GXO
インシデント対応

AI利用インシデント机上演習シナリオ3本|漏えい疑い・誤回答拡散・エージェント暴走コスト

10分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

自社の場合を相談する
COLUMN

この記事は、情報システム部門・コンプライアンス担当・セキュリティ担当が、生成AI利用の社内インシデント対応を整備するために使える演習シナリオを提供します。

生成AIの業務利用が進むにつれ、インシデントの類型も既存のマルウェア感染・不正アクセスとは異なる形が増えています。2026年3月に改定されたAI事業者ガイドラインver.1.2では、「AIエージェント」と「フィジカルAI」のリスクが新たに追加されましたが、多くの企業ではまだ生成AI固有のインシデント対応手順が整備されていません。

机上演習(Tabletop Exercise)は、実際のシステム操作なしにシナリオに沿って役割ごとの判断と行動を確認する訓練手法です。所要時間は1シナリオあたり60〜90分で、ITスキルがない参加者でも実施できます。

演習シナリオ一覧

シナリオ番号タイトル想定インシデント類型主な参加者演習で確認する判断ポイント
S1顧客情報をAIに入力した社員が発生、漏えい範囲が不明情報漏えい疑い情シス・コンプライアンス・経営・業務部門初動報告・範囲確認・サービス停止判断・個情委通知要否
S2AIが生成した回答に誤情報が含まれ顧客へ送付された誤回答の外部拡散カスタマーサポート・法務・広報・業務部門対象顧客の特定・訂正連絡の範囲・対外説明の文面
S3AIエージェントが自律的にAPI呼び出しを繰り返しコストが月額予算の50倍に膨張コスト暴走・運用事故情シス・財務・DX推進・エンジニア停止判断・費用負担・再発防止設計

AI ASSESSMENT

PoC の前に「そもそも使えるか」を30分で見極めませんか?

情シス部門の稟議書作成をサポートする無料の30分壁打ち。ROI 試算シート・失敗要因チェックリストをその場で共有します。

30分壁打ちを予約

シナリオS1:顧客情報をAIに入力した漏えい疑い

状況:営業部門の社員Aが、顧客との商談メモ(顧客名・電話番号・商談金額を含む)をそのまま商用SaaS型生成AIのチャット欄に貼り付けて要約作業を行っていた。情シスが操作ログを確認したところ、当該AIサービスがデフォルトで入力データを改善目的に使用する設定になっていることが判明した。

演習のフロー

フェーズ判断・行動担当者確認すること
発見(0分)操作ログの確認依頼が来た情シス担当入力内容に個人情報が含まれるか・件数は何件か
報告(30分)上長・コンプライアンス・経営へ報告情シス責任者報告先と連絡手順が明文化されているか
判断(60分)当該サービスの利用を一時停止するかCIO・経営停止権限は誰が持つか・停止の基準は何か
確認(翌日)ベンダーへ学習利用の有無を照会法務・情シス契約書・プライバシーポリシーでどう定めているか
通知判断(3日後)個人情報保護委員会への通知要否法務・経営通知義務の要件(漏えいの「おそれ」)を満たすか

整備しておくべき対応手順:入力禁止情報リスト・ベンダー契約での学習利用オプトアウト設定・個情委通知フロー。

シナリオS2:誤回答が顧客に送付された

状況:カスタマーサポート担当がAI生成の回答案を確認せずに顧客メールに貼り付けて送付した。回答に含まれていた返品期限(実際は30日)が「14日以内」と誤って生成されており、顧客から苦情が入った。同様のメール送付が過去2週間で30件確認された。

演習のフロー

フェーズ判断・行動担当者確認すること
苦情受付(0分)誤情報が含まれる可能性に気づくCS担当他の送付メールにも同じ誤情報が含まれるか
全件調査(2時間)AI生成経由の送付メールを全件抽出CS責任者・情シスログから対象メールを特定できるか
顧客対応(当日中)該当顧客への訂正連絡CS責任者・法務訂正文面の責任者承認プロセスは機能しているか
再発防止(翌日)AI出力の確認必須化と手順改訂CS責任者・DX担当出力レビュー基準を明文化できるか
報告(3日後)経営・コンプライアンスへの報告部門長エスカレーション基準(件数・金額)は定めているか

整備しておくべき対応手順:AI生成出力の確認義務・顧客向け訂正メールのひな形・ログからAI経由メールを特定する手順。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

30分で相談するチェックリストをDL

シナリオS3:AIエージェントのコスト暴走

状況:DX推進部門が試験的に導入したAIエージェントが、外部APIを自律的に繰り返し呼び出すループに入り、1日でAPI利用料が月次予算相当額に到達した。財務から「クラウド費用の異常検知アラート」を受けるまで4時間気づかなかった。

演習のフロー

フェーズ判断・行動担当者確認すること
アラート受信(0分)クラウドコストの異常通知が届く財務・情シスアラートの設定者は誰か・通知先が適切か
一時停止(15分以内)エージェントの実行を停止するエンジニア・情シス停止手順と権限は文書化されているか
原因調査(1時間)ループの発生箇所と呼び出し回数を確認エンジニアログに実行履歴が残っているか
費用の確定(当日)実際の追加費用額を確定する財務・DX推進費用の上限設定と超過通知は存在するか
再発防止(翌週)最大実行回数・費用上限・承認フローを設計エンジニア・情シス・DX推進AIエージェントの承認プロセスが定義されているか

