非エンジニア経営者がAIセキュリティ対策を半年DIYした記録——業界標準と並べて見えた「できていること」と「宿題」

2026年5月18日

⏱ この記事は約8分で読めます

クライアントの院長や経営者から最近よく聞かれます。「AIを使うのは、ちょっと怖いんですよね」「機密情報を読ませて、大丈夫なんですか」と。

正直、私自身も非エンジニアの経営者です。半年前は、ChatGPTやClaudeに対して「便利だけれど、なんとなく動いている」程度の理解しかありませんでした。それでも、社外CFO/COO/CHRO/CMO 兼事務長として中小企業とクリニックの実務を回す立場上、AIを「便利か危険か」と二択で論じる余裕はありません。「どう備えれば業務で使えるのか」に向き合うしかなかった、というのが本当のところです。

直近の2ヶ月で安全装置を計13回作り直し、最後に第三者の物差しであるOWASP・NISTなど45項目で自己採点しました。結果は「実装29／部分6／未着手10」。安心と宿題が同時に出てきました。ここではその試行錯誤の軌跡を共有したいと思います。

Table of Contents

2ヶ月で13回作り直して学んだ、AIセキュリティ対策の三段階

2026年4月から5月までの間に、同じ作業に対して合計13回、AIへの安全装置を作り直しました。内訳は、ブログ記事を執筆する作業の流れ（工程）の改善が5回、AI自体の安全装置の強化が8回です。

「やってください」と指示するだけでは、AIが工程を省く事象が継続的に発生しました。怠惰やバグではなく、AIという仕組みの性質です。「これは必須だ」と認識することと、応答に実際に書き込むことは、AIの中では別の確率事象として処理されます。「禁止」と書いただけでは守られない、という限界を痛感したのと同時に、現実で人に依頼するのと一緒だな、と妙に納得したことを覚えています。

対策を打つときに私は、3つの段階を行き来しました。

段階1：ルールを文章で書く。 「これは必須」「これは禁止」と仕様書に追記します。最も簡単ですが、最も即効性がありません。それでも後段の仕掛けを設計するときの土台になるので、出発点として必須です。

段階2：スクリプトで処理を自動化する。 中程度に効きます。ただしAIが「そのスクリプトを呼び出すかどうか」を判断するため、スキップされる可能性が消えません。

段階3：機械的に止める仕掛けを置く（処理を必ず通す設計）。 最も強い対策です。必須情報を渡さないと処理がそもそも進めない、ある操作が検知されたら以降の書き込み系の操作を一律で止める、といった仕組みです。AIの判断に頼らない構造になっています。

それでも完璧ではありません。印象に残った例を一つ。「機密情報を文中に引用してはいけない」というルール文を書いていたAI自身が、その原因分析の最中に、禁じているAPIの認証情報を実値のまま転記してしまいました。ルールを認識するAIと、行動するAIは、同じ確率的な生成装置です。「守るべきだ」と宣言する力と、宣言通りに動く力は、別物でした。

「禁止」「必須」と書くだけでは守られない。機械的に止まる構造まで作って、初めて実行が保証される。2ヶ月で13回作り直したのは、この事実を一段ずつ学んだ軌跡でした。

中小企業の現場で動かしているAI安全装置の中身

現時点で私の手元には、3層の見守り装置が動いています。

一つ目は事前ブロック層。実行前の関所として、機密ファイル名や危険コマンドのパターンを検知した瞬間に操作を拒否します。二つ目は事後検知層。実行後の内容を検査し、機密情報が混じっていたら次のAI応答で警告として記録します。三つ目は会話保存前マスク層。会話履歴のログに機密情報が残らないよう、保存直前に自動で「[削除済]」に置換します。

このほか、AI利用ポリシー、インシデント対応手順、年次ガバナンスレビュー、災害復旧訓練の手順書までひと通り整備しました。半年前の感覚では「業務に必要な備えはそろっている」「完璧ではないが当座は足りる」という漠然とした手触りで止まっていました。

