AIエージェントを安全に使うには：中小企業が先に決める5つの境界線

AIエージェントやAIコーディングツールを使うと、業務アプリの試作、資料作成、コード修正、社内データ整理が一気に進めやすくなります。

一方で、従来のチャットAIよりも考えるべきことは増えます。AIエージェントは、ファイルを読み、コマンドを実行し、外部サービスに接続し、場合によってはWebアプリを公開するところまで関わるからです。

ここで大事なのは、「危ないから使わない」と止めることではありません。使う範囲を決めることです。

AI時代のセキュリティは、難しい専門用語から始めるより、まず「どこに境界線を引くか」で考えると整理しやすくなります。

1. 入力情報の境界線を決める

最初に決めるべきなのは、AIに入力してよい情報と、入力しない情報です。

たとえば、次の情報は慎重に扱う必要があります。

顧客名、担当者名、メールアドレス
契約前の相談内容、見積金額、請求情報
APIキー、パスワード、アクセストークン
社内評価、採用情報、未公開の事業計画
顧客から預かったファイルやデータ

AIサービスによっては、会話や入力内容をモデル改善に使うかどうかを設定できる場合があります。OpenAIのChatGPTでは、データコントロールから「Improve the model for everyone」をオフにでき、オフにした会話はモデル学習に使われないと説明されています。Codexについても、ChatGPT側の学習データ設定がCodexで処理される内容に関係すると案内されています。

ただし、設定があることと、何でも入力してよいことは別です。会社として使うなら、まず「AIに入れてよい情報リスト」と「入れてはいけない情報リスト」を作ります。最初はA4一枚で十分です。

2. 作業環境の境界線を決める

AIエージェントは、作業フォルダ内のファイルを読み、編集し、コマンドを実行することがあります。便利な反面、権限を広げすぎると、意図しない場所のファイルや認証情報に近づいてしまいます。

OpenAIはCodexの安全運用について、サンドボックスと承認が連動し、どこに書き込めるか、ネットワークへ届くか、どのパスが保護されるかを制御すると説明しています。AnthropicのClaude Codeも、開始したフォルダとその配下に書き込み範囲を制限するなど、作業境界を意識した設計を案内しています。

中小企業で現実的に始めるなら、次のように分けるだけでも効果があります。

AI作業用フォルダを決める
顧客情報や請求情報のフォルダには触らせない
APIキーやパスワードを作業フォルダに置かない
外部サービス連携は必要なものだけ許可する
削除、公開、課金、送信に関わる操作は人間が確認する

高度な仮想環境や専用PCを最初から用意できなくても、「AIが触れる場所を限定する」だけで、事故の範囲を小さくできます。

3. 公開範囲の境界線を決める

社内だけで使う小さなツールと、インターネットに公開するWebアプリでは、必要な確認が大きく変わります。

特に、AI APIを裏側で呼び出すWebアプリは注意が必要です。問い合わせフォーム、診断ツール、社内検索、チャットボットなどを公開すると、第三者から大量アクセスされる、想定外の入力を送られる、費用が増える、内部情報を引き出される、といったリスクが出ます。

公開する場合は、最低限、次を確認します。

ログインやアクセス制限が必要か
入力回数や送信頻度を制限しているか
AI APIの利用上限や課金上限を決めているか
顧客情報を保存する場合、誰が見られるか
公開前のプレビューURLが誰でも見える状態になっていないか
失敗時に停止できるスイッチがあるか

VercelにはDeployment Protectionがあり、Vercel AuthenticationやPassword Protectionなどでデプロイへのアクセスを制限できます。Supabaseを使う場合は、公開スキーマのテーブルにRow Level Securityを有効化し、ポリシーがない状態では公開キー経由でデータにアクセスできないようにする設計が基本です。

「AIで作れたから公開する」ではなく、「公開してもよい境界線を確認してから出す」順番にします。

4. 外部情報の境界線を決める

AIエージェントにWebページ、PDF、メール、チャットログ、外部ドキュメントを読ませるときは、外部情報の中にAI向けの悪意ある指示が混ざる可能性を考えます。

NCSCは、プロンプトインジェクションについて、従来のSQLインジェクションのように完全に分離して解決できるものではなく、リスクを減らし、影響を小さくする設計が必要だと説明しています。OWASPのLLMアプリケーション向けTop 10でも、プロンプトインジェクションは主要リスクとして扱われています。

実務では、次の考え方が大切です。

外部から来た文章を読ませるだけのAIに、高い権限を渡さない
メールやWebページを読んだAIに、送金、削除、公開、外部送信を直接させない
外部ドキュメントを読んだ後の操作には、人間の確認を入れる
AIの回答をそのままコマンドや設定値として使わない
不審なツール呼び出しや失敗ログを確認できるようにする

AIに外部情報を読ませるほど便利になります。しかし、読ませた情報と、実行できる操作の権限を同じ高さにしないことが重要です。

5. 復旧範囲の境界線を決める

最後に、問題が起きたときの戻し方を決めます。

セキュリティ対策は「絶対に事故を起こさない」ためだけのものではありません。事故が起きても、止める、戻す、連絡する、再発防止するための準備でもあります。

CISAのCybersecurity Performance Goalsは、資産の一覧化、MFA、ログ、脆弱性対応、インシデント報告などを、高い効果が見込める基本的な実践として整理しています。日本でもIPAが「中小企業の情報セキュリティ対策ガイドライン第4.0版」や、5分でできる自社診断、クラウドサービス安全利用の手引きを公開しています。

AI活用でも、まず次を決めておきます。

どのAIツールを使っているか
どのアカウントで使っているか
どのフォルダやデータにアクセスできるか
APIキーをどこで管理しているか
誤送信、誤公開、課金増加が起きたら誰が止めるか
バックアップや復元手順があるか

すべてを完璧にする必要はありません。まず「何が起きたら困るか」を見えるようにすることが、現実的な第一歩です。

セキュリティは、AI活用のブレーキではない

AIエージェントを安全に使うために必要なのは、恐れて止めることではなく、使ってよい範囲を決めることです。

入力情報、作業環境、公開範囲、外部情報、復旧範囲。この5つの境界線が見えていれば、AIを使う判断がしやすくなります。

反対に、境界線がないまま「便利そうだから」と広げると、情報管理、費用、権限、公開範囲の問題が後から出てきます。

中小企業にとってのAI活用は、大きなセキュリティ部門を作ることから始まるわけではありません。まずは、今の業務でAIに任せたいこと、触らせてよい情報、触らせない情報、公開してよい範囲を整理するところから始められます。

公開前チェックに不安がある場合は、まず AI活用診断簡易版（無料）で、業務上の利用目的と最低限確認すべきセキュリティ論点を整理できます。

御社の状況に当てはめた優先順位、確認観点、概算の対応方針を知りたい場合は、詳細版AI活用診断（¥5,500税込・MTGなし）をご利用ください。ソースコードや実環境を対象にした検査・修正作業は、導入支援またはスポット相談として個別にお見積もりします。