「業務で使えるAIサービスは、Microsoft Copilotだけです。それ以外の生成AIサービスは一切禁止です」

皆さんの会社では、このようなルールが敷かれていないでしょうか？

その一方で、次のようなスタンスをとる企業も存在します。

「使えるAIサービスに、一律の制限は設けていません。もちろん、サービス規約の確認や、機密情報を入力しないなどの適切な設定は前提です。しかし、多くのエンタープライズ向けサービスはセキュリティ対策もしっかりしています。ユーザーが使いたいAIサービスがあれば申請してもらい、確認して問題がなければ許可しています。」

後者の企業では、現場が自らの意思でツールを選び、業務プロセスの変革や、AIを前提とした新サービスの開発など、着実に成果を積み上げています。

なぜ、このような差が生じてしまうのでしょうか？ その根底には、ツールの善し悪しではなく、日本企業に残る「減点主義」と、それを背景にしたIT部門の萎縮があるように思えてなりません。

「余計なことはするな」という減点主義の呪縛

多くの企業がいまだに「セキュリティ」という錦の御旗を掲げ、便利なサービスの利用を制限しています。

ある建設会社でのエピソードです。

意欲的な情報システム部長が、ITを活用した会計・経理システムの抜本的な変革を経理担当役員に提案しました。しかし、役員から返ってきた言葉は、耳を疑うものでした。

「情報システム部門は余計なことをしなくていい。こちらがやってほしいことをやってくれれば十分だ」

この言葉に、多くの情シス担当者は既視感を覚えるのではないでしょうか。 システムの「安定稼働」は、現場にとっては当たり前の「空気」のようなものです。情シスが、どんなに苦労して安定稼働を維持しても、それは基準点（0点）に過ぎません。しかし、ひとたびトラブルが起きれば、それは即座に「マイナス点」となり、クレームの嵐が巻き起こります。

プラスの評価を得ようと新しい提案をすれば「余計なことをするな」と釘を刺され、トラブルが起きれば減点される。これでは、情シス部門が「余計なことはしたくない」「新しいリスクは極力避けたい」という思考に陥るのも無理はありません。

その結果、「セキュリティ」という誰もが反論できない言葉を盾にして、新しい取り組みを拒絶するようになってしまったとしても、無理からぬ気がします。

「変化しないこと」こそが最大のリスク：ランサムウェア被害の教訓

しかし、「何も変えないこと（余計なことをしないこと）」は、もはや安全策ではありません。むしろ、最大のリスクになり得ます。

2024年の出版大手KADOKAWAグループの事件は記憶に新しいですが、脅威は去るどころか加速しています。2025年に入っても、アサヒグループホールディングスやアスクルといった日本を代表する企業が相次いでランサムウェアの標的となり、基幹システムの停止や物流網の混乱など、事業の根幹を揺るがす事態に追い込まれました。

攻撃の詳細はケースによりますが、これらの被害の多くで共通して指摘されているのが、旧来のVPN機器の脆弱性や、多要素認証（MFA）が適用されていない管理者アカウントの悪用など、「境界型防御」のほころびを突かれた点です。

参考情報

KADOKAWAの被害（2024年）： データセンター内のサーバーへのアクセス不能など深刻なシステム障害が発生。VPN機器などの脆弱性が侵入の入り口となった可能性が指摘されています。（参考：KADOKAWAグループのシステム障害と情報漏洩について - CyberSecurity.com）

アサヒグループホールディングスの被害（2025年）： 9月、ネットワーク機器を経由した不正アクセスにより、国内グループ各社のシステムに障害が発生。受注・出荷業務が停止するなど広範囲に影響が及びました。（参考：アサヒグループHD ニュースリリース）

アスクルの被害（2025年）： 10月、ランサムウェア攻撃によりECサイトの受注停止や物流システムがダウン。侵入経路の一つとして、例外的に多要素認証を適用していなかった業務委託先の管理アカウントやVPN機器の脆弱性が突かれた可能性が公表されています。（参考：アスクル プレスリリースもし、これらのインフラが「ゼロトラスト・アーキテクチャ（ZTA）」とクラウドを前提に運用されていたらどうだったでしょうか？

もし、これらのインフラが「ゼロトラスト・アーキテクチャ（ZTA）」とクラウドを前提に運用されていたらどうだったでしょうか？

「絶対」とは言えませんが、被害を防げた、あるいは極小化できた可能性は極めて高いはずです。ZTAは、境界型防御（ファイアウォールの中にいれば安全という考え方）を捨て、「何も信頼しない」ことを前提に、すべてのアクセスを検証する考え方だからです。

すでに「世界の常識」となっているゼロトラスト（ZTA）

ここで強調したいのは、ZTAは「最新の流行」ではないということです。

ゼロトラストの概念は、米国のリサーチ会社Forrester Researchのアナリストだったジョン・キンダーバグ（John Kindervag）氏によって、2010年に提唱されました。すでに15年も前の話です。

さらに、2020年には米国国立標準技術研究所（NIST）がガイドライン「NIST SP 800-207」を発表しています。2025年現在、政府機関から民間企業まで、この文書はセキュリティ戦略の「デファクトスタンダード（事実上の標準）」となっています。

参考情報

NIST SP 800-207 (Zero Trust Architecture)： NIST（米国国立標準技術研究所）が策定したゼロトラストに関する標準ガイドライン。 （原文：NIST Special Publication 800-207） （IPAによる翻訳・解説：NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説 - IPA）

ZTAは単なるセキュリティ製品の導入ではありません。「セキュアなITインフラの実装方法」そのものであり、設計思想の転換です。

15年も前から提唱され、世界標準となっているこの手法に移行せず、旧来の境界型防御に固執し続けたこと。ここにもまた、「コストがかかる」「運用を変えたくない」という減点主義的な力学が働いていたとしたら、これはとても残念なな話しです。

ITプロフェッショナルとしての誇りを取り戻すために

ITインフラの再構築には、当然ながら莫大なコストがかかります。しかし、ひとたびランサムウェアの被害に遭えば、その損害額と社会的信用の失墜は、インフラ投資額を遥かに上回るでしょう。

私たちITに関わる人材は、事業の成果に貢献する役割を背負っています。

「会社が認めてくれないから」「予算がないから」「前例がないから」といって、AIサービスの利用を画一的に制限したり、レガシーなインフラを放置したりすることは、プロフェッショナルとしての職務放棄に等しいと言えるかもしれません。

ITベンダーもまた、大きな岐路に立たされています。これまでは、お客様からの要望に忠実に応えてシステムを構築することで、生業を維持することができました。しかし、もはやそのような受動的な事業スタイルに未来はありません。

ITプロフェッショナルとして、お客様を正しい道へと導く役割を担わなければ、仕事はますます減っていく一方でしょう。その厳しい現実を、今こそ強く自覚すべきです。顧客の「現状維持」に迎合するのではなく、リスクを正しく伝え、あるべき姿へ導くことこそが、真の貢献なのです。

技術の発展がかつてないスピードで進む今、正しい知識を持ち、実践のノウハウを磨き続けることは、これまで以上に重要になっています。

学ぶことを怠り、もはや通用しなくなった「古い常識」だけで課題を解決しようとするなら、それはプロフェッショナルとしての役割を果たしていないのと同義です。

ITの「今の常識」を正しく理解し、自信を持って最善策を講ずる。 事業の成果を阻害する社内のバイアスを排除するために、私たちは常に知識という武器を磨き続けなければなりません。それこそが、ITプロフェッショナルが果たすべき大切な役割なのです。