All
SaaS管理
デバイス管理
セキュリティ対策
脅威・インシデント対策
IT基盤・インフラ
情シス業務・組織形成
AI / テクノロジー
プロダクト
イベントレポート
その他
ガバナンス

新着記事

もっと見る

>

>

シャドーAI 対策 SaaSで構築する完全ガバナンス|IT資産管理 AIとシャドーAI ツールの全容

シャドーAI 対策 SaaSで構築する完全ガバナンス|IT資産管理 AIとシャドーAI ツールの全容

シャドーAI 対策 SaaSで構築する完全ガバナンス|IT資産管理 AIとシャドーAI ツールの全容

シャドーAI 対策 SaaSで構築する完全ガバナンス|IT資産管理 AIとシャドーAI ツールの全容

最終更新日

シャドーAIの検知と制御において、SaaS管理とIT資産管理の統合的な可視化が現在の最適解となります。従業員が無断で利用する生成AIの急増に対し、従来型のセキュリティツールだけではアカウント単位の利用状況を網羅できません。本記事では、IT資産管理 AIを活用したシャドーAI ツール検知の仕組みから、情シス部門がシャドーAI 対策 SaaSを選定する基準までを網羅的に解説します。

DLP/CASB単体では抑えきれない理由

従来型のDLPやCASBだけでは、Webブラウザの拡張機能や個人のフリーアドレスで登録された無数のAIアプリ利用を完全に遮断・追跡することが困難です。

プロンプト入力経路の多様化と爆発的増加

生成AIの利用形態は単なるWebサイトへのアクセスにとどまらず、防御網の隙間を容易にすり抜けます。

企業が導入しているDLP(データ損失防止)やCASB(Cloud Access Security Broker)は、既知のクラウドサービスに対するアクセス制御やファイルのアップロード制限には長けています。しかし、従業員による生成AIの利用は、ブラウザの拡張機能、モバイルアプリ、各種SaaSに組み込まれたAIアシスタントなど、想定を大きく超えるあらゆる経路から行われます。セキュリティベンダーNetskopeのCloud and Threat Report: 2026によれば、従業員による生成AIツールへの月間プロンプト入力数は前年比で6倍となる平均1万8,000件へと跳ね上がりました。さらに、観測される生成AIツールの種類は1,600を超えています。日々新しく登場する小規模なAIサービスに対し、既存のURLリストに基づくフィルタリングでは未認可アプリを即座にブロックできず、防御の網の目を容易にすり抜けてしまいます。

非定型データの検知限界

DLPはクレジットカード番号のような定型データの検知を前提としており、自然言語で入力される機密情報を高精度に判定できません。

さらに技術的な課題として、自然言語で入力される機密情報を高精度に判定することが非常に難しい点が挙げられます。営業担当者がAIに入力する「A社向けの提案方針の要約」や、開発者がバグ修正を依頼する機密のソースコードなどは、非定型のテキストデータです。これらが未承認のシャドーAI ツールに入力された場合、正規のWebブラウジング通信と見なされて監視システムを通過してしまいます。また、従業員が私用のスマートフォンや自宅のPCからクラウド上の社内データにアクセスし、そこから個人のAIアカウントへデータを移す経路までは、社内ネットワーク上のCASBでは追跡が不可能です。

ここから、ネットワーク上のトラフィック監視に依存した限界をカバーし、より精緻なガバナンスを効かせるための新たなアプローチが求められています。

CASBを含む次世代ネットワークセキュリティの全体像を整理した『SASE(Secure Access Service Edge)』もあわせて参照してください。

シャドーITの検知はCASB?SMP?

情シスの管理外で利用される「シャドーIT」は、情報漏えいや不正アクセスなど重大なリスクを招く可能性があります。本ホワイトペーパーでは、シャドーITが生まれる背景や放置によるリスク、そして具体的な可視化・対策方法を事例を交えて解説。社内のSaaS利用状況を正しく把握し、安全で効率的なIT運用を実現するための第一歩となる内容です。

シャドーITの検知はCASB?SMP?

