AI総合研究所

SHARE

X(twiiter)にポストFacebookに投稿はてなブックマークに登録URLをコピー

野良AIとは?シャドーAIとの違いや棚卸し手順、統制フレームワークを解説

この記事のポイント

  • 野良AIは「無許可の生成AI利用」と「野良AIエージェント」の2軸で捉え、2026年は後者への対応が新たな論点
  • IBM 2025では、シャドーAI利用が高水準の組織の平均侵害コストが低水準/なしの組織より$670K高いと報告されている
  • Microsoft Agent 365は2026年5月GAで$15/user、Shadow AIページ(プレビュー)でIntune管理下のOpenClawを中心に検知・ブロック
  • AI事業者ガイドライン第1.2版の共通指針から、野良AI対策では記録・アクセス管理・リスク評価が実務論点として浮上する
  • 一律禁止ではなく「棚卸し→分類→統制基盤→承認プロセスの高速化」の順序が野良化を防ぐ最短ルート
坂本 将磨

監修者プロフィール

坂本 将磨

XでフォローフォローするMicrosoftMVP

Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。

野良AI(のらエーアイ)とは、IT部門が把握・承認していないAIツールやAIエージェントを、従業員が個人判断で業務利用している状態を指します。海外由来の「シャドーAI」の日本語呼称として、日本語圏の情シス・SIer記事で使われ始めた表現です。

2026年の焦点は、無許可の生成AI利用に加えて、社員が自作したCopilot Studio Agent・野良MCPサーバ・OpenClawなど「野良AIエージェント」への対応が新たな論点として浮上したことです。

本記事では、野良AIの3層モデル・IBM 2025が示す経済インパクト・AI事業者ガイドライン第1.2版が示す実務論点・野良AIの発見と棚卸し手順・Microsoft Agent 365など統制ソリューション3択・AI総研のケース別推奨までを、2026年7月時点の最新情報で体系的に解説します。

目次

野良AIとは?

「野良AI」と「シャドーAI」の使い分け

野良AIが広がる3つの層——利用型・自動化型・エージェント型

①利用型——ChatGPT無料版・私物端末経由の無許可利用

②自動化型——SaaS間連携・スクリプトに埋め込まれた野良AI

③エージェント型——2026年の重点論点となった野良AIエージェント

野良AIが引き起こす5つのリスクとIBM 2025が示す経済インパクト

5つのリスクとエージェント時代の新しいリスク

IBM Cost of a Data Breach 2025——シャドーAI利用が高水準の組織は$670K多い侵害コストを負担

情報漏洩リスク33.5%——日本国内の統制体制の遅れ

AI事業者ガイドライン第1.2版と野良AI統制の実務論点

第1.2版の位置づけ——2026年3月31日公表の最新版

野良AI対策で押さえたい3つの実務論点

野良AIの発見と棚卸し——技術検出+アンケート+分類

発見の5手段——単独では不十分、組み合わせが前提

棚卸し結果を3分類する判断軸

棚卸しは3か月に1回の定例化を

野良AI統制ソリューションの3択——Agent 365・独自基盤・SaaS管理

Microsoft Agent 365——2026年5月GA、エージェント統制の新基盤

独自の統制基盤——自作エージェントを合流させる受け皿

SaaS管理ツール——第1層(利用型)のSaaS棚卸しに特化

「承認プロセスの高速化」が野良化を防ぐ最速ルート

なぜ「承認プロセスの高速化」が本丸なのか

組織状況別のケース別推奨

詰まりやすい3つの落とし穴

AI Agent Hubで承認済みエージェント環境を整える

まとめ

野良AIとは?

野良AIとは?シャドーAIの日本語呼称として使われ始めた管理外AI

野良AIとは、IT部門やセキュリティ部門が把握・承認していないAIツールやAIエージェントを、従業員が個人の判断で業務利用している状態を指します。

海外由来の「シャドーAI(Shadow AI)」を日本のB2B現場で言い換えた呼び名で、情シス・SIer・コンサル各社の記事で「野良AI」「野良エージェント」の表現が使われ始めています。

2026年現在、野良AIは単に「社員がChatGPTを無許可で使っている」状態にとどまらず、社員が自作した業務自動化スクリプト・Copilot Studioエージェント・野良MCPサーバまで含む広い概念として扱われるようになってきました。

