2022年後半からの急速な普及により、ビジネスのあり方を根本から変えつつある生成AI。現在は「第2のインターネット革命」とも称され、あらゆる企業においてAI活用の差が競争力の差に直結する時代に突入しています。
しかし、その利便性の裏側にあるセキュリティリスクやガバナンスへの不安から、導入に踏み切れない、あるいは活用が限定的になっている企業も少なくありません。
そこでSun*では、生成AI導入前に必ず抑えておくべきセキュリティ対策のポイントを、最新の動向や事例を交えて解説するウェビナーを開催しました。
目次
登壇者プロフィール
株式会社Sun Asterisk Data and AI Pros Unit Manager
追立 知浩
新卒で自動車部品サプライヤへ入社し自動運転の機能開発や市販車からのデータ収集システムに携わる。その後、大規模物流データの分析基盤の開発ではアーキテクチャ設計やETLプロセス構築を行った。また、ChatGPT (Azure OpenAI) の企業への導入のためのシステム開発、RAG の仕組みの構築などを行った。開発メンバーやスクラムマスター、プロダクトオーナーを経験。2024年3月より Sun* へ入社し、AI およびデータ関連の案件に従事している。
失敗回避 × 成功へのヒントが一目でわかる!生成AI活用、なぜうまくいかない?
生成AIツール導入におけるセキュリティへの危機感
これからのビジネスにおいて、生成AIは情報アクセスのあり方を変えるだけでなく、知識労働そのものを変革する存在です。これまでの「業務のデジタル化」を目指すDX(デジタルトランスフォーメーション)から一歩進み、AI活用を前提に業務プロセスや意思決定の構造を再設計するAIX/AX(AIトランスフォーメーション)が、生産性向上の鍵となります。
日本の導入状況と課題
「DX動向2025」によると、米国では約8割、ドイツでは約7割の企業が生成AIの導入を進めているのに対し、日本は5割弱に留まっています。この背景には、以下のようなガバナンス面への不安が根強く存在します。
- 生成AIの効果やリスクに関する理解不足
- 適切な利用ルールや基準作成の難しさ
- ハルシネーション(AIがつく嘘)への懸念
- 活用すべき業務の不明確さ
実際に起きているセキュリティインシデント
ルール整備が追いつかない中で生成AIを利用することで、以下のような深刻なリスクが生じる可能性があります。
- 機密情報の流出: エンジニアがソースコードのバグ調査のためにコード断片をChatGPTに入力してしまうなど、内部からの「うっかり漏洩」。
- シャドーAIのリスク: 会社で禁止されていても、個人が非公式な無料サービスを使い、アカウント乗っ取りや情報漏洩に繋がるケース。
- 信頼性の低下: ハルシネーションによって生成された誤情報をそのまま業務で利用・拡散し、企業の社会的信用を失うリスク。
- プロトコル経由の露出: MCP(Model Context Protocol)などの便利な外部ツール連携機能を通じて、意図せず機密情報を外部に晒してしまう可能性。
とはいえ生成AIの利用を全面的に禁止することは、シャドーAIなどの隠れた利用を助長し、かえってリスクを高めることにも繋がりかねません。重要なのは、「セキュリティと利便性のバランス」を考慮した環境整備を前提に導入を進めることです。
生成AIツール導入でまず抑えたいセキュリティ対策のポイント
安全な導入を実現するために、企業がまず着手すべきポイントは以下の3点に集約されます。
1. 信頼できるツール・環境の選定
「入力データが学習に使われない」ことが明記されているツールを選ぶことが大前提です。
- 有償版の活用: 無償版ツールの多くは入力データがモデルの学習に利用されます。費用対効果を鑑み、基本的にはエンタープライズ向けの有償サービスを選択すべきです。
- 既存ツールの棚卸し: 既に社内で導入済みのツール(Slackや各種SaaSなど)に、アップデートで生成AI機能が追加されている場合があります。これらを見逃さず、利用可否を定義することが重要です。
2. 入力データに対するガイドライン整備
「学習に使われない=情報が漏洩しない」というわけではありません。入力したデータは運営元のサーバーにログとして残る場合があるため、運用ルールを定める必要があります。
- 機密情報のマスク: 顧客名や個人情報は入力時に伏せ字にするなどのルール化化。
- 機密レベルに応じた制限: 社内の機密区分に基づき、「極秘情報は入力禁止」といった明確な基準を設けます。
- 雛形の活用と改善: 日本ディープラーニング協会(JDLA)が公開しているガイドラインの雛形などをベースに自社向けにカスタマイズし、現場からのフィードバックを受けて継続的にアップデートしていく姿勢が求められます。
3. 組織利用での適切な権限管理
社内データを参照して回答させる RAG(検索拡張生成)や、自律的に動くAIエージェントを活用する場合、アクセス権限の制御が極めて重要になります。
- 権限の引き継ぎ: ナレッジ検索チャットボットなどで、ユーザー自身のアクセス権限に基づいた情報のみをAIが参照するように設計します。
- 情報のサイロ化防止と管理の両立: 全社員が参照できる情報と、特定の部署・役職のみが閲覧できる情報を厳密に制御し、「社内での情報漏洩」を防ぐ仕組みが必要です。
AI*Agent Baseのご紹介
こうしたセキュリティ課題を解決し、迅速かつ安全に生成AIを業務に導入するための統合プラットフォームが、Sun*が提供する「AI*Agent Base」です。
導入を加速させる4つのコンセプト
AI*Agent Baseは、本格導入時に壁となる「データの信頼性」と「安全性」を担保するための機能をパッケージ化しています。
AIエージェント構築支援「AI*Agent Base」とは?
まとめ
生成AIは、かつてのインターネットがそうであったように、今後ビジネスにおいて避けては通れないインフラとなります。AIX/AXの実現には、データセキュリティと切り離せない関係にあることを理解し、適切なツール選定、ガイドライン整備、そして権限管理を三位一体で進めることが成功への最短距離です。
自社にとって最適な「リスク許容度」と「業務効率化」のバランスを見極め、一歩ずつ活用を進めていきましょう。
AIエージェントの活用や導入に関するご相談は、ぜひSun*まで、お気軽にお問い合わせください。