シャドーAI検出と統制設計——承認外の生成AIツールをCASBとポリシーで把握・管理する実務ガイド

シャドーAI検出と統制設計——承認外の生成AIツールをCASBとポリシーで把握・管理する実務ガイド AIリスク
2026.04.27
この記事は約8分で読めます。

このテーマを今提示する理由

生成AIの業務利用が急速に広がる一方で、IT・セキュリティ部門の把握を経ずに従業員が個人判断で使い始める「シャドーAI(Shadow AI)」が各組織で静かに拡大しています。従来のシャドーITと大きく異なるのは、ツールを使うだけでなく、業務データ(設計書・顧客情報・未公開財務数字)を外部モデルに直接入力するリスクが伴う点です。個人情報保護委員会は2023年6月に生成AIサービスの利用に関する注意喚起を公表しました。「把握できていないリスク」が「対処の遅れによる経営責任」へと変わりつつある今、統制設計を先送りにできる組織は少なくなっています。

シャドーAIが生まれる構造

シャドーAIが組織内に広がる背景は、三つの軸で整理できます。

  • 調達スピードのギャップ: 生成AIツールは個人のクレジットカードで即日利用できます。社内の正式調達プロセスが数週間〜数か月かかる現実と比べると、「先に使ってから報告する」行動が自然に生まれます。
  • 業務効率への圧力: 生産性向上が組織の命題となるなか、AIを使わない従業員は相対的に遅れをとると感じます。リスク説明より「便利さの先取り」が優先される心理的プレッシャーは、上位レイヤーからの「もっと効率化を」というメッセージと相まって強化されます。
  • ポリシーの空白: 多くの組織ではクラウドSaaSに関するポリシーはあっても、「生成AIへのデータ入力」を明示的に扱う規程がまだ整備されていません。「禁止されていないから使っている」という認識の従業員が少なくない状況が現実です。

検出と把握の選択肢

シャドーAIを把握する手段は複数あり、既存のセキュリティ基盤の延長線上で対応できるものが多くあります。

  • SWG1(Secure Web Gateway)/プロキシログ分析: 社内から chatgpt.comclaude.aigemini.google.comcopilot.microsoft.com 等のドメインへのアクセスをログから集計します。既存のプロキシを持つ組織なら追加コストなしに始められる最初の一手です。
  • CASB2(Cloud Access Security Broker): SaaS利用を可視化・制御するブローカー層で、AIサービス専用のカテゴリ分類を持つ製品(Netskope・Zscaler・Microsoft Defender for Cloud Apps 等)が登場しています。未承認AIサービスの利用者数・転送データ量をレポート化できます。
  • DLP3(Data Loss Prevention): 機密データの外部送信先としてAIサービスドメインを検出ルールに追加します。Microsoft Purview や Symantec DLP では送信先カテゴリに「Generative AI」を指定できます。
  • SaaS 監査ログ: Microsoft 365 環境であれば Microsoft Purview の監査ログで Copilot 以外の外部AIアプリへの OAuth 連携を確認できます。Google Workspace では管理コンソールの「アプリアクセス制御」が対応します。
  • エンドポイント可視化: CrowdStrike Falcon や Microsoft Defender for Endpoint のプロセス・ネットワーク監視ログで、ブラウザ拡張型AIツールの利用を検出できます。

統制パターン

把握した後の統制は、三つの方式から組織のリスク許容度に応じて選択します。

  • 許可リスト方式: 承認済みAIツールのみへのアクセスを許可し、それ以外はプロキシ/CASBでブロックします。最も確実ですが、業務上の柔軟性が失われ、VPN迂回や個人端末利用でバイパスされるリスクも残ります。機密性の高い業種・部門への部分適用が現実的です。
  • ポリシー方式: 利用を禁止せず、「入力してよいデータの分類(社内限・公開情報のみ可等)」と「ログ取得の義務化」をセットにします。従業員への研修とアクノレッジメント取得が前提です。NIST AI RMF4 の GOVERN 機能が示すガバナンス設計と整合します。
  • 提供方式: 会社が安全な代替ツール(ChatGPT Enterprise・Microsoft 365 Copilot・Google Workspace Gemini 等)を整備し、非公式利用の動機を消す方法です。データが学習に使われない契約・DPA5(データ処理契約)の締結、シングルサインオンによる利用ログ取得がセットになります。三方式の中で従業員の反発が最も少なく、長期的な統制効果が高いと言われます。

補足: いずれの方式も単独で完結するわけではありません。「提供方式で正規ルートを整備しつつ、ポリシー方式で残存リスクをカバーし、CASBで可視化を続ける」という組み合わせが実務では多く見られます。

業種別影響

シャドーAIのリスク構造は業種によって性質が異なります。

  • 金融: 顧客の取引データ・資産情報をAIに入力するケースが最大のリスクです。「第三者提供に相当する処理」として個人情報保護法上の同意問題が生じる可能性があり、法務部門を含む横断的な検討が必要です。証券・銀行では情報障壁(チャイニーズウォール)との整合も論点になります。
  • 製造: 設計図面・試作仕様・未公開の特許技術が入力されると、知的財産の漏えいに直結します。AIサービスの利用規約次第ではモデル改善に使われる可能性があるため、利用規約のレビューと「学習利用オプトアウト」の確認が急務です。
  • 医療: 患者情報(PHI)の入力は「医療情報システムの安全管理に関するガイドライン」(厚生労働省)および個人情報保護法の要配慮個人情報規定に抵触する可能性があります。電子カルテ補助や診断サポートへの生成AI活用には、患者同意と院内審査プロセスが別途必要です。

みんなどうしてる?

