IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の3位に「AIの利用をめぐるサイバーリスク」が入りました。ランサムウェア、サプライチェーン攻撃に続く上位にAIリスクが入ったことは、生成AIが便利なツールから、企業のセキュリティ管理対象へ移ったことを意味します。
既に生成AIを使っている会社は多い一方で、利用ルール、入力禁止情報、SaaS接続、ログ、出力レビューが未整備のまま広がっているケースがあります。中小企業では、まず3項目に絞って確認するのが現実的です。
セキュリティ対策全体の優先順位は、中小企業のセキュリティ対策コスト優先ガイドで整理しています。AIリスクだけでなく、IPA 10大脅威の1位であるランサムウェアはランサムウェア6年連続1位の防御設計、2位のサプライチェーン攻撃は委託先・SaaS・AIツールが侵入口になる時代の備えも合わせて確認してください。
今すぐ確認すべき3項目
| 項目 | 確認内容 | 対応例 |
|---|---|---|
| AI利用ルール | 使ってよいAI、入力禁止情報、社外利用可否 | 1枚の社内ルールを作る |
| 接続権限 | Google Drive、Microsoft 365、CRMなどの接続範囲 | 共有範囲と過剰権限を見直す |
| 生成物レビュー | 提案書、契約文、コード、顧客回答をそのまま使っていないか | 社外向けは人間確認を必須にする |
AI ASSESSMENT
PoC の前に「そもそも使えるか」を30分で見極めませんか?
情シス部門の稟議書作成をサポートする無料の30分壁打ち。ROI 試算シート・失敗要因チェックリストをその場で共有します。
AIリスクは情シスだけの問題ではない
AIリスクは、セキュリティ部門だけでは管理できません。営業が顧客情報を入力する、経理が請求情報を要約する、人事が評価コメントを作る、開発部門がAI生成コードを本番に入れるなど、全社に広がるからです。
したがって、最初に必要なのは高度なAI基盤ではなく、利用状況の棚卸しです。どの部署が、どのAIを、何の業務で、どのデータを使っているかを確認します。
GXOの支援
GXOでは、AI利用状況の棚卸し、生成AI利用ルール、SaaS接続権限の見直し、AI生成コードのレビュー、AIエージェント導入前診断まで支援します。IPA 10大脅威を社内の実務チェックリストに変換し、経営者・情シス・現場が使える形に落とし込みます。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
参考情報
- IPA「情報セキュリティ10大脅威 2026」:https://www.ipa.go.jp/security/10threats/10threats2026.html
- IPA「情報セキュリティ10大脅威2026 組織編解説書」:https://www.ipa.go.jp/security/10threats/omgdg50000008fi8-att/kaisetsu_2026_soshiki.pdf
- IPA「AI利用者のための脅威と対策」:https://www.ipa.go.jp/digital/ai/security/ai_security_tips.html
AI利用リスクを社内チェックリストに落とし込みます
GXOでは、IPA 10大脅威を踏まえたAI利用棚卸し、社内ルール、権限確認、セキュリティ診断を支援します。
相談前に自社状況を確認する場合は、LLMセキュリティreadiness診断を利用できます。