AIエージェントにメールを読ませる。 CRMにアクセスさせる。 社内文書を処理させる。
便利になるほど、 不安も大きくなる。
「この情報、外に出ていないか」 「AIが勝手に何かしていないか」
その不安は、正しい。 だからこそ、設計が必要だ。
AIエージェントのセキュリティは、 「何を許可し、何を禁止するか」の設計。
原則は3つ。 ①最小権限:必要最低限のアクセスだけ与える ②承認制:重要な操作は人間の承認を経る ③ログ:すべての操作を記録する
この3つを守れば、 AIエージェントは安全に運用できる。
- 原則①:最小権限──メール「読み取り」は許可、「送信」は禁止の設計
- 原則②:承認制──金額・個人情報が絡む操作は必ず人間が確認するフロー
- 原則③:全操作ログ──何をいつ・どのデータに対して行ったか追跡可能にする
- リスク解説:プロンプトインジェクション攻撃とその対策
- リスク解説:クラウド型とセルフホスト型のデータ管理の違い
- 実践:機密情報をAIに渡さない設計パターン
最小権限の実践──「下書きまで」がセキュリティの要
メール自動化で最もよく使われるセキュリティ設計が「送信権限を与えず、下書きまで」というルールだ。AIがどれだけ精度高くメールの返信を作成できても、実際の送信ボタンを押すのは必ず人間にする。これにより「AIが誤った相手に機密情報を送信する」というリスクを構造的にゼロにできる。同様に、CRMへのアクセス権限も「読み取りのみ」から始めて、十分な精度が確認できた段階で「書き込み」権限を追加する段階的な設計が推奨される。2026年現在、AIエージェントのセキュリティインシデントのほとんどは「初期段階で過剰な権限を与えすぎた」ことが原因だ。最小権限の原則は、AI運用における最初にして最重要のルールといえる。
セルフホスト型が選ばれる理由──データを外に出さない設計
製造業や医療・法律事務所など、機密情報を多く扱う業種でセルフホスト型AIエージェントを選ぶ経営者が急増している。クラウド型AIサービスはデータがAnthropicやOpenAIのサーバーを経由するが、セルフホスト型は自社サーバーまたはプライベートクラウド内で完結するため、データが外部に出ない構造になっている。OpenClawのようなセルフホスト型フレームワークを使うと、社内のサーバーで動作するAIエージェントを構築できる。月額コストはクラウドAPIのトークン代のみで済むため、ランニングコストはクラウド型と同等かそれ以下になることも多い。「情報漏洩のリスクを構造的に排除できる安心感は、金銭的なコストでは換算できない」という経営者の声が多い。顧客情報や財務データを扱う業務へのAI活用において、セルフホスト型は現実的な選択肢だ。
セキュリティ設計の3ステップ
- AIエージェントに与える権限を一覧にし、それぞれ「読み取りのみ/書き込み可/承認制」のどれかを明確に定義する。定義があいまいな権限は「読み取りのみ」からスタートする
- 金額・個人情報・機密情報(顧客データ、財務データ、契約書など)が絡む操作はすべて「承認制」にする。AIが提案し、人間が承認するフローを外せない設計にする
- 操作ログの自動記録を設定し、週1回(15分程度)ログを確認するルーティンを作る。何か異常があれば早期発見できる体制を作ることが、安全運用の第三の柱になる
セキュリティは「不安」ではなく「設計」。
正しく設計されたAIエージェントは、 人間よりもミスが少ない。
怖いのはAIではなく、 設計なしに動かすこと。
まず、権限の設計から始めよう。