以下は公開情報からの紹介です。各社の文脈・前提が異なるため、推奨ではなく参照点として整理しています。

  • Microsoft(テクノロジー): Microsoft 365 Copilot のデータ取り扱いを Trust Center で公開し、テナント内データがモデル学習に使われないことを明示しています。管理者向けには監査ログ・eDiscovery の設定手順を提供しており、「まず公式ツールで代替する」提供方式の実装例として参照できます。出典
  • OpenAI(AIプロバイダー): Enterprise 向けに Trust Portal でデータ処理契約(DPA)と SOC 2 Type II レポートの提供を公開しており、企業が契約前にデータ保護水準を確認できる体制を整備しています。出典
  • Samsung(製造): 2023年4月、社内エンジニアが ChatGPT に半導体製造コードを入力した事故を受け、同年5月に全従業員の業務利用を一時禁止する方針を発表しました。その後、外部サービスに依存しない社内専用の生成AIシステム開発へ移行する方針を明らかにしています。出典

一枚要約

  • 何が起きているか: IT・セキュリティ部門の承認外で生成AIを業務利用する「シャドーAI」が急増し、機密データの外部送信・ライセンス違反・規制違反のリスクが静かに蓄積している。
  • 自社への影響: 「知らなかった」では経営責任を問われる時代に入っており、利用実態を把握できていない組織は説明責任とインシデント対応の双方で不利な立場に置かれる。
  • 打つべき手: SWGログの集計から始め、CASB・DLPで可視化を進めながら、許可リスト・ポリシー・提供の三方式を組み合わせた統制設計を構築することが現実的といえます。

今日着手できる3アクション

  • SWGログでAIサービスドメインへのアクセスを集計する: プロキシまたはファイアウォールのログで chatgpt.comclaude.aigemini.google.comcopilot.microsoft.com 等をフィルタし、今週分のアクセス件数・ユーザー数を確認します。Zscaler 環境では「Policy > URL Categories > AI/ML Apps」が参照点です。
  • Microsoft Purview 監査ログでOAuth連携アプリを確認する: Microsoft 365 管理センター → Purview → 監査 → 「ApplicationAuthorizationGranted」イベントで、従業員が許可した外部AIアプリの一覧を確認します(Microsoft Purview 監査ログ ドキュメント)。
  • 生成AI利用ポリシーの草案を1枚作成する: 「何を入力してよいか(公開情報・社内限・機密の三分類)」「ログを記録することの周知」の2点だけを盛り込んだ1ページの草案を法務と共有します。完成を待たずにドラフト段階で共有することで、認識合わせと優先度の共有が始まります。

AI×セキュリティの観点

シャドーAIが普及した環境では、攻撃者も「AIを使う従業員」を標的にしたソーシャルエンジニアリングを高度化させています。フィッシングで取得した社員アカウントで企業向けAIサービスに不正アクセスし、過去の会話履歴から機密情報を窃取するシナリオも現実的です。防御側から見れば、シャドーAIを野放しにすることは「ログのない入口」を増やすのと同義であり、インシデント発生時の原因調査を著しく困難にします。EU AI Act が限定リスクAIに課す透明性義務や、日本の「AI事業者ガイドライン」が求めるAI利用者の自己管理責務も、シャドーAI統制の法的根拠として機能します。

用語ミニ解説

  1. SWG(Secure Web Gateway) — 従業員のウェブアクセスをプロキシ経由でフィルタリング・監視する仕組み。URLカテゴリベースでAIサービスをブロック・許可・ログ取得できます。
  2. CASB(Cloud Access Security Broker) — 企業ネットワークとクラウドサービスの間に設置され、SaaS利用の可視化・制御・データ保護を担うブローカー層。シャドーIT検出の中核機能を持ち、AIサービス専用カテゴリを追加する製品が増えています。
  3. DLP(Data Loss Prevention) — 機密データが組織外に持ち出されることを検出・防止する技術。送信先として生成AIサービスドメインを指定するルールを追加することで、シャドーAI経由の情報漏えいを検出できます。
  4. NIST AI RMF — 米国国立標準技術研究所(NIST)が2023年1月に公開したAIリスク管理フレームワーク。GOVERN・MAP・MEASURE・MANAGEの4機能で構成され、AIシステムのライフサイクル全体にわたるリスク管理の体系を提供します。
  5. DPA(Data Processing Agreement) — データ処理契約。SaaSベンダーと締結する、個人データの取り扱い方法・目的・安全管理措置を規定する契約書。生成AIサービスを企業契約で利用する際、学習利用の可否やデータ保管地域を確認する最初のドキュメントです。

参考リンク

コメント

タイトルとURLをコピーしました