Microsoft・株式会社ラック・株式会社ジョーシス・電通総研AITCなどが「野良AI」「野良エージェント」を扱う記事を公開しており、経営層・情シスにとって新しい論点として浮上しています。

「野良AI」と「シャドーAI」の使い分け

両者はほぼ同義で使われますが、実務では微妙なニュアンスの違いがあります。以下の表で整理しました。

野良AIとシャドーAIの使い分け

呼称 発祥 想起されるイメージ
シャドーAI(Shadow AI) 英語圏のセキュリティ用語。IBM・CSA等の海外調査で使用 「陰で使われるAI」——セキュリティ・コンプライアンスの視点が強い
野良AI(のらエーアイ) 日本のB2B現場・情シス記事で使われ始めた表現 「管理者が飼っていないAI」——現場・実務の視点が強い


この違いから分かるのは、日本の情シスや現場担当者が自社内で議論する際に、抽象度の高い「シャドーAI」よりも、実感を伴う「野良AI」のほうが伝わりやすいという点です。

本記事でも、以下では読者との距離が近い「野良AI」を主軸に使い、必要な場面(海外調査データの引用など)で「シャドーAI」を併記します。

AI Agent Hub1


野良AIが広がる3つの層——利用型・自動化型・エージェント型

野良AIが広がる3つの層

野良AIは対策設計上、3つの層に分けて捉えると論点が整理しやすくなります。2026年に最も対応が急がれるのは**3層目の「野良AIエージェント」**です。

以下の表で、3層の特徴と代表例を整理しました。

定義 代表例 主な発生源
①利用型 社員が無許可でSaaS型生成AIを業務利用 ChatGPT無料版・Claude.ai・Gemini・Perplexityへの機密投入 個人アカウント・私物端末
②自動化型 社員が自作したAI連携スクリプト・自動化 Zapier/n8n上の生成AI連携・Python + OpenAI API・GAS + Gemini 内製スクリプト・SaaS内蔵自動化
③エージェント型 社員が自作した対話型・自律型AIエージェント 野良Copilot Studio Agent・野良Dify・野良MCPサーバ・OpenClaw LLMプラットフォーム上のカスタム・ローカル実行エージェント


2026年に情シスが直面する新しい難しさは、②と③の急増です。従来のセキュリティ運用は①(無許可SaaS利用)を前提に組まれてきましたが、②③は「業務データを外部に送信しない」ケースでもリスクが残るため、通信監視やアクセス制御だけでは補足できません。

以下のH3で、各層の具体像と2026年の論点を掘り下げます。

①利用型——ChatGPT無料版・私物端末経由の無許可利用

利用型野良AIの実態

第1層は最も古典的な野良AIで、社員が個人アカウントの生成AIサービスに業務データを投入するパターンです。

Microsoft社のWork Trend Index 2024(31か国31,000人の知識労働者調査)では、AIを業務利用している人の**78%が会社の許可なく自前のAIを持ち込んでいる(BYOAI)**と報告されました。

APAC地域では79%とグローバル平均を上回っており、日本を含むアジア圏の情シスは「明日、自社にも起きてもおかしくない」前提で対策を組む必要があります。


典型的な発生パターンは、次のとおりです。

  • 顧客リストや議事録をChatGPT無料版に貼り付けて要約させる
  • 経営会議の資料をGeminiで翻訳させる
  • 開発中のソースコードをClaude.aiにデバッグさせる


Samsung電子が2023年3月に3週間で情報漏洩を経験した事例が象徴的です。

「使えるようになった瞬間から流出は始まる」という現実を示す代表事例として、いまも国内外の情シス研修で引用されています。

②自動化型——SaaS間連携・スクリプトに埋め込まれた野良AI

自動化型野良AIの構造

第2層は、社員が業務効率化のために組んだ自動化フローに、生成AIが埋め込まれているパターンです。

代表例が、Zapier・n8n・Power Automate・Google Apps Scriptに生成AI呼び出しを組み込んだフロー、あるいはPythonで書かれたOpenAI/Anthropic API呼び出しスクリプトです。


この層の厄介さは、外形的には「SaaS間の自動連携」に見えるため、CASBやDLPで検知しにくい点にあります。社員本人が「これはAIを使っている」と認識していないケースすらあります。

Cloud Security Allianceの2026年4月調査では、**未知のAIエージェントが見つかる環境として、内製スクリプト・自動化環境が51%、SaaS内蔵の自動化が40%**と報告されました。