整備しておくべき対応手順:APIコスト上限の設定・エージェント停止の権限と手順・新しいエージェント導入時の承認フロー。

演習後に整備する4つの仕組み

机上演習で「判断できなかった」「手順がなかった」箇所が、整備すべき優先事項です。

1. 初動連絡フロー(誰に・いつ・何を報告するか):AI利用インシデントに特化した報告先と連絡時間の基準を1枚のフロー図にします。既存のセキュリティインシデント報告フローに「AI固有の判断項目」を追記する形でも機能します。

2. サービス停止の権限と基準:「誰がどんな状況で停止を決定できるか」を先に決めておかないと、確認待ちで被害が拡大します。停止権限者(平日日中・夜間・休日)と停止トリガーの条件を文書化します。

3. ログの取り方と保存場所:演習で「ログがない」「誰が入力したか追えない」問題が出た場合、操作ログの設計を改めます。AI経由のデータアクセス・送付メール・エージェントの実行履歴を一元管理できる形にします。

4. 対外説明の文面ひな形:顧客・取引先への訂正連絡や、個情委通知の文書を毎回ゼロから作るとミスが増えます。シナリオS1・S2に対応したひな形を事前に準備します。

インシデント対応の基盤設計はAI固有のケースに限らず、セキュリティ全体のフローを整備する起点になります。また、AIエージェント導入の事前チェックではエージェントの承認フロー設計を詳しく扱っています。

GXOはどう支援するか

GXOでは、この記事の3シナリオを自社の業務・AIツール・組織体制に合わせてカスタマイズした机上演習の設計・ファシリテーション支援を行っています。演習後には「整備が必要な手順リスト」を整理し、連絡フロー・停止基準・ログ設計・対外説明ひな形の作成まで一括でサポートします。インシデント対応が未整備のまま生成AI利用が拡大している状況を、演習1回をきっかけに動かすことができます。

よくある質問

Q1. 机上演習はどれくらいの頻度で実施すべきですか

最低でも年1回、AIツールや利用範囲に大きな変更があった際に追加実施することを推奨します。最初の1回は既存インシデント対応フローとのギャップを見つけることが主目的で、2回目以降は前回から整備した手順の確認に使います。

Q2. 参加者は何人が適切ですか

シナリオ1本あたり5〜10名が進行しやすいです。情シス・業務部門・法務・経営の代表者が少なくとも1名ずつ参加することで、部門をまたいだ判断の難しさが演習中に可視化されます。

Q3. 演習の記録はどのように残しますか

各シナリオの判断ポイントごとに「誰が何を決定したか・何が不明だったか」をメモし、演習後に「整備すべき事項リスト」として文書化します。この記録が次の演習の評価基準になり、インシデント対応計画の改訂根拠になります。

参考情報

AI利用インシデントの机上演習と対応手順の整備を支援します

GXOでは、自社のAI利用状況に合わせた演習シナリオのカスタマイズ・ファシリテーション・演習後の手順整備まで一括でサポートします。漏えい疑い・誤回答・コスト暴走への対応が未整備の段階で、まず机上演習から始められます。

机上演習の設計を相談する

RELATED SERVICES

この記事に関連するサービス

AI導入可否アセスメント(30分壁打ち無料)

PoC 前の「やるべきか」判定

稟議書テンプレ・ROI試算シート

要件整理と同時に納品

AI導入支援

企画から運用まで伴走サポート

ISSUE HUB

セキュリティリスクを減らしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

大カテゴリセキュリティリスクを減らしたい中カテゴリサイバー攻撃対策小カテゴリインシデント対応

近い小カテゴリ

ランサムウェア対策脆弱性対応

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

TAGS

#机上演習#AIインシデント#情報漏えい#誤回答#コスト暴走#AIエージェント#インシデント対応

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

RELATED

関連記事

COLUMN
セキュリティ2026.06.08

報道が伝える委託先1社の陥落で連鎖被害──山形YCC型サプライチェーン・ランサムから学ぶ委託先セキュリティ責任

#ランサムウェア#サプライチェーンリスク
COLUMN
セキュリティ2026.05.03

サイバーセキュリティを緊急相談する前に確認すること|CVE・ランサムウェア・情報漏えい初動チェックリスト

#サイバーセキュリティ相談#CVE対応
COLUMN
セキュリティ2026.04.28

インシデント机上演習 四半期実施テンプレート 2026 中盤版|中堅企業向け 4 シナリオと評価ルーブリック

#机上演習#インシデント対応
COLUMN
セキュリティ2026.04.17

年次サイバーセキュリティ訓練の実施ガイド2026|机上演習からフルレッドチームまで段階別設計

#サイバー訓練#机上演習
COLUMN
セキュリティ2026.06.18

AIエージェント認可が次のセキュリティ課題になる|サービスアカウントとAPIキー棚卸しの進め方

#認可#AIエージェント
COLUMN
セキュリティ2026.06.18

DeepMindのAI Control Roadmapから考える|AIエージェントを社内で暴走させない設計

#監査ログ#AIエージェント

FREE DOWNLOAD

この記事と関連する 実践資料

費用相場、選定チェックリスト、補助金活用など、続きをより深く掘り下げた資料を無料でダウンロードできます(営業電話なし / 即DL / 社内共有OK)。

AI導入

AI導入アセスメント チェックリスト

AI導入前に確認すべき業務範囲、データ、セキュリティ、PoC判断、運用体制を整理するチェックリストです。

無料でダウンロード

RFP/ベンダー選定

中堅企業向け RFPテンプレート 2026

AI・DX・業務システム開発を外部発注する前に、要件、評価観点、契約条件、セキュリティ要求を整理するRFPテンプレートです。

無料でダウンロード
すべての資料を見る

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

無料相談する資料ダウンロード