情シスの管理外で利用される「シャドーIT」は、情報漏えいや不正アクセスなど重大なリスクを招く可能性があります。本ホワイトペーパーでは、シャドーITが生まれる背景や放置によるリスク、そして具体的な可視化・対策方法を事例を交えて解説。社内のSaaS利用状況を正しく把握し、安全で効率的なIT運用を実現するための第一歩となる内容です。

SaaS管理が対策の起点になる理由

従業員が業務で利用するSaaSアカウントの認証ログやOAuth連携履歴を監視することで、未承認AIツールの利用実態を網羅的に可視化できるためです。


アカウントベースの可視化による死角の排除

社内の公式アカウントと紐付く外部アプリの連携履歴をたどることで、従業員がいつ、どのツールに登録したかを特定できます。

情報システム部門が直面する大きな壁は、「従業員が勝手に導入したツールをどうやって見つけるか」という点にあります。この課題に対して、シャドーAI 対策 SaaSとしてSaaS管理ツール(SMP)を活用する手法が極めて有効です。従業員が新しいAIツールを試す際、多くの場合「Googleでログイン」「Microsoftでログイン」といったシングルサインオン(SSO)やOAuth連携が利用されます。SaaS管理ツールは、社内の主要なワークスペースとAPI連携し、これらの認証履歴を自動的に抽出・整理します。従業員が社内アカウントを用いて未認可のAI文字起こしサービスや議事録要約アプリにログインした瞬間、その履歴が管理画面に検知され、情シス担当者へアラート表示される仕組みです。

IT資産管理 AIによる未知のツール識別

機械学習を用いて数万種類に及ぶSaaSのデータベースを照合し、危険なAIアプリを自動で判定します。

最近のIT資産管理 AIを搭載した管理プラットフォームは、膨大なソフトウェアカタログを保持しています。これにより、マイナーなシャドーAI ツールであっても即座に危険度やカテゴリが判別されます。IBMの2025年データ侵害のコストに関する調査レポートでは、シャドーAIを高い割合で利用している組織はそうでない組織に比べ、データ侵害による被害額が平均67万ドル(約1億円)も跳ね上がると指摘されています。さらに、AI関連のセキュリティ・インシデントの60%がデータ侵害につながっています。この莫大なリスクを未然に防ぐため、ネットワークレイヤーの通信遮断だけでなく、SaaS管理を起点とした全社のアカウント利用状況の把握を急がねばなりません。

SaaS管理ツールによる可視化基盤の有用性を理解した後は、自社の要件に合致する具体的なソリューションの選定へと進みます。

▲ SaaS管理ツールを用いたシャドーAI検知の仕組み

SaaS管理ツールを活用する具体的なメリットや機能は『SMP(SaaS Management Platform)』で詳しく解説しています。

対策要件とAdmina機能のマッピング表

ツールの選定では、検知できるアプリの網羅性、シャドーITの自動発見機能、そして既存のセキュリティ製品との連携能力が判断の分かれ目となります。

製品別の機能・ガバナンス対応比較

企業規模や管理工数の削減要件に合わせて、独自のSaaSデータベースと自動化機能を備えたツールを選ぶべきです。

未認可の生成AIを制御するための要件は、既存のITインフラによって異なります。ここでは、シャドーAI対策に求められる主要な機能要件と、SaaS・デバイス統合管理ツール「Admina(アドミナ)」をはじめとする代表的な製品群の対応状況を比較します。

比較項目

Admina(マネーフォワードi)

A社(大規模向け統合SMP)

B社(国内特化型IT管理)

AIツール検知の網羅性

独自のAIデータベースによる数万規模の検知、ブラウザ拡張機能による未認可アプリの発見

主要なSaaSとAIツールに限定したAPI検知

国内SaaSを中心とした手動登録・連携

アカウント連携制御(OAuth)

Google Workspace / Microsoft 365のOAuth連携履歴を自動抽出し、危険な権限付与を検知

連携履歴の確認と一括解除が可能

一部連携情報の可視化のみ対応

CASB/IdP連携

Oktaや主要なIdPとの強固なAPI連携、アカウントの即時停止・プロビジョニング自動化

豊富なAPIを備えSIEMとも連携可能

CSVアップロードによるバッチ処理が主

料金・コスト感

デバイス管理とSaaS管理を統合したコストパフォーマンスの高い体系(月額固定)

高度な機能を持つ反面、エンタープライズ向けの比較的高額なライセンス

中小企業向けの安価なプラン(機能制限あり)

情シス担当者向けの導入判断基準

自社のネットワーク環境と既存のデバイス管理体制を踏まえ、統合管理のメリットを最大化できるかを基準にします。

情シス部門が導入可否を判断する際、以下の基準を参考にしてください。

【導入を推奨する状況(OK)】
・従業員数が100名を超え、各部門でのSaaS・AIツール導入が情シスの把握範囲を超えている
・Google WorkspaceやMicrosoft 365の社内アカウントで、外部アプリへのログインを自由に行える設定になっている
・デバイス管理(MDM)とSaaSのライセンス管理を1つのプラットフォームで統合し、管理工数を削減したい

【導入を見送る・延期する状況(NG)】
・社内の業務端末が完全に閉域網(インターネット接続不可)で運用されている
・全従業員が利用できる社内独自のセキュアな生成AI環境(オンプレミスLLMなど)がすでに構築・浸透しており、外部サービスの利用意欲が皆無である