第2層は、第3層のエージェントが潜みやすい環境として先に把握しておく価値があります。

③エージェント型——2026年の重点論点となった野良AIエージェント

野良AIエージェントの4形態

第3層が、本記事で最も強調したい野良AIエージェントです。2026年に対応論点として一気に浮上しました。

代表例は次のとおりです。

  • 野良Copilot Studioエージェント
    社員がMicrosoft Copilot Studioで自作したエージェントが、承認プロセスなしで社内SharePoint・Teams・メールにアクセスしている状態

  • 野良MCPサーバ
    社員が個人開発したMCPサーバがローカル・社内サーバで稼働し、外部LLMから社内リソースへの接続経路になっている状態。Model Context Protocol(MCP)の急速な普及に伴い、株式会社アクトが2026年2月に警鐘を鳴らした論点

  • 野良Dify・自作LangChain Agent
    社員がDifyやLangChain・LangGraphで組んだ自律型エージェントが、業務データを扱いながら管理外で動いている状態

  • OpenClaw等のローカル自律エージェント
    Windows端末上でローカル動作する自律型AIエージェント。MicrosoftはAgent 365のShadow AIページ(プレビュー)で、Intune管理下のWindows端末に限り、現時点ではOpenClawの検知・ブロックに対応(対応対象はプレビュー中で変動する可能性あり)


第3層が第1・第2層と根本的に違うのは、エージェント自体が「行動主体」として社内システムに書き込み・操作を行う点です。データを外部に流さなくても、社内システムに対して意図せぬ書き換えを引き起こす可能性があります。

CSA調査ではAIエージェント関連インシデントを経験した企業が過去12か月で65%、そのうち61%がデータ露出を影響として報告しています。

従来型の野良AI(第1層)だけを想定した対策では、第3層のリスクは捕捉しきれません。


野良AIが引き起こす5つのリスクとIBM 2025が示す経済インパクト

野良AIの5つのリスクとIBM 2025の経済インパクト

野良AIが放置されると、企業は情報漏洩を筆頭に複数のリスクを同時に抱えます。本セクションでは5つのリスク構造と、経営層への説明で使える定量データを整理します。

5つのリスクとエージェント時代の新しいリスク

野良AIが引き起こすリスクは、以下の5つに分類できます。以下の表で、それぞれの発生メカニズムを整理しました。

リスク 発生メカニズム 影響範囲
機密・個人情報の流出 未承認AIへのプロンプト送信時に機密データが外部モデル学習・外部保管に 顧客信頼毀損・損害賠償
監査証跡の欠如 誰が・いつ・どのデータをAIに投入したか記録が残らない インシデント発生時の被害範囲特定不能
認証情報・APIキーの散在 自作スクリプト・野良MCPサーバに埋め込まれたAPIキーが漏洩経路に シークレット漏洩・不正課金・なりすまし
エージェントの権限濫用 野良エージェントが本来の意図を超えた書き込み・削除を実行 社内システムの意図せぬ変更・データ破損
出力品質・意思決定の劣化 ハルシネーション出力を検証せず業務・対外発信に転用 誤情報の社内外拡散・意思決定の質低下


2026年の新しさは、上表の**「認証情報・APIキーの散在」と「エージェントの権限濫用」が急速に主要リスクに浮上した点です。従来の野良AIリスクは1・5番目(データ流出・出力品質)が中心でしたが、エージェント時代は「野良エージェントが社内システムに対して能動的に動く」**リスクが加わりました。

株式会社ラックは2026年5月14日のアラートで、AI悪用により攻撃・防御の速度と規模が急速に変化していると警鐘を鳴らしています。

ネットワーク監視や通信のブロックだけでは、社内システム内で完結する野良エージェントの動作は追跡できません。

IBM Cost of a Data Breach 2025——シャドーAI利用が高水準の組織は$670K多い侵害コストを負担

IBM 2025のシャドーAIコスト分析

経営層への対策投資の優先順位を上げる根拠として、IBMの2025年データ侵害コストレポートは強い定量根拠になります。

IBM Cost of a Data Breach Report 2025から、野良AI(シャドーAI)関連の主要数値を整理します。

指標 数値 意味
全侵害に対するシャドーAI関与の割合 20% 5件に1件はシャドーAIが関与
シャドーAIを含む侵害の平均コスト $4.63M シャドーAI関連侵害の平均侵害コスト
シャドーAI利用度別の侵害コスト差 $670K 高水準の組織($4.74M)は低水準/なしの組織($4.07M)より$670K多い
PII(個人識別情報)漏洩の割合 65% シャドーAI関与の侵害では高比率でPII漏洩
知的財産(IP)漏洩の割合 40% 設計図・ソースコード・研究データ等が漏洩
AI関連侵害でアクセス制御未整備の組織 97% 侵害を受けた組織のほぼ全数
野良AI検出ポリシー保有組織 37% 63%は野良AI対策ポリシー未整備


