AI活用ガイド
簡易版もあります
このページの概要を1分で読みたい方は 簡易版 をご覧ください。
生成AI(Claude Code等)を使ったSCS対応の半自動化は可能です。ただし「制度説明の簡略化」と「証跡・回答作成の半自動化」が現実的な範囲であり、最終判断や対外提出は人がレビューする運用が前提となります。
三層モデル
AI
AI+人間
人間
第1層: 説明・教育
AI活用度: 高
制度の要約、社内向け教育、用語の平易化。AIにかなり任せられる領域。
例: 社内説明資料、FAQ、用語集の生成
第2層: 整理・下書き
AI活用度: 中
設問回答案の生成、証跡候補の収集、規程差分の抽出。半自動化の本丸。
例: ギャップ評価、回答ドラフト、不足項目リスト
第3層: 判断・承認
AI活用度: 低
事実確認、責任者承認、提出可否判断。人が持つべき領域。
例: 最終レビュー、経営承認、外部提出
AIが向いている作業・向いていない作業
| 向いている作業 | 向いていない作業 |
|---|---|
| 資料の要約・平易化 | 実施事実の断定 |
| 設問への一次回答案作成 | 監査適合の保証 |
| 不足証跡の列挙 | 提出可否判断 |
| 既存文書との差分整理 | 例外判断 |
| チェックリスト・教育資料のたたき台作成 | 個人情報の外部送信 |
| ローカル文書の横断検索・更新 | 存在しない規程の捏造 |
Vibe Coding — 日本語でAIに指示するスキル
Vibe Codingとは、自然言語(日本語)でAIに指示を出し、非エンジニアがコードやシステムを生成・構築するスキルです。プログラミング知識がなくても、やりたいことを言葉で伝えるだけでAIがコードを書いてくれます。
生成AIが変えた「できること」
| 作業 | 2020年以前 | 2024年以降 |
|---|---|---|
| スクリプト作成 | プログラミング知識が必要 | 日本語で指示すればAIがコードを書いてくれる |
| ポリシー文書作成 | セキュリティの専門知識が必要 | 自社情報を入力すればAIが雛形を生成 |
| ログ分析 | 専用ツールと訓練が必要 | CSVをAIに渡せば異常を抽出してくれる |
具体例:日本語で指示するだけでSCS対応が進む
AIへの指示(プロンプト)ひとつで、セキュリティ対応の第一歩が踏み出せます。以下はすべて実際に使えるプロンプト例です。
例1: 資産台帳を自動で作る
PCのOS・ソフト一覧をCSVで出力するPowerShellスクリプトを書いて
テスト環境で動作確認の上、実行すれば資産台帳のベースが自動でできあがります。
例2: セキュリティポリシーの雛形を作る
製造業・従業員50名の中小企業向けに、情報セキュリティ基本方針のテンプレートを作って。SCS★3の要件を満たす内容にして
例3: ログから不審なアクセスを抽出する
このCSVのログイン履歴から、深夜帯(22時〜6時)のログインと、同一アカウントの複数拠点からの同時ログインを抽出して
例4: アカウント棚卸しを自動化する
Microsoft 365の全ユーザー一覧を取得し、最終ログインが90日以上前のアカウントを抽出するPowerShellスクリプトを書いて
AI生成物は必ずレビューしてください
AIが生成したスクリプトや文書は、必ず内容を確認してから使用してください。特にスクリプトは、テスト環境で動作確認してから本番適用すること。ポリシー文書はあくまで雛形であり、自社の実態に合わせた修正が不可欠です。
DIYで満たせるSCS要件
SCS★3の要件の多くは、AIと標準機能の組み合わせで対応できます。
| SCS要件 | DIYでの対応例 |
|---|---|
| ガバナンスの整備 | AIでポリシー・手順書を自動生成 |
| リスクの特定(資産管理) | AIにスクリプトを書かせて資産台帳を自動作成 |
| 攻撃等の防御 | Windows Defenderの極限チューニング、MFA義務化、DMARC/DKIM/SPF設定 |
| 攻撃等の検知 | ルーターログをAIで分析、不審メール自動判定フロー |