自社の環境と要件に最も適したツールを選定した後は、現場の混乱を避けながらルールを定着させる計画的な導入プロセスへ移行します。

▲ 製品別のAIツール検知機能の比較

SaaSとデバイスを統合管理する上で、関連して『MDM(モバイルデバイス管理)』も合わせて押さえておきたい観点です。

SaaSという情報資産をISMSでどう管理するか

クラウドサービスの利用拡大により、SaaSも今や重要な“情報資産”の一つとなりました。本ホワイトペーパーでは、ISMS(情報セキュリティマネジメントシステム)の観点から、SaaSをどのように識別・分類・管理すべきかを具体的に解説。台帳整備やリスクアセスメント、運用プロセスの設計まで、実践的な管理手法を紹介します。ISMS担当者・情シス必読の内容です。

SaaSという情報資産をISMSでどう管理するか

クラウドサービスの利用拡大により、SaaSも今や重要な“情報資産”の一つとなりました。本ホワイトペーパーでは、ISMS(情報セキュリティマネジメントシステム)の観点から、SaaSをどのように識別・分類・管理すべきかを具体的に解説。台帳整備やリスクアセスメント、運用プロセスの設計まで、実践的な管理手法を紹介します。ISMS担当者・情シス必読の内容です。

導入プロセス(4ステップ)

ツールの導入から定着までは「現状把握」「ポリシー策定」「公式環境の提供」「モニタリングの自動化」という4つの段階を順に踏むことで、業務効率を落とさずにセキュリティを確保できます。

ステップ1:現状把握とリスクの可視化

まずはツールを用いて社内で稼働しているすべてのAIアプリを洗い出し、リスクの度合いを評価します。

導入したSaaS管理ツールを用いて、社内で利用されているAI関連サービスを特定します。どの部署の誰が、どんなシャドーAI ツールを利用しているのかをリスト化し、利用頻度やデータ持ち出しの危険度(高・中・低)を分類します。総務省の令和7年版 情報通信白書のデータでは、中小企業の約7割がAI導入方針を策定できていないと報告されています。活用方針が未定のまま現場に丸投げされている状況が最も危険であり、実態の正確な把握がすべての出発点となります。

ステップ2:社内ガイドライン・ポリシーの策定

可視化された実態をもとに、許可するツールと禁止するツール、入力してはならない情報を明記したルールを定めます。

「顧客の個人情報、未発表の財務データ、自社のソースコードは絶対に入力しない」という具体的な禁止事項を規定します。曖昧な表現を避け、従業員が迷わず判断できる基準を設けることが目的です。単なる禁止令ではなく、なぜ無料のAIにデータを入力すると情報流出につながるのかというメカニズムの解説を併記すると、現場の納得感が高まります。

ステップ3:公式AI環境の提供

未承認ツールの利用を根本から防ぐため、会社が安全を担保した代替の生成AI環境を速やかに用意します。

従業員の「業務を効率化したい」という意欲を削がないよう、入力データがAIの学習に利用されない法人向けプラン(Microsoft Copilot for Microsoft 365やGoogle WorkspaceのGemini Enterpriseなど)を全社、あるいは対象部門に展開します。公式環境への移行を支援し、個人のアカウントを利用するメリットをなくすことが、最も確実な対策となります。

ステップ4:技術的制御とモニタリング

SaaS管理ツールのアラート設定とIdPの権限管理を連携させ、継続的かつ自動的な監視体制を構築します。

新たな未承認AIサービスへのサインインが検知された際に情シスへ通知が届くように設定します。必要に応じてIdP(OktaやEntra IDなど)と連携し、リスクの高いシャドーAIアプリへのアクセス権限を即座に自動で剥奪する仕組みを取り入れます。これにより、情シスの属人的なパトロール工数を大幅に削減できます。

これらの一連のプロセスを回すことで、情シスは従業員との摩擦を減らしながら強固なAIガバナンスを確立し、実際の現場での成功事例へとつなげています。

▲ シャドーAI対策ツールの導入プロセス(4ステップ)

公式環境のアカウント管理を効率化するための全体像を整理した『プロビジョニング(Provisioning)』もあわせて参照してください。

導入企業の声

SaaS管理ツールを導入した企業では、管理職層による高リスクなAI利用を早期に発見し、安全な公式環境への移行をスムーズに完了しています。

管理職のシャドーAI利用という盲点の発見

客観的な可視化データがあったからこそ、経営層や部門長のリスク行動をデータに基づいて是正できました。

実際の現場では、一般社員よりもむしろ業務の意思決定や高度な情報処理を担う管理職のほうが、生成AIに機密情報を入力してしまうリスクが高いという傾向があります。女性のキャリア支援メディア「星のまなびカフェ」の2026年4月の調査によれば、シャドーAIに「顧客データ」や「契約書」を入力する割合は、一般社員が18.8%であるのに対し、課長・部長クラスでは37.5%に達しています。

