AIセキュリティを非エンジニアが非エンジニアなりに整理してみた

• URL: https://blog.cloudnative.co.jp/articles/3873617f2dbe80df
• 日付: 2026-06-23
• Tier: Tier 3
• 要旨: AI セキュリティを情シスが扱うべき 4 分類で整理。シャドーAI・データ保護・アクセス権（RAG/NHI）・ガードレールの軸で、自社の現在地と施策優先順位を明確化。

詳細

「AI セキュリティ対策」の広がりを 4 分類に絞って整理。(1)シャドーAI：社員の無許可外部 AI 利用を CASB で可視化・安全な法人向けプラン提供（禁止ではなく代替）。(2)データ保護・AI サプライチェーン：入力データの保管期間・再委託先・学習オフ手続きを確認。(3)アクセス権・認証認可：RAG（社内文書 AI 参照時のアクセス権すり抜け防止）＋ NHI（Non-Human Identity：AI 自身の権限管理）をセット設計。RAG は既存権限棚卸しが本筋。NHI は「AI はどの権限で動くか」を人間同等に管理（最小権限・失効管理・責任者明記）。(4)AIガードレール：入力チェック（プロンプトインジェクション検知）・出力チェック（情報混入・不適切表現確認）は相対的に得意だが、ハルシネーション防止は RAG＋人的確認が本筋。「ガードレール=完全防止」ではない期待値合わせが重要。