はじめに
生成AIの社内展開を検討し始めた会社から、「まずは今の利用実態を調べたい。ただ、具体的にどう調べればいいのかわからない」というご相談をよくいただきます。
会社が正式に導入する前から、社員が個人アカウントで使い始めているケースは珍しくありません。こうした会社が把握していない生成AIの利用は「シャドーAI」と呼ばれ、放置すると、何が入力されているかわからないまま利用だけが広がっていきます。逆に、実態さえ把握できれば、統制の設計にも経営への説明にも使える材料になります。
この記事では、シャドーAIを見つける方法を6つに整理して紹介します。とはいえ、最初から6つすべてをやる必要はありません。それぞれ「どこを見るか・何がわかるか・何が見えないか」を説明しますので、自社の環境で使えるものから選んでもらえると幸いです。
以前書いた Claude Code法人導入の前に決めることの中で「配る前に利用実態を調べましょう」と触れた部分を、深掘りする位置づけの記事ですが、この記事だけでも読めるようにしています。
なお、調査に入る前に、ひとつ注意点があります。通信ログやアカウントの調査は従業員のモニタリングにあたるので、就業規則やモニタリングに関する規程の範囲内で、目的を明確にして行ってください。黙って調べてこっそり締める、という進め方は、従業員との信頼関係を損ね、その後の統制も進めにくくします。
6つの方法の全体像
先に一覧を示します。前半の4つがログや管理ツールで調べる方法、後半の2つが業務記録と人から調べる方法です。
- 通信ログを見る — 利用されているサービスと全体の量がわかる
- 会社アカウントのログイン記録を見る — 誰がどのサービスを使っているかがわかる
- 端末に入っているものを見る — デスクトップアプリやCLIなど、ブラウザ外の利用がわかる
- ブラウザの利用状況を見る — AI系拡張機能の存在と、ブラウザ上の利用記録がわかる
- 経費・契約を見る — 有料プランを使っている本気の利用者がわかる
- 本人に聞く — ログには残らない、利用の動機と用途がわかる
方法1: 通信ログを見る
まず王道は、ネットワークの出口で生成AIサービスへのアクセスを見ることです。全体の量をつかむのに向いています。
- どこを見るか
- プロキシ・SWG(セキュアWebゲートウェイ)・UTMのアクセスログから、主要な生成AIサービスのドメイン(chatgpt.com、claude.ai、gemini.google.com など)への通信を抽出する
- DNSのクエリログが取れる環境なら、名前解決の記録からも同じことができます
- Defender for Cloud Apps(Microsoft 365 E5 などに含まれます)を使える会社なら、Cloud Discovery がこの突き合わせを自動化してくれます。通信ログをクラウドアプリのカタログと照合して、利用者数・通信量・リスク評価まで一覧にする機能です
- 何がわかるか
- どのサービスが・どれくらいの人数に・どの程度の頻度で使われているか、という全体の量
- 「実は ChatGPT より Gemini の利用が多かった」のような、思い込みと実態のズレ
- 何が見えないか
- 個人のスマートフォンでの利用
- 社内ネットワークを通らない通信(在宅勤務やモバイル回線)。ただし、端末にエージェントを入れて通信を経由させるクラウド型SWGなら、社外からの通信も見えます
- 入力された中身。通常の構成ではHTTPSで暗号化されているため、わかるのはアクセスしたことまでです
なお、TLSインスペクション(通信の復号)に対応したSWGを復号ありで運用している場合は、入力内容の検査や、DLP(機密情報の持ち出し検知・制御)による制御まで踏み込める製品もあります。ただし証明書配布などの事前設定が必要で、モニタリング規程との整合もより慎重に確認する必要があります。
方法2: 会社アカウントのログイン記録を見る
次に、社員が会社の Microsoft / Google アカウントで、どの外部サービスにログインしているかを見ます。通信ログより確度が高く、「誰が」まで特定できるのが強みです。
この方法のポイントは、IT部門が連携設定したアプリに限らず、ユーザーが会社アカウントで自分からログインしたサービスも記録に残ることです。「Microsoftでログイン」「Googleでログイン」を使った場合、認証・認可を行うのは Entra ID / Google 側なので、アプリ名付きで記録されます。
- どこを見るか
- Microsoft 365 の会社: Entra ID のサインインログに、外部サービスへのログインが記録されます。また、ユーザーがアクセス許可に同意したアプリはエンタープライズアプリケーションの一覧に自動で載るので、IT部門が設定した覚えのないアプリが並んでいたら、それがシャドーAIの候補です
