情報セキュリティ担当向けAI学習ロードマップ
情報セキュリティ担当が、生成AI利用ルール、ログ、権限、プロンプト攻撃、委託先確認を90日で整理するための実務ロードマップです。

結論
情報セキュリティ担当がAIを学ぶときは、モデルの性能よりも、社内で何を入力してよいか、どの権限で使うか、ログをどこまで残すか、委託先やSaaSがどのようにデータを扱うかを確認できる状態を先に作ります。AIは便利な業務支援ですが、入力情報、出力の信頼性、外部連携、プロンプト攻撃、権限外参照のリスクを伴います。
90日で目指す状態は、禁止事項だけを並べるのではなく、現場が安全に使えるルール、レビュー手順、問い合わせ窓口、例外申請、監査ログを持つことです。30日目までは利用実態と情報分類、60日目まではリスク別の確認手順、90日目までは運用レビューと委託先確認へ進めます。
30日目までの利用実態把握
最初に、社員がどのAIツールを何に使っているかを把握します。文書要約、議事録、コード作成、問い合わせ回答、翻訳、画像生成、データ分析など、用途によってリスクは変わります。利用を一律禁止にすると、実態が見えなくなりやすいため、許可された用途と相談が必要な用途を分けます。
情報分類も同時に行います。公開情報、社内限定情報、顧客情報、個人情報、契約情報、営業秘密を同じ扱いにしないことが重要です。AIへ入力してよい情報、匿名化すればよい情報、入力してはいけない情報を、現場が読める表現に落とします。
60日目までに見るべきAI固有リスク
AI利用では、従来のSaaS審査だけでは不足する点があります。プロンプトインジェクション、根拠のない回答、機密情報の混入、外部プラグイン経由の送信、学習利用の設定、ログ保存、権限外情報の参照などを確認します。特にRAGや社内検索では、検索対象文書の権限と回答表示の権限を分けて見る必要があります。
| 確認領域 | 具体的に見ること | 運用で残すもの |
|---|---|---|
| 入力制御 | 入力禁止情報、匿名化手順 | 利用ルールと例外申請 |
| 権限 | 文書権限、管理者権限、共有範囲 | 権限設計表 |
| ログ | 入力、出力、利用者、時刻 | 保存期間と閲覧権限 |
| 攻撃対策 | プロンプト攻撃、外部URL、ツール実行 | テストケース |
| 委託先 | 学習利用、再委託、障害時対応 | チェックシート |
90日目までの運用レビュー
AIセキュリティは、導入前審査で終わりません。利用部門、情報システム、法務、監査と一緒に、月次で利用状況と事故未満のヒヤリハットを確認します。入力禁止情報が入りそうになった例、権限設定の迷い、出力を誤って信じた例を集めることで、ルールを現場に合わせて更新できます。
また、委託先やAI SaaSの仕様は変わります。利用規約、データ保持、学習利用、監査ログ、API連携、管理者機能は定期的に確認します。契約更新時だけでなく、重要機能の変更時にもレビューする運用にすると、ルールが古くなりにくくなります。
図解で確認するポイント
この記事の画像は、情報分類、入力制御、権限、ログ、攻撃テスト、委託先確認の流れを示す図解です。文字で説明しきれない確認範囲を、運用順序として把握できるようにしています。
AllAI内での次の行動
基礎学習はAI講座で確認し、セキュリティ審査やログ設計を含む開発が必要な場合はAI開発会社一覧で相談先を探します。AI利用ルールの整備には、内部監査・AIリスク担当向け学習ロードマップも参考になります。
FAQ
Q. AI利用を禁止すれば安全ですか? A. 実態が見えなくなるリスクがあります。許可用途、禁止情報、相談窓口、例外申請を整え、管理できる形にする方が現実的です。
Q. まず確認すべきAI固有リスクは何ですか? A. 機密情報の入力、権限外参照、プロンプト攻撃、ログ保存、学習利用、外部連携です。
Q. セキュリティ担当だけで進められますか? A. 進められません。利用部門、情報システム、法務、監査と一緒に、用途ごとの確認責任を決める必要があります。
出典:
- 経済産業省 AI事業者ガイドライン 第1.2版: https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html (確認日: 2026-07-08)
- OWASP Top 10 for LLM Applications: https://owasp.org/www-project-top-10-for-large-language-model-applications/ (確認日: 2026-07-08)
- NIST AI Risk Management Framework: https://www.nist.gov/itl/ai-risk-management-framework (確認日: 2026-07-08)
次に見る
関連する記事・ガイド
- AI講座ガイドB2BマーケOps担当のAI学習ロードマップ
B2BマーケOps担当のAI学習ロードマップでは、リード分類、MA施策整理、レポート要約を安全にAIで進めるために、AIリテラシー、業務分解、プロンプト、レビュー、改善ログを90日で身につける順番を整理します。
- AI講座ガイドクリニック受付担当のAI学習ロードマップ
クリニック受付担当のAI学習ロードマップでは、予約問い合わせ分類、案内文下書き、個人情報確認を安全にAIで進めるために、AIリテラシー、業務分解、プロンプト、レビュー、改善ログを90日で身につける順番を整理します。
- AI講座ガイドコンプライアンス担当のAI学習ロードマップ
コンプライアンス担当のAI学習ロードマップでは、規程確認、研修FAQ作成、違反リスク整理を安全にAIで進めるために、AIリテラシー、業務分解、プロンプト、レビュー、改善ログを90日で身につける順番を整理します。
- AI講座ガイドデータガバナンス担当のAI学習ロードマップ
データガバナンス担当のAI学習ロードマップでは、データ定義整備、権限棚卸し、品質ルール作成を安全にAIで進めるために、AIリテラシー、業務分解、プロンプト、レビュー、改善ログを90日で身につける順番を整理します。