この数字の中で経営層の意思決定に最も効くのは、「シャドーAI利用度が高い組織は$670K多い侵害コストを負担している」という利用度別の差分です。ROI試算に使える具体数値であり、日本円換算で約1億円のインパクトを持ちます。

「野良AI対策に投じた投資額 vs $670Kの回避効果」という単純なフレームで、経営会議での対策予算議論を前に進められます。

情報漏洩リスク33.5%——日本国内の統制体制の遅れ

日本国内の統制体制の遅れ

海外調査だけでなく、日本国内の統制体制の実態も併記すると経営層への説得力が増します。

帝国データバンクが2026年3月に公表した生成AI活用実態調査では、生成AIを活用している国内企業が**34.5%まで拡大した一方、活用における懸念・課題として情報漏洩リスク33.5%・ルール整備25.5%**が上位に挙げられています。

加えて、MicrosoftのWork Trend Index 2024ではAPAC地域の79%がBYOAI(Bring Your Own AI=会社未承認の自前AIを業務利用)と報告されており、アジア圏の中でも日本は「AI利用は広がっているが、ルール整備が追いついていない」状態です。

つまり日本は、AI利用が急速に広がる裏で、統制体制の整備が追いつかない——野良AIが広がりやすい構造的土壌ができあがっているといえます。


AI事業者ガイドライン第1.2版と野良AI統制の実務論点

AI事業者ガイドライン1.2版と野良AI対策

野良AI対策は、社内のIT判断だけで完結する話ではありません。国内では、経済産業省と総務省が策定するソフトローが実務基準として参照されるようになっています。

第1.2版の位置づけ——2026年3月31日公表の最新版

AI事業者ガイドラインの版遷移

経済産業省・総務省が共同で公表するAI事業者ガイドラインの最新版は、2026年3月31日公表の第1.2版です。2024年4月の初版(第1.0版)、2024年11月22日の第1.01版、2025年3月28日の第1.1版に続く改定になります。

第1.2版は、生成AIの社会実装が一段と進んだ2026年時点の実情を踏まえ、実務適用性の向上と、近年論点化している民事責任の解釈整理を反映した版と位置づけられます。


法的拘束力こそ持ちませんが、国内では以下の場面で参照される実務基準として機能しています。

  • 企業内部のAIガバナンス審査・稟議
  • 自治体・公共機関の調達基準
  • 取引先からのベンダー選定要件
  • 民事訴訟におけるAI関連過失の判断材料

野良AI対策で押さえたい3つの実務論点

第1.2版の共通指針を野良AI対策の文脈で整理すると、次の3つが実務論点として浮上します。以下はガイドラインが列挙した「野良AI対策の直接要件」ではなく、記事側で読み替えた整理です。

  • ①AI利用の記録・トレーサビリティ確保
    どのAIサービス・エージェントが・誰によって・どのデータで利用されたかを記録し、監査対応可能な形で保管する。野良AI状態では、この記録自体が残らない

  • ②アクセス制御とライフサイクル管理
    AIツール・エージェントに対するアクセス権限を役職・業務範囲に応じて設定し、退職・異動時に確実に解除する。個人アカウント経由の野良AI利用は、ここも把握しづらい

  • ③リスク評価と継続的モニタリング
    AI利用が業務・法令・倫理面で持つリスクを事前評価し、運用開始後も定期的に監査する。棚卸しなしの野良AIは、評価対象として捕捉できない


この3論点から見ると、野良AIを放置している状態は、AI事業者ガイドライン1.2版が示す共通指針に対応しづらい状態と言えます。取引先監査や公共機関の調達で「AIガバナンス体制」を問われた際に、説明材料が薄くなります。

