コンサル先のスタートアップ(従業員50名)でSaaS棚卸しをしていたときのこと。Google Workspace管理コンソールのOAuth連携アプリ一覧を開いたら、IT担当が把握していないアプリが40本以上並んでいた。うち12件がChatGPT、Claude、Geminiなど生成AIサービスへのOAuth認証。管理者は「うちは生成AIツールを正式導入していない」と言っていたのに、社員は個人判断で使い始めていた。
2026年1月、IPAの「情報セキュリティ10大脅威 2026」組織編で「AIの利用をめぐるサイバーリスク」が初登場3位にランクインしている。50名規模でもAI系のOAuth連携は10件前後見つかるのが普通だと、複数のコンサル先で確認してきた。
結論。シャドーAIの洗い出しとガイドライン整備は、Google Workspace管理コンソールの標準機能と管理者1名・約8時間で完了する。年間200万円超のCASB製品は、この規模ではコストが合わない。
管理コンソールでOAuth連携アプリを洗い出す手順
必要なのはGoogle Workspaceの管理者権限だけだ。追加費用はゼロ。
管理コンソール(admin.google.com)にログインしたら、左メニューの「セキュリティ」から「アクセスとデータ管理」→「APIの制御」→「サードパーティのアプリのアクセスを管理」の順に進む。ここにOAuth連携済みの全アプリが一覧表示される。筆者がコンサル先で実際に洗い出した際のAI系アプリ内訳がこれだ。
| サービス名 | 検出数(ユーザー) | 主な用途 |
|---|---|---|
| ChatGPT(OpenAI) | 8名 | 文章生成・翻訳 |
| Claude(Anthropic) | 2名 | 議事録要約 |
| Gemini(Google) | 5名 | リサーチ補助 |
| その他AI系(画像生成・コード補助) | 3名 | 個人利用 |
延べ18名だが、複数サービスを併用しているユーザーがいたため実人数は12名。全社員50名の24%がIT部門の把握外でAIツールを業務利用していた計算になる。洗い出し作業にかかった時間は約30分。管理コンソールの画面をスクロールしてAI系サービスを目視でピックアップし、スプレッドシートに転記する、それだけだ。
パワーユーザーを特定してコスト最適化の材料にする
洗い出したAIユーザー全員に法人プランを割り当てるのは過剰投資だ。
別のコンサル先でも同様の棚卸しをした際、ChatGPTの有料プラン(Pro)を個人クレジットカードで契約していた社員が12名見つかった。ログイン頻度を確認したところ、週3回以上使っていたのは12名中5名だけ。残り7名は月に数回しかアクセスしていなかった。
パワーユーザー5名だけをChatGPT Teamプラン(2026年6月時点で1ユーザー月額30ドル)に移行し、残り7名は無料プランまたはGoogle Workspace内蔵のGeminiに切り替えた。年間約25万円のコスト削減につながっている。
判断基準は単純で、週3回以上ログインしているかどうか。SaaS棚卸し全般に使える「利用率40%ライン」と同じ考え方だ。利用率がこの水準を下回るツールに全社課金すると、確実にコストが先行する。前職でNotionのPlusプランを800名に一括展開してアクティブ率40%にとどまり、半年で混在運用に戻した経験がある。規模別に判断しないと同じ轍を踏む。
ガイドラインを8時間で整備する具体的な進め方
シャドーAI対策は全面禁止ではなく「正規ルートの整備」が合理的だ。IPAが2024年7月に公開した「テキスト生成AIの導入・運用ガイドライン」をテンプレートに使えば、ゼロから書く必要はない。
コンサル先で実施した作業と所要時間の内訳はこうなる。
| 作業内容 | 所要時間 | 備考 |
|---|---|---|
| OAuth連携アプリの洗い出し | 30分 | 管理コンソールからAI系をリスト化 |
| 承認ツールの選定 | 1時間 | 法人プランのあるAIサービスを1つ指定 |
| 入力禁止データの定義 | 2時間 | 顧客情報・ソースコード・人事情報を明文化 |