- Google Workspace の会社: 管理コンソールの「OAuth ログイベント」に、どのユーザーがどのサードパーティアプリを使ったかが記録されます。「サードパーティ製アプリのアクセス管理」では、アプリに付与済みのアクセス許可も確認できます
- メールログ: 会社ドメインのメールアドレスで直接登録されたサービスは、登録確認メールやパスワードリセットメールの痕跡がメールログに残っていることがあります
- 何がわかるか
- 「誰が」使っているか(通信ログでは端末やIPまでしか特定できないことが多い)
- 連携アプリにどこまでのデータアクセスを許可しているか。権限によっては、メールやドライブ全体の読み取りまで許可されていることもあります
- 何が見えないか
- 会社アカウントを経由しない登録。個人のメールアドレスでの登録はもちろん、会社のメールアドレスでも独自にパスワードを設定して直接登録されたものは残りません。そちらは通信ログの調査や、本人へのアンケートで補います
なお、Okta などのIdP(シングルサインオンの基盤となるID管理サービス)を使っている場合、そのサインインログに残るのはIdPに連携設定されたアプリへのログインだけです。連携していないサービスのシャドー利用は、上記の Microsoft / Google 側のログで確認してください。
方法3: 端末に入っているものを見る
生成AIの利用は、ブラウザでサイトを開く形だけではありません。デスクトップアプリ、IDEへの組み込み、Claude Code のようなCLIツールなど、端末にインストールして使う形もあります。こうしたタイプはアクセスログだけでは見落としやすいので、端末側の棚卸しで補完します。
- どこを見るか
- MDMや資産管理ツールのインストール済みアプリ一覧で、生成AI系のデスクトップアプリ(Claude、ChatGPT、Cursor など)を検索する
- 開発者の端末は要注意です。CLIツールやエディタ組み込みのAIはアプリ一覧に出ないことがあるので、EDR(端末上の操作を記録するセキュリティ製品)のプロセス実行ログや、開発チームへの直接ヒアリングで補います
- 何がわかるか
- ネットワークログに出にくい利用形態。特にファイルアクセスやコマンド実行を伴うツール(つまりリスクの質が違うもの)はここで見つかることが多いです
- 何が見えないか
- 管理外の端末(BYOD・私物)は当然見えません。管理外端末がどれだけあるか自体が、この調査の副産物としてわかることもあります
方法4: ブラウザの利用状況を見る
端末へのインストール状況とは別に、こちらではブラウザ側、つまり拡張機能の導入状況とブラウザの利用記録を確認します。
- どこを見るか
- ブラウザを管理できる環境(Chrome Enterprise 等)なら、管理コンソールの拡張機能一覧からAI系アシスタント拡張を洗い出す(見えるのは管理対象のブラウザ・プロファイルに限られます)
- SaaS管理サービスの中には、社員のブラウザに配布する専用拡張機能でSaaSへのログインを検出することができるものがあります。シャドーITの発見用の機能なので、生成AIサービスの検出にもそのまま使えます(こちらも、拡張を配布できている端末・ブラウザの範囲に限られます)
- PC操作ログ系の監視ツール(ウィンドウタイトルやアクセス先URLを記録するタイプ)を導入済みなら、そのログから生成AIサービスの利用を抽出することができます。
- 何がわかるか
- 拡張機能型のAIアシスタントの導入状況。このタイプは開いているページの内容を読み取るものが多く、ユーザーが何も入力していなくてもデータが渡り得るという意味で、チャット画面の利用とはリスクの質が違います
- ウィンドウタイトルやURLの記録からは、どのサービスを・いつ開いていたか。時刻の記録と突き合わせれば、利用の濃淡もおおよそつかめます
- 何が見えないか・注意
- 管理外のブラウザやプロファイルは見えません
- この方法は6つの中で一番監視の色が濃くなります。冒頭に書いたモニタリング規程との整合は、ここでは特に慎重に確認してください
方法5: 経費・契約を見る
意外に効くのが、経費と契約の記録です。
- どこを見るか
- 経費精算のデータから、ChatGPT Plus、Claude Pro、GitHub Copilot などのサブスクリプション名で検索する
- コーポレートカードの明細に、OpenAI や Anthropic への少額の定期決済がないかを見る
- SaaS管理台帳(あれば)と、実際の利用のギャップを見る
- 何がわかるか
