ログ監視と権限棚卸しを「後で整備する」と言い続けると、気づいたときには選べる対応が消えている

セキュリティ対策を「後で整備する」と先送りし続けている組織では、問題が起きていないのではなく、問題が記録されていないだけです。退職した担当者のアカウントが数ヶ月後も有効なまま残っている。権限申請はその都度承認しているが、棚卸しは「いつかやる」リストの中で眠り続けている。こういった状態は、攻撃を受けてから初めて可視化されます。そのとき選べる対応は、すでに大幅に絞られています。

この記事では、セキュリティ運用のどの工程をAIで補強できるか、どこは人間が判断責任を持つべきかを、業務の詰まりを分解しながら整理します。ツールを選ぶ前に、まず自社の業務フローのどこに確認漏れと責任の空白があるかを見るための視点を提供します。

1.「異常が出たら対応する」体制は、すでに後手に回っている

セキュリティ運用の現場で最も放置されやすいのは、日常的に積み上がる確認作業です。ログは毎日大量に生成されますが、兼任担当者が一行ずつ目視確認するのは現実的ではありません。権限申請は都度処理しているが、過去に付与したアクセス権が今も適切かどうかを定期的に確認している組織は多くありません。委託先や協力会社のアカウントは、プロジェクト終了後も気づかないまま有効になっているケースがあります。

IPAが公開している「情報セキュリティ10大脅威2026」では、サプライチェーンや委託先を狙った攻撃が2位にランクインしています。攻撃の入口は自社の正規アカウントであることが多く、外部からの不審なアクセスとシステム上では区別されません。悪意ある第三者が退職者の認証情報を使って侵入した場合、それは「正規のログイン」として記録されます。これを人間が手作業で見つけるには、膨大なログを読む必要がありますが、実際には誰も読んでいない、というのが多くの現場の正直な状態です。

誰にしわ寄せが来るか

ログ監視と権限棚卸しが後回しになると、最初にしわ寄せが来るのは兼任のIT担当者です。インシデントが発生すると、通常業務を止めて初動対応に入ることになります。被害範囲の特定、証拠保全、取引先や顧客への説明対応、再発防止策の策定と報告書作成。これらが同時に重なると、担当者は数週間を通常業務ではなくインシデント対応だけに使うことになります。担当者退職時の業務停止、取引先からの信用低下、顧客対応の遅延という三つの損失が同時に発生することになります。

一方で、先送りの判断には「今は問題が起きていない」という根拠があります。しかしこの根拠は、実際には「問題が見えていない」だけの可能性があります。問題は技術力ではなく、「先に整備する」という判断が先送りされ続けた業務構造にあります。放置のコストは、インシデントが起きた日に一括で請求されます。

2.最初にAIを入れるなら、ログ監視か権限棚卸しのどちらかに絞る

セキュリティ領域でのAI活用には、大きく分けて二つの方向があります。一つは「AIによるセキュリティ」、つまりAIを使って攻撃や異常を検知・予防する使い方。もう一つは「AIシステムそのものを守るセキュリティ」、つまり生成AIや自律型AIエージェントを社内で使う際に発生するリスクへの対応です。自社がどちらを先に整備すべきかを見極めることが、導入の出発点になります。生成AIを業務で使い始めている組織では、後者も同時に設計しておく必要があります。

AIに任せてよい範囲は、大量データから繰り返しパターンを見つける補助作業です。具体的には、ログの一次分類と異常スコアリング、過去のインシデントパターンとの照合、権限申請履歴の棚卸し候補抽出、標的型メールの文面パターン検知、マルウェアの自動分類が該当します。人間が毎朝1時間かけてログを目視確認していた工数を、AIによるスコアリングで「要確認上位30件」に絞ることができれば、確認の精度と速度の両方を上げることができます。

人間が責任を持つ範囲

ログの重大度判断をAIだけに任せるのは危険です。これは断言できます。AIは過去のパターンから異常を検知しますが、組織固有の業務文脈や、まったく新しい攻撃手法には対応できません。「この時間帯の外部アクセスが正常か異常か」という判断は、業務の文脈を知っている人間が最終確認する必要があります。インシデント初動の判断、取引先や顧客への通知タイミング、再発防止策の決定は、すべて人間が説明責任を持つ領域です。後から「なぜ対応しなかったのか」と問われたとき、「AIが通常と判断したので」という理由は組織としての説明責任を果たしません。

やめた方がいいAI活用

ログの重大度分類と初動対応をAIだけに自動実行させ、人間の確認ステップを外すのは避けるべきです。AIは誤検知を起こします。重要なアラートをノイズとして処理してしまった場合、それに気づく人間がいなければインシデントは進行し続けます。「AIが問題なしと判断した」という記録が残るだけで、誰も実際には確認していないという状態は、何もしていなかった状態よりもむしろ危険です。理由は二つあります。一つは、後から「誰が確認したのか分からない」という状態になること。もう一つは、ツールが動いているという安心感が、実際の確認作業を省略させるからです。