【関連記事】
シャドーAIとは?企業リスク・規制・対策の最新動向を解説

AI研修


野良AIの発見と棚卸し——技術検出+アンケート+分類

野良AIの発見と棚卸しのフロー

野良AI対策の最初の一手は、必ず「発見と棚卸し」です。何がどこで動いているか分からない状態では、後段の統制ソリューション導入も、方針策定も空回りします。

本セクションでは、AI総研が支援現場で使っている発見手法の組み合わせと、棚卸し結果を3分類する判断軸を整理します。

発見の5手段——単独では不十分、組み合わせが前提

野良AI発見の5手段

野良AIの発見には、以下の5手段を組み合わせるのが実務的です。

  • ①ネットワーク層の検出(CASB)
    Microsoft Defender for Cloud Apps等のCASBで、社内から外部AIサービス(ChatGPT・Claude・Gemini・Perplexity等)へのアクセスを可視化する。第1層(利用型)の検出に強い

  • ②エンドポイント層の検出(DLP)
    Microsoft Purview Endpoint DLP等で、機密ラベル付き文書のAIサイトへのコピペ・アップロードを検知する。プロンプト経由でのデータ流出リスクの抑止に効く

  • ③データ層の検出(DSPM)
    Microsoft Purview Data Security Posture Managementで、AIとやりとりされたデータの動きを可視化する。第2・第3層(自動化・エージェント)が触れているデータの識別に有効

  • ④ローカルエージェント検出(Agent 365 Shadow AIページ)
    Microsoft 365管理センターのShadow AIページ(プレビュー)+Intune管理下のWindows端末に限り、現時点ではOpenClawの検知・ブロックに対応する(対応対象はプレビュー中で変動可能)

  • ⑤人による調査(アンケート・ヒアリング)
    主要部署に対し、実名なしのアンケートで「業務で使っているAI」「自作した自動化・エージェント」を回答してもらう。技術的検出だけでは把握できない、Copilot Studio自作エージェント・野良MCPサーバなどが浮かび上がる


この5手段のうち、第3層(野良AIエージェント)の発見には⑤のアンケートが不可欠です。

④のShadow AIページはWindows+Intune環境に限られ、非Windows端末や自作MCPサーバは補足できません。「善意で組んだ業務改善ツール」を正直に申告してもらう窓口を用意することが、実務的な第一歩になります。

棚卸し結果を3分類する判断軸

棚卸し結果の3分類判断軸

発見された野良AIは、以下の3分類に振り分けます。単純に「禁止」で片付けず、業務価値も評価するのが実務のコツです。

分類 判断軸 対応
①許容(承認へ格上げ) 業務価値が高く、データ・権限リスクが低い 承認プロセスに乗せて「公式AI」として運用
②再設計(統制基盤へ移行) 業務価値が高いが、データ・権限リスクが高い 統制基盤(Agent 365・AI Agent Hub等)上で作り直し
③禁止(廃止) 業務価値が低い、または代替の公式AIで置換可能 廃止し、代替の公式AIに誘導


この3分類が肝で、多くの企業が失敗するのは**「発見したものを全て③禁止に押し込む」パターンです。社員が業務価値を認識しているツールを問答無用で禁止すると、地下に潜って再発します。①②③の比率は、AI総研の支援現場では概ね①20%・②50%・③30%**の傾向です。

棚卸しは3か月に1回の定例化を

野良AIは、一度棚卸ししたら終わりではありません。生成AIサービスは月単位で新製品・新機能が登場し、社員の業務改善アイデアも継続的に生まれます。

AI総研の支援現場では、3か月に1回の棚卸しを定例化するアプローチが定着しています。棚卸し・分類・統制方針見直しをセットで四半期ごとに回すことで、野良AIの発生量を「新規発見件数がゼロに近づく」水準まで抑えられます。


野良AI統制ソリューションの3択——Agent 365・独自基盤・SaaS管理

野良AI統制ソリューション3択の比較

棚卸しで浮かんだ野良AIを、実際に統制する基盤の選択肢は大きく3つあります。それぞれ得意領域が異なり、企業規模・既存ライセンス・統制対象の層によって使い分けが分かれます。