| ガイドライン文書の作成 | 3時間 | IPAテンプレートを50名向けに要約(A4で2〜3枚) |
| 全社研修 | 1.5時間 | 資料準備30分+実施30分+質疑30分 |
合計約8時間。時給3,000円換算で約24,000円。管理者1名で完結する。
ガイドラインに盛り込む最低限の項目は3カテゴリに絞る。
- 承認済みツールの指定: 法人向けプランのあるサービスを1つだけ正式採用する。ChatGPT TeamやGoogle Gemini Enterpriseなど、入力データがモデル学習に使われないプランを選ぶのが前提だ
- 入力禁止データの定義: 顧客の個人情報、社内の人事・給与データ、未公開のソースコード。この3カテゴリを明記するだけでリスクの大半をカバーできる
- 違反時の対応フロー: 報告→是正→再発防止のサイクルを明文化する。全面禁止+懲罰型にすると現場が隠れて使うだけで逆効果だ
管理コンソール側では、未承認アプリのアクセスレベルを「制限付き」に変更しておく。Googleの公式ヘルプに手順が載っている。信頼済みに登録したアプリだけがGoogle Workspaceのデータにフルアクセスでき、それ以外は制限される仕組みだ。
50名規模でCASBが不要な根拠をコストで示す
CASB(Cloud Access Security Broker)はシャドーIT・シャドーAI対策の定番だが、50名規模では費用対効果が合わない。
| 対策方法 | 初年度コスト | 年間運用コスト |
|---|---|---|
| 管理コンソール+スプレッドシート運用 | 約24,000円 | 約9,000円 |
| CASB製品(Netskope、Zscaler等) | 200万〜400万円 | 同程度 |
管理コンソールでのOAuth監査は、初回の洗い出しが30分、月次の差分チェックが10分、信頼済みアプリの初期登録が1時間。年間の運用コストは時給3,000円換算で約9,000円だ。CASBの導入損益分岐点はおおむね200名以上の組織と試算できる。
数字は2026年6月時点の公開情報をベースにしている。CASB製品のプラン改定や為替変動があれば再計算が必要だが、50名規模と200名超の組織でコスト構造が逆転することは当面ないと読める。
FAQ
Google Workspace以外の環境でシャドーAIを洗い出す方法は?
Microsoft 365を使っている組織なら、Entra ID(旧Azure AD)の「エンタープライズアプリケーション」画面からOAuth連携アプリを一覧できる。考え方は同じで、管理コンソールの標準機能でまず可視化し、50名規模ならそれで十分だ。
承認済みAIツールは1つに絞るべきか?
50名規模なら1つで十分と判断する。複数ツールを承認するとライセンス管理の工数が増え、入力禁止データのルール徹底も難しくなる。特定の部署で別ツールが必要な場合は個別申請制にして、スプレッドシートで管理する方が合理的だ。
ガイドラインを作っても社員が守らないときは?
管理コンソールのOAuthアクティビティレポートを月1回確認すれば、新たな未承認アプリの追加を検知できる。「定期的にチェックしている」事実を全社に共有するだけでも抑止効果は高い。
無料のAIツールなら会社のデータは安全か?
無料プランの多くは入力データをモデルの学習に利用する規約になっている。2026年6月時点でChatGPTの無料プランはオプトアウト設定が可能だが、デフォルトでは学習対象だ。業務利用するなら、入力データがモデル学習に使われない法人プランを選ぶのが前提になる。
参考文献
- 情報セキュリティ10大脅威 2026 — IPA 独立行政法人 情報処理推進機構, 2026年1月
- テキスト生成AIの導入・運用ガイドライン — IPA 独立行政法人 情報処理推進機構, 2024年7月
- Google Workspace のデータにアクセスできるアプリを制御する — Google Workspace 管理者ヘルプ
- OAuth のログイベント — Google Workspace 管理者ヘルプ