ある中堅の製造業では、自社製品の企画立案や市場分析を行うために、部門長クラスが個人のアカウントで無料の生成AIを利用している実態がありました。この企業はAdminaを導入し、OAuth連携のログとブラウザの拡張機能から利用状況を調査しました。その結果、情シスが全く把握していなかった数十種類の海外製AIツールが日常的に使われていることが判明したのです。

摩擦のない公式環境への移行

リスクの説明と安全なツールの配布をセットで行うことで、現場の反発を招くことなく運用を一本化しました。

情シス部門は即座にこれらのアカウント利用を強制停止するのではなく、まず部門長に対してデータ学習のリスク(他社に自社の企画内容が漏洩する可能性)を説明しました。同時に、社内データが外部に学習されない法人向けのセキュアな生成AIアカウントを付与しました。ツールによる客観的な証跡があったからこそ、わずか1ヶ月で全社のAI利用を公式環境へと移行できたと担当者は語っています。

このように客観的なデータに基づくコミュニケーションは組織全体のセキュリティ意識を高める効果があり、さらなる疑問の解消に向けた社内FAQの整備へと続きます。

安全な公式環境への移行を支える仕組みとして、関連して『シングルサインオン(SSO)』も合わせて押さえておきたい観点です。

よくある質問

生成AI特有のリスクや対策手法について、情シス担当者が疑問に持ちやすいポイントをQ&A形式で簡潔にまとめました。

シャドーAIとツールの検知について

シャドーAIの定義から検知手法まで、基礎的な疑問にお答えします。

Q:シャドーAIとは何ですか?
A:企業が公式に許可・管理していない生成AIツール(ChatGPTの個人アカウントや非公式の文字起こしアプリなど)を、従業員が独自の判断で業務に利用する行為や状態を指します。

Q:従来のシャドーITとシャドーAIの違いは?
A:シャドーITが「ファイルの無断保存」による静的な情報漏洩リスクであるのに対し、シャドーAIは入力したデータがAIプロバイダーの「学習データ」として取り込まれ、第三者に回答として出力される動的な流出リスクを伴う点が最大の違いです。

Q:シャドーAI ツールを検知・ブロックするにはどうすればいいですか?
A:ネットワーク側の制御(CASB/SWG)に加え、SaaS管理ツールを導入し、従業員の社内アカウントから未認可のAIアプリへ行われたシングルサインオン(OAuth連携)の履歴を監視する手法が確実です。

被害額と導入コストについて

経営層への決裁を取る際に必要な、リスクの大きさとツールの費用感について解説します。

Q:シャドーAIによる情報漏洩の被害額はどの程度ですか?
A:IBMの2025年調査レポートによると、シャドーAIを高い割合で利用している組織は、そうでない組織と比較して平均67万ドル(約1億円)高いデータ侵害コストを負担していると報告されています。

Q:シャドーAI 対策 SaaSを導入する料金の目安は?
A:利用する機能や従業員数によって変動しますが、Adminaのような統合管理ツールであれば、1ユーザーあたり月額数百円程度からスモールスタートが可能です。複数ツールのライセンス削減により、実質的なコスト負担を相殺できるケースも多く見られます。

これらの疑問をクリアにした上で、自社の環境に合わせた具体的な対策の実行へと進んでください。

まとめ

シャドーAIの脅威から企業を守るためには、一律の禁止ではなく、IT資産管理 AIを活用した現状の可視化と公式環境の提供を両立させることが最適解となります。

生成AIの進化により業務効率が飛躍的に向上する一方で、管理の行き届かないシャドーAI ツールは企業に莫大な情報漏洩リスクをもたらします。DLPやCASBによる境界防御に加え、シャドーAI 対策 SaaSを起点としたアカウント単位の利用把握が今の情シス部門には求められています。従業員の利便性を損なわずにセキュアな環境を構築するため、まずは自社のSaaS利用状況の棚卸しから着手し、無料トライアルなどを活用してツールの有効性を検証してみてください。

  • ✅ 未認可AIツールの利用実態をSaaS管理ツールで可視化した

  • ✅ 業務で利用可能な公式AIツールと禁止事項をガイドラインに明記した

  • ✅ 入力データが学習されない法人向けの安全な生成AI環境を準備した

  • ✅ 社内アカウント(SSO/OAuth)による外部アプリとの連携状況を確認した

  • ✅ 管理職を含め、AI入力における機密情報漏洩リスクの社内周知を実施した

本記事の内容に誤り等がございましたら、こちらからご連絡ください。

監修

Admina Team

情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。

SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。

従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。

中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。