以下の表で、3ソリューションの特徴を整理しました。

ソリューション 主な統制対象 前提ライセンス 参考料金
Microsoft Agent 365 Microsoft/エコシステムパートナーのエージェント+Windows/Intune環境の野良ローカルAI Microsoft E5等が最適 $15/user/月(standalone)
独自の統制基盤(AI Agent Hub等) 自作エージェント・非Microsoft系プラットフォームの合流受け皿 ベンダー依存 個別見積
SaaS管理ツール(Josys等) 利用型(SaaS棚卸し・SSO統制) 契約ユーザー数依存 数百〜数千円/user/月


この3ソリューションは競合というより、カバー範囲が異なる補完関係です。特に大企業では、Agent 365でMicrosoft系エージェントとWindows端末側の統制骨格を作り、AI Agent Hubで自社独自エージェントの合流受け皿を用意し、SaaS管理で第1層のSaaS棚卸しを回す、という3層重ね構成が現実的な着地点になります。

以下のH3で、各ソリューションの位置づけを掘り下げます。

Microsoft Agent 365——2026年5月GA、エージェント統制の新基盤

Microsoft Agent 365の機能構成

Microsoft Agent 365は、2026年5月1日にGAされたエージェント統制のコントロールプレーンです。

Microsoftが「Observe(監視)・Govern(管理)・Secure(セキュリティ保護)」の3本柱として位置づけています。

主な機能は以下の通りです。

  • Agent Registry
    組織内のAIエージェント(Microsoft Platformエージェント・エコシステムパートナーエージェント・自己登録エージェント)を一元的なレジストリで管理。ただし外部環境で動作する自作エージェントは、登録・管理に別途手順が必要

  • Agent Map
    エージェント同士の依存関係・連携経路を可視化する。Agent Registryに登録されたエージェントが対象

  • Shadow AIページ(プレビュー)
    Microsoft 365管理センター内のShadow AIページで、Intune管理下のWindows端末に限り、現時点ではOpenClawの検知・ブロックに対応する。Shadow AIページはプレビューで、対応対象は変動する可能性がある

  • Microsoft Purview・Entra ID・Defenderとの連携
    既存のセキュリティスタックと統合し、Agent Registryに登録されたエージェントに対して社員と同等のID・アクセス制御・脅威検知を適用


料金はstandalone $15/user/月で、Microsoft 365 E7バンドル($99/user/月)にも含まれます。スタンドアロン利用の前提ライセンスは顧客区分ごとに異なり、Microsoft公式FAQによれば、Enterprise向けは Microsoft 365 E5 または Defender Suite + Purview Suite の両方、Frontline Worker向けは Microsoft 365 F5 + Defender/Purview Suite が正式な前提です。

SMB向けは Business Premium が正式な前提で、Agent 365の機能を有効化するには Defender Suite for SMB と Purview Suite for SMB も追加で必要(公式FAQでは formal prerequisites ではないと明記)です。

Agent 365が導入しやすいのは、Windows/Microsoft 365環境が主体で、Intune管理端末が浸透している大企業です。

既にE5を契約している組織なら、追加$15/userで「Microsoft系エージェントの棚卸し・可視化+Windows/Intune環境のOpenClaw中心のローカルAI検知」を導入でき、投資対効果を検討しやすい選択肢になります。

ただし非Microsoft系プラットフォームで動作する自作エージェントや、Intune管理外の端末は、独自基盤やアンケートベースの棚卸しと組み合わせる必要があります。

独自の統制基盤——自作エージェントを合流させる受け皿

独自統制基盤が向く3タイプの組織

Agent 365はMicrosoft 365 / Entra / Purview / Defender中心の環境で導入しやすい統制基盤ですが、非Microsoft環境の自作エージェント(Dify・LangChain・自社製Python)が主体の場合は、独自の統制基盤も並行検討する価値があります。

独自基盤の代表例が、**AI総合研究所が提供するAI Agent Hub**です。Teams・Slack・Microsoft Copilot Studio・自作エージェント等を一元管理し、エージェント単位の権限・利用ログ・データアクセス・出力監査を提供します。


独自基盤が向くのは、次のような組織です。

  • 社員が既に業務改善用のエージェントを多数自作しており、「野良から公式へ格上げする受け皿」がまず必要
  • Microsoft以外のプラットフォーム(Dify・LangChain・自社製Python)が主体で、Agent 365の登録・管理範囲より広くカバーしたい
  • Agent 365の前提ライセンス・追加Suite条件(Enterprise向け E5 or Defender+Purview Suite/SMB向け Business Premium + 各Suite等)を満たさない組織


