻撃」に次ぐ位置付けです。生成AIの急速な普及を背景に、登場と同時に上位へ食い込んだ形です。

 制度面も動いています。2025年9月1日には、日本で初めてAIを正面から扱う法律である「AI推進法」(人工知能関連技術の研究開発及び活用の推進に関する法律。同年6月公布)が全面施行されました。罰則を前提とした規制法ではありませんが、事業者には国の施策への協力が求められ、重大な問題があれば政府による調査や必要な措置の対象になり得ます。

 合わせて、経済産業省と総務省の「AI事業者ガイドライン」も2025年3月に第1.1版へ改訂され、生成AIに関する記載が拡充されました。その後も更新が重ねられており、「何を守ればいいのか」の土台となる公的な手引きが、年々アップデートされています(2026年6月時点では最新は第1.2版)。

 AIをどう扱うかは、もはや各社の自由裁量だけの問題ではなく、社会が“前提として求めるもの”に変わりつつあるのです。

AIの管理は、取引を続けるための条件になる

 AIリスクが公的に脅威として認知されたことには、実務上もう一つの意味があります。これからは取引先や親会社から「あなたの会社では、AIの利用管理をどうしていますか?」と問われる場面が増えていくということです。

 取引前に交わすセキュリティチェックシートにAI関連の項目が加わり、答えられなければ取引の土俵に上がれない――そんな状況が現実味を帯びてきました。自社が供給網(サプライチェーン)の一員である以上、AIの管理は「自社を守るため」だけでなく「取引を続けるための条件」にもなります。とりわけ大企業と取引する中堅・中小の事業者にとって、これは身近で切実なテーマです。守りの整備は、コストではなく取引の前提条件になりつつある、と捉えておくとよいでしょう。

 例えば取引先から「生成AIに当社情報を入力していないか」と問われたとき、「禁止しています」だけでは足りません。利用状況をどう把握し、どう運用しているかまでを説明できることが重要です。見える化と最小限のルールは、そのまま取引先への説明材料になります。

AIは、攻撃する側の武器にもなる

 冒頭で触れたMythosは、その象徴です。ここまでは「自分たちがAIを使うときの注意」が中心でした。しかしMythosが示したのは、AIが“攻撃の道具”にもなるという現実です。このAIは主要OSやブラウザの未知の“弱点”を自律的に見つけ、それを突く攻撃コードまで組み立てました。あまりに強力なためAnthropic社はこのモデルを一般公開せず、Amazon Web Services(AWS)、Apple、Google、Microsoftといった大手と組んだ防御の枠組み「Project Glasswing」を通じて、見つかった脆弱性の早期修正を進めています。

 とはいえ、発見された脆弱性の大半はまだ直っていません。Anthropicは慎重に管理していますが、同等の能力を持つAIは他社でも開発が進むと考えられており、いずれ同種の力が攻撃側の手に渡ることを警戒すべき状態です。一部の報道では、攻撃側が既に自然な文面のフィッシングメールを大量に作り分けるといった用途にもAIを使っているとされ、ある専門家は「脆弱性が見つかってから悪用されるまでの時間が、かつての数カ月から数分へと縮んだ」と指摘します。

 怖い話に聞こえますが、ここで強調したいのは別のことです。攻撃の発見が機械の速度になった分、「資産を把握し、小まめに更新して権限を絞る」という基本の徹底が、これまで以上に効いてきます。相次ぐパッチに対応し続けるのも、その基本の一つです。そして見落としてはならないのは、その同じAIを、守る側も使えるということ。自社のログや資産、“正常な状態”を最もよく知っているのは、攻撃者ではなく守り手です。この「守り手の優位」をどう生かすかが、本連載の第2部、特に第6回で詳しく扱うテーマになります。本連載が「使い方の注意」と「足元の備え」「AIを守りに生かす視点」をひと続きで扱うのは、このためです。

最初の一歩は「禁止」ではなく「見える化」

 では、何から手をつければよいのでしょうか。最初の一歩はルールを増やすことでも、全面禁止でもありません。「自社で今、AIがどう使われているかを知ること」です。見えていないものは守れません。

 全面禁止が逆効果になりやすいのには理由があります。禁止しても、便利さを知った人は使い続け、ただ“報告しなくなる”だけだからです。すると会社は実態をつかめず、いざ問題が起きても気付くのが遅れます。これが最も危険な状態です。逆に、利用状況さえ見えていれば、リスクの高いところから順に手を打てます。「禁止」ではなく「見える化」から――これが本連載の立場です。具体的なルールづくりや社員教育は、各回の末尾で「今日からできる一歩」として、少しずつ積み上げていきます。

やるべきこと

  • 「誰が、どのツールで、どんなデータを」AIに入れているかを、まず書き出して把握する
  • 正直に申告すれば、頭ごなしに禁止せず一緒に使い方を考える――という姿勢を示す(「申告したら使えなくなる」と思われると、利用が隠れてしまう)

やってはいけないこと

  • 実態を把握しないまま「全面禁止」だけを通達する(利用が地下に潜る)
  • 「うちは小さいから狙われない」と考える(自動化された攻撃に規模は関係ない)
  • 一度ルールを作って放置する(AIは数カ月で状況が変わる)

今日からできる一歩:AI利用の棚卸しシート

 難しいツールは要りません。「使っているAI」「使う部署・人」「入れているデータ」「会社の許可」の4項目を1枚に書き出すところから始めましょう。各部署に「AIを何に使っていますか?」と聞いて回るだけでも、「見える化」は確実に進みます。


AI利用棚卸しシート(著者作成)

 連載第2回は、「会社が把握していないAI利用」つまりシャドーAIを取り上げます。シャドーAIはどれくらい広がっていて、何が起きるのか。そして、禁止に頼らずにコントロールする方法を考えます。

著者プロフィール:廣山 豊

 KDDIアイレット 内部統制室 室長/クラウド・イノベーション本部 セキュリティ事業部 部長/gaipack本部 gaipack特命部 AIDDセキュリティ室 室長

 AWS および Google Cloud の運用・運用自動化のための開発責任者を経て、現在はセキュリティ事業を統括。AIDD セキュリティ室では、AI に対するガバナンス構築やガイドライン作成のコンサル業務を行う。また、内部統制として各種監査対応やインシデントハンドリングも行っており、運用やセキュリティ、開発など横断的な知識が強み。

関連リンク : 2025 Japan AWS Top Engineers (Security)


Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る