ある時ふと気づきました。この感覚評価ではクライアントにも自分にも本当のところを説明できない。第三者の物差しで一度測ってみるべきだ、と。

OWASP・NIST等45項目で自己採点したら、安心と宿題が同時に出た

そこで照らした基準は次の5つです。

OWASP（オワスプ／世界中の有志が運営する、Webアプリの代表的リスク10選を公表する団体。AI版もある）
NIST（ニスト／米国国立標準技術研究所。AIリスク管理の枠組み「AI RMF」を公開）
Anthropic公式（Claudeを開発するAnthropic社が公開する、Claude Code利用時の推奨設定）
CIS Controls（IT全般の安全策ベースライン。中小組織向けの基本セット「IG1」もある）
MITRE ATLAS（マイター・アトラス／AIへの敵対的攻撃の戦術カタログ）

全45項目を、自分の実装と一行ずつ突き合わせました。結果は3行に要約できます。

実装できている：29項目。 最低限の権限制御、機密情報の混入を自動監視する別系統チェッカー（gitleaks）、3層防御、危険検知をきっかけに以降の操作を連鎖して止める仕掛け、インシデント対応手順、経産省・総務省のAI事業者ガイドライン6項目全対応、など。
部分的にできている：6項目。 会話履歴の保管期間管理、AIに外部ツールを使わせる仕組み（MCP）の一部の検査、操作ログの定期レビュー、など。
できていない：10項目。 事前に脅威を想定する作業、AIに外部ツールを使わせる際の応答チェック、承認すれば通る設定の棚卸し手順、長期保管の自動化、複数文書の単一管理元（同じ内容を複数文書で持つと不整合が起きるため、一箇所だけを正本にする運用）、など。

並べて気づいたのは二面性でした。事象が起きてから対応する機動力はそれなりに高い。一方で、まだ起きていない攻撃を想定して事前に設計する作業は、私は一度も経験していません。13回の作り直しはすべて「漏れの発覚」または「インシデント発生」起点の事後補強でした。

自己検知率0件、という事実にも向き合いました。これまでの2件の機密情報インシデント（APIキー漏洩、webhookURL漏洩）は、前者を自動チェッカーが、後者を人間の目視が発見しています。AI自身が「これは機密だから止まろう」と自発的に検知・停止した件数はゼロ。AIに自分で気づかせる前提の設計は、私の経験範囲では機能しませんでした。

補助線を一つ。IIJの2025年2月調査（293社対象）では、AI活用ガイドラインを整備していない中小企業が約63%を占めます。文書化していること自体は相対的に整備された部類、と淡々と受け止めました。

中小企業経営者・院長へ——AI導入可否を分ける一点と宿題3つ

照合の結果、2026年内の優先課題を3つに絞りました。

2026年内に取り組む宿題3つ

一つ目は、AIに外部ツールを使わせる経路（MCP）への事前の脅威想定。「まだ起きていない攻撃」への先回り設計に初めて手をつけます。二つ目は「承認すれば通る」設定の棚卸し。毎回確認を求める設定が「いつも通り承認」と形骸化していないか、客観的に点検する手順を整えます。三つ目は、会話履歴の長期保管領域（cold storage）への自動移行。手動運用のままだと、いずれ抜けます。

最後に、経営者の方々へお伝えしたいことが一つあります。「AIを業務に入れていいか」という問いの答えは、「すごいか」「コストはいくらか」よりも、地味な一点で決まると私は考えています。一度実行すると取り返しがつかない操作（不可逆な操作）に対して、どれだけ機械的に止まる仕掛けを組む体力があるか。ここが分水嶺だと、半年やってみてようやく腑に落ちました。

組めるなら、AIは大きな成果を生みます。私の手元では2026年4月、AIが担った業務は56件、外注換算で月額約215万円相当（採用単価ベース、出典：自社ROI集計）に達しました。組めないなら、素材作成までの補助ツールに留めるのが現実的だと思います。無理に深く入れず、できる範囲で使えばよい、というだけの話です。

「うちはどちらに当てはまるのか」を一緒に整理してみませんか。番頭代行サービスでは、AI活用の整理を含めた初回相談を無料でお受けしています。費用感や進め方は番頭代行とは？費用と導入の流れもあわせてご覧ください。お話を伺ったうえで「現状の延長で大丈夫です」と申し上げることも率直に多くあります。相談後にこちらから契約をお願いすることはありません。

無料相談はこちら