Agent 365と独自基盤は排他ではなく、Agent 365でMicrosoft/エコシステムパートナーのエージェントを統制しつつ、独自基盤で非Microsoft系プラットフォームの自作エージェントをカバーする併用構成も現実的な選択肢です。

導入判断では、Agent 365の登録・管理範囲と独自基盤の対応範囲を並べて比較する形になります。

SaaS管理ツール——第1層(利用型)のSaaS棚卸しに特化

SaaS管理ツールが向く3つのケース

第3の選択肢が、Josys・BetterCloud・Zluri等のSaaS管理ツールです。野良AIそのものを直接統制するわけではなく、社内で利用されているSaaS全体(含む生成AIサービス)を棚卸し・SSO統制するアプローチになります。

SaaS管理ツールが向くのは、次のようなケースです。

  • 第1層(利用型)の野良AI対策を優先し、まずChatGPT無料版・Perplexity・Claude.aiの無許可利用を止めたい
  • そもそも社内のSaaS棚卸しができておらず、生成AI以外のシャドーITも含めて整理したい
  • Agent 365やAI Agent Hubのようなエージェント統制基盤は、まだ次のフェーズと位置づけている


SaaS管理ツールは、第2・第3層(自動化型・エージェント型)の統制には向きません。エージェント時代の野良AI対策としては**「入口を整える基礎工事」の位置づけ**として捉え、Agent 365・独自基盤と組み合わせるのが実務的です。


「承認プロセスの高速化」が野良化を防ぐ最速ルート

AI総研の推奨アクションの全体像

野良AI対策の最後に、AI総研が企業支援の現場で実際に効いた運用パターンを、組織状況別に整理します。

多くの記事が「禁止すべきか、自由に使わせるべきか」という二項対立で議論しますが、AI総研の見立てでは、両者はどちらも野良AIを増やす選択肢です。禁止すれば地下に潜り、放任すれば統制不能になります。効くのは第3の道——「承認プロセスを社員が待てる速度まで高速化する」ことです

なぜ「承認プロセスの高速化」が本丸なのか

承認プロセスの3層設計

野良AIが発生する根本原因は、社員が「承認を待つより自分で使ったほうが速い」と判断することにあります。IT部門が承認に2週間かかる状態では、業務改善アイデアを持った社員は無許可利用に流れます。

Samsungが2023年3月に3週間で漏洩を経験した事例が象徴的で、承認プロセスの遅さが野良AIを生む構造は今も変わっていません。


承認プロセスの高速化は、以下の3レベルで設計します。

  • 即時承認レイヤー(数分〜数時間)
    公式AI基盤(Microsoft 365 Copilot・ChatGPT Enterprise等)へのアクセス権付与は、SSO連携済みなら即時。「使いたい人にはすぐ渡す」原則

  • 軽量申請レイヤー(1〜3営業日)
    自作エージェント・自作RAG構築の申請は、目的・データ種別・想定利用範囲を書いた軽量フォームで受け付け、情シスがリスク判定して承認基盤(Agent 365等)にオンボードする

  • 本格審査レイヤー(1〜4週間)
    機密度が高いデータを扱うエージェント・社外接続を伴うMCPサーバは、法務・情シス・事業部門の3者レビューを経る。ただしこのレイヤーに乗るケースは全体の10%程度に絞る


3層の設計思想は、「9割の申請は数日で承認、機密度の高い1割だけを丁寧に審査」というトリアージです。全申請に本格審査をかける組織ほど、野良化の温床になります。

組織状況別のケース別推奨

組織状況別の推奨アクション

以下の表で、組織状況別の推奨アクションを整理しました。

組織状況 いますぐやること 想定期間
中堅企業(Microsoft 365 E3以下) ①アンケートで野良AI棚卸し ②SaaS管理ツールで第1層統制 ③E5アップグレード検討 3〜6か月
大企業(Microsoft 365 E5導入済み) ①Agent 365 GA導入 ②Purview DSPMで第2・第3層可視化 ③承認プロセスの3層設計 3〜6か月
Microsoft非依存の組織 ①独自統制基盤(AI Agent Hub等)を選定 ②自作エージェントの合流受け皿を先に整備 3〜9か月
規制業界(金融・医療・公共) ①AI事業者ガイドライン1.2版との整合性チェック ②監査証跡・アクセス制御を最優先 6〜12か月
生成AI活用がまだ限定的な組織 ①公式AI(Copilot/ChatGPT Enterprise)を先に提供 ②野良化を待たずに承認済み環境を整備 3〜6か月