導入直後に止まりやすいのも同じ理由です。ログ監視ツールを入れたが、誰がアラートをレビューするか決まっていない。権限棚卸しツールを動かしたが、棚卸し結果を承認する担当者が明確でない。こういった「レビュー担当不在」の状態では、ツールが動いていても運用は回りません。ツール選定の前に、誰がどのタイミングで確認し、どう記録するかを決めることが先です。

3.効果が出る組織と止まる組織の分岐は、ツールではなく運用設計にある

セキュリティ運用にAIを導入して効果が出るかどうかは、ツールの性能よりも「誰が何をどの順番で確認するか」が設計されているかどうかで決まります。この点を曖昧にしたまま進めると、現場では「結局Slackで直接IT担当に聞いている」という状態が残ります。ツールの画面を開く前に、口頭確認が先になる。これは使いにくさの問題ではなく、ツールと業務フローが接続されていないことの表れです。

仮定計算を入れてみます。権限申請のレビューに1件あたり15分かかり、月に40件発生しているとします。月10時間が権限確認だけに消える計算です。このうち相当数が「プロジェクト終了後も委託先アカウントが有効だった」「数ヶ月前に退職した担当者の権限が残っていた」といった棚卸し漏れに由来しているなら、AI補助による自動検出と優先度付けで確認対象を絞ることで、レビュー工数を圧縮できます。ただし、この試算は業務設計が整っている前提の話です。申請経路がExcelとメールとシステムに分散している状態では、AIが参照するデータ自体が不完全になります。

失敗パターン：広範囲を一気に変えて、確認責任が消えた

よくある失敗は、ログ監視・権限棚卸し・標的型メール対策・AIエージェントのアクセス管理を一気に導入しようとするケースです。複数の担当者に複数のツールを同時に割り当て、役割分担が曖昧なまま稼働させると、「誰が確認したのか分からない」という状態が生まれます。アラートは飛んでいるが誰も対応していない。承認フローはあるが確認者が変わっていて誰も更新していない。こういった状態では、導入前よりもむしろリスクが見えにくくなります。ツールが動いているという安心感が、実際の確認作業を省略させ、インシデント発生時に初めて「誰も見ていなかった」ことが判明するパターンです。なぜ止まるかといえば、最初から広範囲を変えようとしたために、各ツールのオーナーが誰かを誰も明確にしなかったからです。

効果が出る組織は、最初の2週間で1業務だけを変えています。たとえば「退職者アカウントの自動無効化アラートを設定し、IT担当者が翌営業日中に確認して記録する」という1本の運用だけを定着させる。それだけで、過去に何ヶ月も放置されていたアカウントが短期間で整理されるケースがあります。小さく始めることのメリットは、コストだけではなく「運用が回るかどうか」を先に検証できることにあります。

4.先送りするほど選べる対応が減る。最初の1工程を決める判断基準

セキュリティ対策の先送りは、単に「危険な状態が続く」だけではありません。対応が遅れるほど、インシデント発生後の選択肢が狭まります。被害範囲が拡大した後では、封じ込めより先に説明対応が必要になり、再発防止より先に証拠保全と報告書作成が優先されます。この状態に陥った組織では、本来の改善作業は後回しになり、担当者は疲弊します。確認待ち時間の積み上がり、インシデント後の手戻り工数、顧客信用の低下という三つの損失が同時に発生することも珍しくありません。

最初に着手すべき業務の判断基準は、「記録されていない判断が最も多い工程」から始めることです。権限棚卸しの履歴がない、ログのレビュー記録がない、インシデント初動の対応フローが文書化されていない。この三つのうち一つでも当てはまる場合、そこから手をつけます。全部を一度に整備しようとしないことが、運用を定着させる上での最優先ルールです。

生成AIを社内業務で使い始めている組織には、もう一つの整備が必要になっています。シャドーAI、つまり組織として認可していないAIサービスの利用が広がると、どこにどんな情報が渡ったかを後から追うことは困難になります。ASCII.jpが報告したガートナーの調査では、AIエージェントについて「活用のための議論が先行し、セキュリティの議論が後追いになっている」と答えた企業が59.3%に達しています（2026年調査）。AI利用ガイドラインの策定と、入力してよいデータ・してはいけないデータの区分けは、技術的な対策よりも先に整備すべきルールです。

放置した場合のコストと、小さく始めた場合のコストを比べると、後者の方が圧倒的に低い。しかしこの判断は、インシデントが起きてから下す判断ではありません。今の業務フローの中で、確認されていない権限申請が何件あるか、レビューされていないログが何日分溜まっているかを先に数えることが、判断の起点になります。

弊社Arstructで相談を受ける場合、最初に確認するのは「今の運用で誰が何を確認しているか」という記録の有無です。ツールを選ぶ前に、業務フローのどこに確認漏れや責任の空白があるかを整理します。そのうえで、AIで補完できる工程と人間が判断責任を持つべき境界を明示し、最初の1工程をプロトタイプとして検証する進め方を取ります。セキュリティ運用の改善を考え始めたなら、ツール比較よりも先に、今の業務フローの中で記録されていない確認作業を洗い出すことから始めてください。