AI活用ガイド

簡易版もあります

このページの概要を1分で読みたい方は 簡易版 をご覧ください。

生成AI(Claude Code等)を使ったSCS対応の半自動化は可能です。ただし「制度説明の簡略化」と「証跡・回答作成の半自動化」が現実的な範囲であり、最終判断や対外提出は人がレビューする運用が前提となります。

三層モデル

第1層
説明・教育
AI
第2層
整理・下書き
AI+人間
第3層
判断・承認
人間

第1層: 説明・教育

AI活用度: 高

制度の要約、社内向け教育、用語の平易化。AIにかなり任せられる領域。

例: 社内説明資料、FAQ、用語集の生成

第2層: 整理・下書き

AI活用度: 中

設問回答案の生成、証跡候補の収集、規程差分の抽出。半自動化の本丸。

例: ギャップ評価、回答ドラフト、不足項目リスト

第3層: 判断・承認

AI活用度: 低

事実確認、責任者承認、提出可否判断。人が持つべき領域。

例: 最終レビュー、経営承認、外部提出

AIが向いている作業・向いていない作業

向いている作業向いていない作業
資料の要約・平易化実施事実の断定
設問への一次回答案作成監査適合の保証
不足証跡の列挙提出可否判断
既存文書との差分整理例外判断
チェックリスト・教育資料のたたき台作成個人情報の外部送信
ローカル文書の横断検索・更新存在しない規程の捏造

Vibe Coding — 日本語でAIに指示するスキル

Vibe Codingとは、自然言語(日本語)でAIに指示を出し、非エンジニアがコードやシステムを生成・構築するスキルです。プログラミング知識がなくても、やりたいことを言葉で伝えるだけでAIがコードを書いてくれます。

生成AIが変えた「できること」

作業2020年以前2024年以降
スクリプト作成プログラミング知識が必要日本語で指示すればAIがコードを書いてくれる
ポリシー文書作成セキュリティの専門知識が必要自社情報を入力すればAIが雛形を生成
ログ分析専用ツールと訓練が必要CSVをAIに渡せば異常を抽出してくれる

具体例:日本語で指示するだけでSCS対応が進む

AIへの指示(プロンプト)ひとつで、セキュリティ対応の第一歩が踏み出せます。以下はすべて実際に使えるプロンプト例です。

例1: 資産台帳を自動で作る

PCのOS・ソフト一覧をCSVで出力するPowerShellスクリプトを書いて

テスト環境で動作確認の上、実行すれば資産台帳のベースが自動でできあがります。

例2: セキュリティポリシーの雛形を作る

製造業・従業員50名の中小企業向けに、情報セキュリティ基本方針のテンプレートを作って。SCS★3の要件を満たす内容にして

例3: ログから不審なアクセスを抽出する

このCSVのログイン履歴から、深夜帯(22時〜6時)のログインと、同一アカウントの複数拠点からの同時ログインを抽出して

例4: アカウント棚卸しを自動化する

Microsoft 365の全ユーザー一覧を取得し、最終ログインが90日以上前のアカウントを抽出するPowerShellスクリプトを書いて

AI生成物は必ずレビューしてください

AIが生成したスクリプトや文書は、必ず内容を確認してから使用してください。特にスクリプトは、テスト環境で動作確認してから本番適用すること。ポリシー文書はあくまで雛形であり、自社の実態に合わせた修正が不可欠です。

DIYで満たせるSCS要件

SCS★3の要件の多くは、AIと標準機能の組み合わせで対応できます。

SCS要件DIYでの対応例
ガバナンスの整備AIでポリシー・手順書を自動生成
リスクの特定(資産管理)AIにスクリプトを書かせて資産台帳を自動作成
攻撃等の防御Windows Defenderの極限チューニング、MFA義務化、DMARC/DKIM/SPF設定
攻撃等の検知ルーターログをAIで分析、不審メール自動判定フロー
インシデント対応AIで対応手順・連絡網を作成
復旧バックアップ手順の文書化

高額ツールがなくても始められる

Windows標準機能 + 無料クラウドサービス + AIを組み合わせれば、高額なセキュリティ製品に頼らず、SCS★3の多くの要件をカバーできます。

DIYだけでは不十分な領域

DIYで多くをカバーできますが、以下の領域は標準機能だけでは限界があります。知った上で判断すること自体がSCS対応では重要です。

領域DIYの限界現実的な対応
ネットワーク防御Windows Defenderはエンドポイント保護のみ。ネットワーク層の不正通信検知はカバー外ルーターのファイアウォール機能を活用。必要に応じてお助け隊サービス等を検討
脆弱性スキャン大規模な自動スキャンには専用ツールが必要Windows Updateの徹底 + 手動での主要ソフト確認から始める
ログの長期保管・分析中小企業向けルーターのログ出力は限定的で、長期保管機能がないことが多い取得可能なログから始め、不足はリスク受容として記録する
メール高度脅威対策標準のスパムフィルタでは標的型攻撃を検知しにくいSPF/DKIM/DMARCの設定 + 社員教育で基本防御を固める

「リスク受容」もSCS対応の一部

すべてのリスクをゼロにすることは不可能です。DIYでカバーできない領域は、「認識した上で受容する」「予算確保後に対応する」と記録すること自体が、SCS評価で求められるリスクマネジメントの姿勢です。

Claude Codeの役割定義

Claude Codeの役割は「探す・整える・下書きする」で止めます。承認は人間が持ちます。

Claude Codeの守備範囲

ステップ作業内容
探す社内文書を横断検索し、確認項目に該当する規程・証跡を見つける
整えるギャップ評価を実施し、各項目の対応状況を整理する。証跡を一覧にまとめる
下書きする回答案を生成する。不足項目リストを作成する。経営向け概要を下書きする

人間の守備範囲

ステップ作業内容
レビュー事実確認、証跡の妥当性検証
承認責任者による内容承認、署名
提出外部報告、取引先への提出

4つの鉄則

No.ルール理由
1根拠ファイル名を必ず書く回答のトレーサビリティを確保するため
2根拠がなければ「未確認」と書く推測による虚偽回答を防ぐため
3推測で補完しないLLMが存在しない規程をそれらしく捏造するリスクを排除するため
4回答案と改善提案を分ける現状の事実と将来の提案を混同しないため

注意事項

リスク対策
LLMが存在しない規程や未実施の運用を「それらしく」書いてしまう証跡リンク付き回答を必須とし、根拠がなければ「未確認」と明記する
AI活用自体がセキュリティ評価の対象になりうる入力データの取り扱い、権限管理、監査ログ、社外送信の制御を先に決める
回答の品質が社内資料の整備度に依存するまず「AIが読める形に社内資料を整える」ことから始める

セキュリティ上の配慮

項目対策
データの外部送信Claude Codeはローカルファイルを読んでAPIに送信する。機密度「高」のデータの取扱いルールを事前に決める
権限管理Claude Codeがアクセスできるディレクトリを限定する
監査ログClaude Codeの実行履歴を記録する

注意

AI活用自体がセキュリティ評価の対象になりうることに留意してください。AIへのデータ入力範囲を明確にし、社内ルールとして文書化しておくことを推奨します。