AIコーディング支援やノーコードツールにより、営業、経理、人事、総務などの部門担当者が、自分たちで業務アプリを作れるようになりました。これは現場改善として有効です。一方、非エンジニアが作ったアプリは、業務要件には合っていても、本番運用に必要なセキュリティと保守性が不足しがちです。
OWASP Citizen Development Top 10は、ローコード、ノーコード、AI支援開発で生じる市民開発リスクを整理しています。特に、設定ミス、認証不備、データ漏えい、ガバナンス不足は、部門アプリで起きやすい問題です。
市民開発全体のルール作りは、既存の生成AIガバナンスの実務ガイドと合わせて設計すると、禁止ではなく安全な利用範囲を定義しやすくなります。AIで作ったアプリを本番利用する前の技術レビューは、AI生成コードのレビュー・SAST・SCA体制も参照してください。
抜けやすい5つの設計
| 設計 | 抜ける理由 | 影響 |
|---|---|---|
| 認証 | 部署内利用だから不要と考える | URL共有で誰でも利用できる |
| 権限 | 全員同じ画面で作る | 給与、人事、顧客情報が見える |
| 監査ログ | 業務機能を優先する | 誰が変更したか分からない |
| バックアップ | ツール任せにする | 誤削除時に戻せない |
| 退職者管理 | 個人アカウントで運用する | 所有者不明、停止不能になる |
NOCODE EXIT
Bubble/kintone の限界、スクラッチ移行で解消しませんか?
ノーコードの肥大化・応答遅延・カスタマイズ限界を Laravel+Vue 移行で根治。概算費用・移行期間・データ移行設計・並行稼働プランをその場で確認できます。
部署別に作ってよい範囲とレビュー必須ライン
| 利用範囲 | 例 | レビュー |
|---|---|---|
| 個人利用 | メモ、集計、下書き | 原則不要 |
| 部署内利用 | 案件一覧、タスク管理、簡易集計 | 部署責任者確認 |
| 個人情報あり | 顧客名、従業員情報、評価情報 | 情シス・管理部門レビュー必須 |
| 外部送信あり | 顧客メール、請求、通知 | 人間承認とログ必須 |
| 基幹業務影響あり | 在庫、会計、契約、発注 | 正式な要件定義と外部レビュー推奨 |
市民開発を止めずに守る方法
市民開発は、禁止すると隠れます。重要なのは、作ってよい範囲とレビュー条件を決めることです。
- 個人メモ、集計、下書きは自由に試せる
- 顧客情報、個人情報、金額、外部送信を扱う場合はレビュー必須
- 部署外公開は情シス確認を必須
- 退職者アカウントで動くアプリは禁止
- ログとバックアップがないアプリは本番利用しない
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
GXOの支援
GXOでは、非エンジニアが作ったAIアプリやノーコードアプリの棚卸し、リスク分類、認証・権限・ログの追加、正式な業務システムへの移行を支援します。現場のスピードを止めず、事故につながる部分だけを外部レビューで補う形が現実的です。
参考情報
- OWASP Citizen Development Top 10:https://owasp.org/www-project-citizen-development-top10-security-risks
- OWASP Security Misconfiguration:https://owasp.org/www-project-citizen-development-top10-security-risks/content/2022/en/CD-SEC-07-Security-Misconfiguration
- OWASP Secure Coding with AI:https://cheatsheetseries.owasp.org/cheatsheets/Secure_Coding_with_AI_Cheat_Sheet.html
部門で作ったAIアプリの安全性を確認します
GXOでは、市民開発アプリの棚卸し、認証・権限・ログ確認、正式システム化の優先順位付けを支援します。
部門横断の体制づくりは、DX内製化ロードマップも参考になります。