- お金を払ってまで使っている人、つまり業務で本気で使っているヘビーユーザーがわかります。この人たちは取り締まる対象ではなく、後で法人展開するときの推進役の候補です
- 部署単位で勝手に契約されたチームプランが見つかることもあります(いわゆる野良契約)
- 何が見えないか
- 無料プランの利用者。数としてはこちらが多数派なので、量の把握は通信ログやブラウザの利用記録、アンケートと組み合わせてください
方法6: 本人に聞く
最後が一番アナログで、実務では一番効く方法です。ログをどれだけ眺めても、「なぜ使っているのか」「何に困っているのか」は出てきません。
- どうやるか
- 匿名アンケートで、使っているサービス・頻度・主な用途を聞く。設問は「使っていますか(はい/いいえ)」より「どの業務で一番役立っていますか」のように、使っている前提で聞く方が正直な回答が集まります
- あわせて「この調査結果をもとに個人を処分することはない」と明言する。期限を区切って正直に申告してもらい、お咎めなしで会社アカウントへ移行してもらう、という進め方です
- ヘビーユーザーが見つかったら、個別に30分ヒアリングする。統制側が想定していない便利な使い方が、だいたいここで出てきます
- 何がわかるか
- 利用の動機と業務価値。これは後で「禁止ではなく集約」の設計をするときの、一番重要なインプットになります
- 何が見えないか
- 申告されない利用は、当然ながら出てきません。だからこそ「正直に言っても損しない」設計が肝心で、ここを雑にすると以降の統制全体が地下に潜ります
どこから始めるか
6つ並べましたが、全部やってから動くという方針では時間がかかってしまいます。会社の状況に応じて、以下のあたりがまず取り組むのに現実的な組み合わせです。
- MDMもSWGもある会社 → 通信ログで全体の量をつかみ、会社アカウントの記録で誰が使っているかを確認し、アンケートで動機を聞く
- 管理基盤が薄い会社 → アンケート+連携許可済みアプリの確認+経費の検索。この3つは追加のツール投資なしで、すぐに始められます
- 開発組織がある会社 → 上記に端末の棚卸しを必ず足す。CLI・IDE系はリスクの質が違うので、後回しにしないでください
期間も、初回の概算把握なら2週間程度で区切るのが現実的です。精緻な全数調査より、「経営に見せられる概算」を早く持つことに価値があります。
見つけた後に、やってはいけないこと
調査の結果、想定より多くの野良利用が見つかるはずです(ご支援した範囲では、ほぼ例外なくそうでした)。ここでの初手を間違えると、調査自体が逆効果になります。
- 個人の責任追及から入らない: 使っていた人は多くの場合、業務を良くしようとしていた人です。処分から入ると、次から誰も正直に申告しなくなります
- 即時の全面禁止をしない: 需要は消えないので、利用が個人スマホと個人アカウントに移動するだけです。見えていた利用が見えなくなる分、統制としてはむしろ後退します
- 調査結果を放置しない: 「調べたけど何も変わらなかった」は、次回の調査への協力率を確実に下げます
やるべきことは、受け皿を先に用意してから締める、これに尽きます。会社アカウントと利用ルールという行き先を示した上で、個人アカウントでの業務利用を段階的に禁止していく。この順番なら、現場の反発はかなり小さくなります。
数字は、そのまま経営への説明資料になります
最後に、集めた数字の使い道について書きます。
「全社の◯割が既に生成AIを業務で使っています。うち会社が把握していたのは◯%でした」。この2行があるだけで、生成AI統制の予算と体制の話は格段に通しやすくなります。一般論を並べた資料より、自社の数字の方がずっと説得力があるからです。同じ数字で、リスクの話(何が入力されているかわからない利用がこれだけある)と価値の話(現場はこれだけ使いたがっている)の両方を説明できるのもポイントです。
実態調査は統制のスタート地点であると同時に、経営を動かす材料集めでもある、というのが私の実感です。
おわりに
シャドーAIを見つける6つの方法(通信ログ・会社アカウント・端末・ブラウザ・経費・本人申告)を紹介しました。すべてをやる必要はなく、自社の環境で使える2〜3個を組み合わせれば、意思決定に足る実態はつかめます。
見つけた後の受け皿づくり(会社アカウントへの集約、ルールと設定の整備)については、最初の記事と managed settings の記事で書いていますので、あわせて読んでもらえると嬉しいです。
自社の環境だとどの方法が使えるのか、調査の設計から相談したいという方は、生成AI・Claude Codeの社内統制支援のページをご覧ください。利用実態の調査は、ご支援の最初のステップとしてよくお手伝いしている領域です。