2026.06.12
AIセキュリティ
多くのAIプロジェクトは、PoC(概念実証)や社内デモの段階では順調に見えます。モデルの精度は高い。ユーザーからの評価も良好。業務改善効果も確認できている。ところが、本番導入に向けて情報セキュリティ委員会やリスク審査へ持ち込んだ途端、プロジェクトが前に進まなくなる――。
これは決して珍しいことではありません。実際には、「AIシステムとして機能すること」と「企業のセキュリティレビューを通過できること」の間には、多くのチームが想定している以上に大きな隔たりがあります。そしてそのギャップは、PoCから本番導入へ移行しようとするタイミングで繰り返し表面化します。
セキュリティレビューが停滞する際によく聞かれる指摘は、次のようなものです。
企業向けAIを取り巻く規制環境は、大きく変化しています。日本では2025年9月にAI推進法が全面施行されました。同法はEUのような厳格な罰則中心の制度ではなく、事業者による自主的な取り組みと政府主導のガバナンスを重視する枠組みとなっています。
また、2026年3月にはAI事業者ガイドラインがVersion 1.2へ改定され、AI開発者・AIプロバイダー・AI利用者それぞれに向けた実務的な指針が示されています。
一方、EUではAI Act(AI法)が異なるアプローチを採用しています。特定のカテゴリーのAIシステムに対して法的拘束力のある義務を課し、高リスクシステムに関する規制は2026年8月から本格適用されます。EU市場向けにAIシステムやAIサービスを提供する企業にとっては、日本企業であっても影響を受ける可能性があります。
セキュリティレビューは、もはや社内の承認プロセスを通過するためだけのものではありません。近年は、法規制や業界ガイドラインへの対応といった外部からの要請も強く意識する必要があります。
本記事では、企業向けAIプロジェクトがセキュリティレビューでつまずく代表的な5つのパターンと、それらを回避しながら本番導入へ進めるチームに共通する取り組みについて解説します。
AIをPoCから本番環境へ展開する難しさは、技術的な課題として語られることが少なくありません。実データでは精度が低下する。レイテンシが増加する。コストが予想以上に膨らむ。こうした課題は確かに存在します。しかし、実際にはこれらがプロジェクトを止める最大の要因ではありません。
多くのプロジェクトが直面するのは、その先にある「第二の関門」です。PoCで問われるのは、「この仕組みは機能するのか」という問いです。一方、セキュリティレビューで問われるのは、「この仕組みを本番環境へ安全に導入できるのか」という全く別の問いです。多くのチームは前者をクリアすることに集中し、後者も自然にクリアできるものと考えがちです。しかし、現実はそうではありません。
多くのプロジェクトでは、プロンプトはソースコードや設定ファイルの中に埋め込まれたり、エンジニア同士のメモやチャットで共有されたりしています。
しかし、レビュー担当者が知りたいのはシンプルです。「この出力はどのプロンプトによって生成されたのか。そのプロンプトはいつ変更され、誰が管理していたのか。」もしその答えをGit履歴やチャットログから再構築しなければならないのであれば、セキュリティレビューを通過するのは難しいでしょう。
プロンプトのバージョン管理は派手な取り組みではありません。しかし、レビュー担当者が安心して承認できるシステムとそうでないシステムを分ける重要な要素です。
RAGシステムでは、アクセス制御が後から考えるべき課題として扱われることが少なくありません。全社の文書をベクトルデータベースへ取り込み、アプリケーション側で自由に検索できるようにする。アクセス制御はチャット画面側で行う。こうした設計は、一見すると問題がないように見えます。
しかしレビュー担当者は、これを権限昇格、つまり本来アクセスできない情報へのアクセスのリスクとして捉えます。検索基盤がユーザーごとの権限情報を考慮していなければ、本来その利用者がアクセスできない情報が、生成結果として表示されてしまう可能性があるからです。
AIが価格設定や承認判断、レコメンドなどの意思決定に関与する場合、監査担当者は後からその経緯をたどれることを求めます。入力内容、検索によって取得されたコンテキスト、利用したモデルのバージョン、出力結果、人間によるレビュー内容。多くの本番AIシステムでは、これらの一部しか記録されていません。また、記録されていたとしても、監査担当者がエンジニアの支援なしに確認できる形式になっていることはまれです。
プロンプトインジェクションは、AIが読み込む文書やメールの中に「AIへの隠れた指示」を埋め込み、本来とは異なる回答や動作を引き起こす攻撃です。研究上のテーマとして語られることもありますが、本番環境ではすでに現実のリスクです。
メールや文書、Webコンテンツなどの信頼できないテキストを取り込み、それを権限を持つLLMへ渡すシステムは、常にプロンプトインジェクション攻撃を受ける可能性があります。プロンプトインジェクション対策を「必須ではないもの」として扱うことは、セキュリティレビューでつまずく典型的な理由の一つです。
リリース時に高いパフォーマンスを示していたシステムが、数か月後も同じ品質を維持しているとは限りません。モデルプロバイダーによるアップデートが行われることもあります。検索対象となるナレッジベースも、文書の追加や更新、削除によって常に変化しています。
そのため、「出力品質・検索結果の関連性・業務KPIへの影響」を継続的に監視する仕組みが必要です。それがなければ、レビュー担当者の最後の問いに答えることができません。「このシステムが期待どおりに機能しなくなった場合、それをどのように検知するのですか?」
これまで見てきた5つの失敗パターンは、単なる運用上の問題ではありません。現在では、AI関連の規制やガイドラインの中で、それぞれが具体的な義務や対応要件として定義されています。
2026年8月から高リスクAIシステムに適用されるEU AI法では、高リスクAIに対して具体的な技術要件や運用上の義務が定められています。一方、日本のAI事業者ガイドライン v1.2では、AI開発者、AIプロバイダー、AI利用者の3つの役割ごとに求められる対応事項が整理されています。
| 失敗パターン | EU AI法(高リスクシステム) | AI事業者ガイドライン v1.2 |
|---|---|---|
| プロンプトが管理対象になっていない | 第11条(技術文書)、第12条(記録保持) | AI開発者・AIプロバイダーに求められる透明性確保の責務 |
| AIが関与した意思決定の監査証跡がない | 第12条(記録保持)、第26条(導入者によるログ保管、最低6か月) | AI開発者・AIプロバイダー・AI利用者すべてに求められる説明責任 |
| プロンプトインジェクションを軽視している | 第15条(正確性、堅牢性、サイバーセキュリティ) | AIプロバイダーに求められる技術的堅牢性の確保 |
| モデルや検索品質の変化を監視していない | 第72条(市販後監視) | AIプロバイダー・AI利用者に求められる継続的な監視・見直し |
この対応関係は、すべてを網羅したものではありません。中には複数の条文や役割にまたがるものもあります。重要なのは、これまでエンジニアリング上の見落としや社内レビューの課題として扱われてきた失敗パターンが、いまや規制や監査の対象にもなっているという点です。
セキュリティレビューを通過するプロジェクトには、いくつかの共通点があります。
これらの取り組みは、プロジェクトのスピードを落とすものではありません。むしろ、本番導入まで着実に進めるための前提条件だと言えるでしょう。
本記事は、エンタープライズ環境での運用を前提としたAIシステム構築について解説する連載の第1回です。次回以降は、今回取り上げた5つの失敗パターンをより詳しく掘り下げていきます。まずは、RAGシステムにおける検索基盤とアクセス制御の設計について取り上げる予定です。
