お問い合わせ
AI NOTE — 057

シャドーAIを可視化して止める:Google Workspace監査ログとChrome Enterprise Premiumで未承認AIツールに対処する

PUBLISHED2026.05.02
READ8 分
CATEGORYAI

従業員によるChatGPTやClaudeなどの生成AIツールの業務利用が増加傾向にあります。本記事では、Google Workspaceの監査ログとChrome Enterprise Premiumを活用し、未承認AIツールの検出から制御までの具体的なフローを解説します。

この記事を読んだほうが良い人

  • 100名規模でGoogle Workspaceを管理する情シス担当者
  • 社員がポリシーなしでAIツールを業務利用している状況を把握・制御できていない方
  • AIガバナンスの整備を求められているが、何から手をつければよいか分からない方
  • Google Workspaceの標準機能でシャドーAI対策を検討している方

情シスが直面する「シャドーAI」の実態とリスク

シャドーAIとは

シャドーAIとは、企業が承認していないにもかかわらず、従業員が業務に利用するAIツールの総称です。Webブラウザからアクセスする生成AIサービスや、Google Workspace連携アドオンなどが含まれます。

情報漏洩、コンプライアンス違反のリスク

シャドーAIの利用は、企業にとって以下のような深刻なリスクをもたらします。

  • 情報漏洩: 従業員が機密情報や個人情報をAIツールに入力すると、意図せず外部にデータが流出する可能性があります。入力データはAIサービスの学習に利用される場合があり、一度流出した情報の回収は困難です。
  • コンプライアンス違反: 業界規制や社内ポリシーに反するAI利用は、法的・倫理的な問題に発展するリスクがあります。特に個人情報保護法や著作権に関するリスクは高まります。
  • セキュリティリスク: 未知のAIサービスやアドオンには、悪意のあるコードや脆弱性が含まれている可能性があります。これにより、システム全体がサイバー攻撃の標的となる危険性も考えられます。
  • ガバナンスの欠如: AIの利用状況を企業が把握できない状態は、AI活用のメリットを享受できず、リスク管理の観点から非常に危険です。

「検出→分類→制御→通知」の4ステップで対策

シャドーAIに対処するためには、以下の4つのステップで段階的にアプローチすることが有効です。

  • 検出: 社内で利用されているAIツールを把握します。
  • 分類: 検出したAIツールを、利用ポリシーに基づいて分類します(承認済み、要審査、ブロック)。
  • 制御: 未承認のAIツールへのアクセスを制限・ブロックします。
  • 通知: 従業員に対してAI利用ポリシーを周知し、利用状況を通知します。

このフローは一度行えば終わりではなく、新たなAIツールの登場や社内状況の変化に合わせて継続的に見直し、更新することが重要です。

ステップ1: Google Workspace監査ログでAIアクセスを検出・可視化

Google Workspaceの管理者は、管理コンソールの監査ログを利用して、従業員がGoogle Workspaceアカウントを介して行った特定の操作を把握できます。シャドーAI対策においては、特に「OAuth認可」と「アプリインストール」のログに着目します。

検出対象:OAuth認可とアプリインストール

従業員が外部AIサービスにGoogle Workspaceアカウントでログインしたり、AIアドオンをインストールしたりする際、OAuthによる認可プロセスが発生します。この記録はGoogle Workspaceの監査ログに残ります。

  • OAuth認可: 外部サービスがGoogle Workspaceデータ(Gmail, Driveなど)にアクセスする許可をユーザーが与える行為です。生成AIサービスとのGoogleアカウント連携時に記録され、社内のGoogle WorkspaceデータにアクセスするAIサービスを検出できます。
  • アプリインストール: Google Workspace Marketplaceからインストールされるアドオンやアプリも監査ログに記録され、AI機能を謳うサードパーティ製アプリも含まれます。

Google 管理コンソールでのログ抽出と分析

Google 管理コンソールから、これらのアクティビティログを確認できます。

  1. Google 管理コンソールにログインします。
  2. 「レポート」>「監査ログ」>「管理者監査アクティビティ」 に移動します。
  3. フィルタ機能を利用して、以下のイベントを検索します。
    • イベント名: OAuth トークンの付与 (OAuth Token Grant)
    • イベント名: アプリをインストール (App Installed)
    • 必要に応じて、日付範囲やユーザーを絞り込みます。
  4. 検索結果から、OAuthトークンの対象サービス名やインストールされたアプリ名を確認し、不審なAI関連サービスがないか確認します。

監査ログは、従業員がGoogle Workspaceアカウントを使って連携したAIサービスを特定する有効な情報源です。

ステップ2: 未承認AIツールを分類する

検出したAIツールは、社内ポリシーに基づき適切に分類し、対応方針を決定することが重要です。

承認済み、要審査、ブロックの方針

  • 承認済み: 会社のセキュリティ基準を満たし、情報漏洩リスクが低いAIツール。利用ガイドラインを策定し推奨します。
  • 要審査: 利用価値は高いが、セキュリティ・コンプライアンス上の懸念があるAIツール。情シスや法務部門がリスク評価を行い、条件付き利用を検討します。
  • ブロック: セキュリティリスクが高い、または社内ポリシーに著しく違反するAIツール。原則利用を禁止し、アクセスを制限します。

