D
把握のみ
従業員がAI開発ツール(バイブコーディング)を用いて、セキュリティレビューを受けずに業務アプリを自作し、社内システムと連携させて公開する「シャドーAI」のリスク…
📌 一言でいうと
従業員がAI開発ツール(バイブコーディング)を用いて、セキュリティレビューを受けずに業務アプリを自作し、社内システムと連携させて公開する「シャドーAI」のリスクが高まっています。RedAccesの調査では、公開状態で機密データを含むAI製アプリが多数確認されており、認証設定の不備による情報漏洩の危険性が指摘されています。従来のシャドーITとは異なり、個別のアプリ単位で管理外となるため、資産管理が困難な点が課題です。
🔍該当判定
- ChatGPTやClaudeなどのAIツールを使って、社内向けの簡易的な業務アプリやツールを自作している社員がいる
- プログラミング知識のない社員が、AI開発ツール(Vibe Coding等)を用いてCRMやERPなどの社内システムと連携させたアプリを作成している
- AIで作成した業務ツールを、URLを知っていれば誰でもアクセスできる状態でインターネットに公開している
- 社内のIT部門やセキュリティ担当者が把握していない、AI製の「野良アプリ」が業務で利用されている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. AI開発ツール(Vibe Codingプラットフォーム等)の利用状況を把握し、社内ガイドラインを策定すること。2. 外部公開設定や認証設定の強制適用など、プラットフォーム側のガバナンスを強化すること。3. 開発されたアプリが社内システム(CRM, ERP等)に接続される際の承認フローを構築すること。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIツールを利用した業務アプリ自作に関するお願い
お疲れさまです。情報システム担当です。
最近、AIツールを使って簡単に業務アプリを作成できるサービスが増えていますが、セキュリティ確認のないアプリを公開すると、社外に機密情報が漏洩する危険があります。
ご協力をお願いしたいこと:
1. AIツールで作成したアプリを、会社の許可なくインターネットに公開したり、社内システム(CRMやERP等)に接続したりしないでください。
2. すでに作成・公開しているアプリがある場合は、速やかに情報システム部門へ報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
最近、AIツールを使って簡単に業務アプリを作成できるサービスが増えていますが、セキュリティ確認のないアプリを公開すると、社外に機密情報が漏洩する危険があります。
ご協力をお願いしたいこと:
1. AIツールで作成したアプリを、会社の許可なくインターネットに公開したり、社内システム(CRMやERP等)に接続したりしないでください。
2. すでに作成・公開しているアプリがある場合は、速やかに情報システム部門へ報告してください。
対応期限: 本日中
Subject: [Security Alert] Guidelines on Creating Business Apps via AI Tools
Dear employees,
With the rise of AI-powered development tools, it has become easier to create business apps. However, deploying these apps without a security review can lead to serious data leaks of corporate and personal information.
Requested Actions:
1. Do not publish apps created via AI tools to the internet or connect them to internal systems (e.g., CRM, ERP) without official approval.
2. If you have already created and deployed such an app, please report it to the IT Security team immediately.
Deadline: Immediate
Dear employees,
With the rise of AI-powered development tools, it has become easier to create business apps. However, deploying these apps without a security review can lead to serious data leaks of corporate and personal information.
Requested Actions:
1. Do not publish apps created via AI tools to the internet or connect them to internal systems (e.g., CRM, ERP) without official approval.
2. If you have already created and deployed such an app, please report it to the IT Security team immediately.
Deadline: Immediate