| インシデント対応 | AIで対応手順・連絡網を作成 |
| 復旧 | バックアップ手順の文書化 |
高額ツールがなくても始められる
Windows標準機能 + 無料クラウドサービス + AIを組み合わせれば、高額なセキュリティ製品に頼らず、SCS★3の多くの要件をカバーできます。
DIYだけでは不十分な領域
DIYで多くをカバーできますが、以下の領域は標準機能だけでは限界があります。知った上で判断すること自体がSCS対応では重要です。
| 領域 | DIYの限界 | 現実的な対応 |
|---|---|---|
| ネットワーク防御 | Windows Defenderはエンドポイント保護のみ。ネットワーク層の不正通信検知はカバー外 | ルーターのファイアウォール機能を活用。必要に応じてお助け隊サービス等を検討 |
| 脆弱性スキャン | 大規模な自動スキャンには専用ツールが必要 | Windows Updateの徹底 + 手動での主要ソフト確認から始める |
| ログの長期保管・分析 | 中小企業向けルーターのログ出力は限定的で、長期保管機能がないことが多い | 取得可能なログから始め、不足はリスク受容として記録する |
| メール高度脅威対策 | 標準のスパムフィルタでは標的型攻撃を検知しにくい | SPF/DKIM/DMARCの設定 + 社員教育で基本防御を固める |
「リスク受容」もSCS対応の一部
すべてのリスクをゼロにすることは不可能です。DIYでカバーできない領域は、「認識した上で受容する」「予算確保後に対応する」と記録すること自体が、SCS評価で求められるリスクマネジメントの姿勢です。
Claude Codeの役割定義
Claude Codeの役割は「探す・整える・下書きする」で止めます。承認は人間が持ちます。
Claude Codeの守備範囲
| ステップ | 作業内容 |
|---|---|
| 探す | 社内文書を横断検索し、確認項目に該当する規程・証跡を見つける |
| 整える | ギャップ評価を実施し、各項目の対応状況を整理する。証跡を一覧にまとめる |
| 下書きする | 回答案を生成する。不足項目リストを作成する。経営向け概要を下書きする |
人間の守備範囲
| ステップ | 作業内容 |
|---|---|
| レビュー | 事実確認、証跡の妥当性検証 |
| 承認 | 責任者による内容承認、署名 |
| 提出 | 外部報告、取引先への提出 |
4つの鉄則
| No. | ルール | 理由 |
|---|---|---|
| 1 | 根拠ファイル名を必ず書く | 回答のトレーサビリティを確保するため |
| 2 | 根拠がなければ「未確認」と書く | 推測による虚偽回答を防ぐため |
| 3 | 推測で補完しない | LLMが存在しない規程をそれらしく捏造するリスクを排除するため |
| 4 | 回答案と改善提案を分ける | 現状の事実と将来の提案を混同しないため |
注意事項
| リスク | 対策 |
|---|---|
| LLMが存在しない規程や未実施の運用を「それらしく」書いてしまう | 証跡リンク付き回答を必須とし、根拠がなければ「未確認」と明記する |
| AI活用自体がセキュリティ評価の対象になりうる | 入力データの取り扱い、権限管理、監査ログ、社外送信の制御を先に決める |
| 回答の品質が社内資料の整備度に依存する | まず「AIが読める形に社内資料を整える」ことから始める |
セキュリティ上の配慮
| 項目 | 対策 |
|---|---|
| データの外部送信 | Claude Codeはローカルファイルを読んでAPIに送信する。機密度「高」のデータの取扱いルールを事前に決める |
| 権限管理 | Claude Codeがアクセスできるディレクトリを限定する |
| 監査ログ | Claude Codeの実行履歴を記録する |
注意
AI活用自体がセキュリティ評価の対象になりうることに留意してください。AIへのデータ入力範囲を明確にし、社内ルールとして文書化しておくことを推奨します。