この分類プロセスを円滑に進めるため、検出されたAIツールごとに、以下の情報を収集・整理するフローを策定します。

  1. AIツール名: サービス名、URL
  2. 機能概要: どのような用途で利用されているか
  3. 利用ユーザー: 誰が、どの部署で利用しているか
  4. リスク評価: 情報漏洩、コンプライアンス、セキュリティの観点からの初期評価
  5. 対応方針: 承認、要審査、ブロック

ステップ3: Chrome Enterprise Premiumで未承認AIツールを制御

未承認AIツール、特にWebサービスに対しては、Chrome Enterprise PremiumのURLブロックポリシーを活用してアクセスを制限します。

Chrome Enterprise Premiumとは

Chrome Enterprise Premiumは、Googleが提供する企業向けブラウザ管理ソリューションです。Chromeブラウザのセキュリティ、管理、サポート機能を強化し、組織内のChromeブラウザを一元管理します。特定のURLへのアクセスをブロックするポリシー設定も含まれます。

URLブロックポリシーの設定手順

Chrome Enterprise Premiumのポリシー管理機能を利用して、未承認AIツールのURLをブロックします。

  1. Google 管理コンソールにログインします。
  2. 「デバイス」>「Chrome」>「設定」 に移動します。
  3. 左側の組織部門を選択し、ポリシーを適用するユーザーグループを指定します。
  4. ユーザーとブラウザの設定 タブを開きます。
  5. 検索バーで URL ブロック リスト と検索し、「URL ブロック リスト」 設定を見つけます。
  6. この設定で、ブロックしたいAIサービスのURLを追加します。 chat.openai.com claude.ai gemini.google.com ワイルドカード * を使用して、サブドメイン全体をブロックすることも可能です(例: *.openai.com)。
  7. 「URL 許可リスト」 設定も利用できます。ブロックリスト内のURLの一部を許可したい場合に設定します。 例: openai.com/blog は許可したいが、chat.openai.com はブロックしたい場合。
  8. 設定を保存します。ポリシーが適用されるまでには時間がかかる場合があります。

この設定により、管理対象Chromeブラウザを使用する従業員は、指定された未承認AIサービスにアクセスできなくなります。

ステップ4: ポリシーと利用状況を通知・周知

技術的な制御に加え、従業員への周知と教育はシャドーAI対策に不可欠です。

  1. AI利用ポリシーの策定と周知:
    • 社内で許可・禁止するAIツールを明確にし、機密情報・著作権・個人情報保護に関するガイドラインを定めます。これらを分かりやすく文書化し、社内ポータルや研修を通じて周知徹底します。
  2. 定期的な利用状況の報告:
    • ステップ1で検出したAIツールの利用状況を、定期的に経営層や関係部署に報告します。
    • 新たなシャドーAIが検出された場合は、そのリスクと対応方針を速やかに共有します。
  3. 従業員への通知と教育:
    • AI利用ポリシーの違反があった場合は、個別に状況を説明し、是正を促します。
    • AIリテラシー向上のための研修を継続的に実施し、従業員が安全かつ効果的にAIを利用できるよう支援します。

対策を進める上での注意点と限界

シャドーAI対策は万能ではありません。以下の点に留意して対策を進める必要があります。

Chrome Enterprise Premiumは別途ライセンスが必要

Chrome Enterprise PremiumはGoogle Workspaceの各エディションには付属せず、別途ライセンス契約が必要です。URLブロックポリシーや高度なブラウザ管理機能の利用には、このライセンス導入が必須です。

Google Workspace監査ログの保持期間

Google Workspaceの監査ログは、エディションによって保持期間が異なります(例: 管理者監査アクティビティログは通常6ヶ月間ですが、Enterprise Plusなどのエディションでは1年間、Google Drive監査ログは1年間。Google Vaultで長期保持可能)。長期間の利用状況調査には、ログの保持期間を考慮する必要があります。

完全なブロックは困難な場合も

Chrome Enterprise Premiumは管理対象Chromeブラウザに有効ですが、個人のデバイスや管理対象外ブラウザには適用されません。VPNやプロキシによる回避の可能性もゼロではなく、技術的対策と並行して従業員への教育と倫理観の醸成が不可欠です。

まとめ

シャドーAIは、現代企業が直面する避けられない課題です。情報漏洩やコンプライアンス違反のリスクを抑えつつ、AIの恩恵を安全に享受するには、情シス主導でのAIガバナンス構築が不可欠です。

本記事で解説した「検出(Google Workspace監査ログ)→分類→制御(Chrome Enterprise Premium)→通知」の4ステップは、情シス担当者がシャドーAI対策を進める実践的なアプローチを提供します。まずは自社のGoogle Workspace環境で、どのAIツールが使われているかを可視化するところから始めてみましょう。この取り組みが、企業のAI活用をより安全で生産的なものに変える第一歩となるはずです。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。