この5パターンから分かるのは、組織のAI活用フェーズと既存ライセンス構成によって、優先すべき手順が大きく変わるという点です。

「野良AI対策=Agent 365導入」の一択ではなく、既にE5を持っているか、自作エージェントが多いか、規制業界かで最適解が変わります。

詰まりやすい3つの落とし穴

野良AI対策の3つの落とし穴

野良AI対策を進める上で、実際に詰まりやすい論点を3つ整理します。

  • ブロック件数を成果指標にしてしまう
    「先月10,000件の生成AIアクセスをブロックした」は成果ではなく、承認プロセスが機能していない証拠。本当に見るべきは、承認申請件数の増加・公式AI利用件数の増加・自作エージェントの承認基盤合流率

  • 統制基盤を導入して満足してしまう
    Agent 365やAI Agent Hubを導入しただけでは野良AIは減らない。棚卸しで浮かんだ第2・第3層エージェントを実際に統制基盤上で作り直すマイグレーションまで完了させて初めて効果が出る

  • AI事業者ガイドラインを「参考資料」で終わらせる
    1.2版が示す3論点(記録・アクセス制御・リスク評価)を、社内のガバナンス文書に落とし込まないと形骸化する。四半期ごとの棚卸しレポートを、ガイドラインの共通指針へのマッピング形式で作成するのが実務的


この3点は、AI総研の支援現場でほぼ毎回議論になる論点です。統制基盤の選定よりも、運用サイクルの設計と成果指標の選び方のほうが、野良AI対策の成否を分けます。

メルマガ登録


AI Agent Hubで承認済みエージェント環境を整える

野良AI対策の本丸は、無許可利用を禁止することではなく**「承認プロセス付きのAIエージェント基盤を先に提供すること」**にあります。特に2026年は、社員が自作したCopilot Studio Agent・Dify・LangChain Agent・野良MCPサーバをどう合流させるかが最大の論点です。

AI総合研究所では、企業がガバナンス下でAIエージェントを開発・運用する統合基盤「AI Agent Hub」を提供しています。エージェント単位の権限・利用ログ・データアクセス・出力監査を一元管理でき、社員が組んだエージェントを「野良」から「公式」に格上げする受け皿として機能します。

Microsoft Agent 365と補完的に運用でき、Microsoft系・非Microsoft系のエージェントを横断的に統制したい企業に特に適しています。野良AI対策とAI活用による業務効率化を同時に進めたい企業は、ぜひあわせてご検討ください。

野良AIを「承認済みAIエージェント基盤」に合流させる

AI Agent Hub

エージェント統制と業務効率化を1つの基盤で両立する

野良AI対策の本丸は、無許可利用を禁止することではなく「承認プロセス付きのAIエージェント基盤を先に提供すること」です。AI Agent Hubでは、エージェント単位の権限・利用ログ・データアクセス・出力監査を一元管理でき、社員が組んだエージェントを「野良」から「公式」に格上げする受け皿として機能します。


まとめ

本記事では、野良AIの定義・3層モデル・IBM 2025が示す経済インパクト・AI事業者ガイドライン第1.2版が示す実務論点・発見と棚卸し手順・統制ソリューション3択・AI総研のケース別推奨までを解説しました。要点を改めて整理します。

  • 野良AIはシャドーAIの日本語呼称として日本語圏で使われ始めた表現。無許可の生成AI利用(第1層)に加え、自作の自動化スクリプト(第2層)、野良Copilot Studio・野良MCPサーバ・OpenClaw等の**野良AIエージェント(第3層)**への対応が新論点

  • IBM 2025では、シャドーAI利用が高水準の組織の平均侵害コストが低水準/なしの組織より$670K高い($4.74M vs $4.07M)。全侵害の20%がシャドーAI関与で、97%がAIアクセス制御未整備。日本国内では帝国データバンク2026年3月調査で**情報漏洩リスク33.5%・ルール整備25.5%**が生成AI活用の懸念上位に挙がる

  • **経産省・総務省 AI事業者ガイドライン第1.2版(2026-03-31)**の共通指針から、野良AI対策では記録・トレーサビリティ/アクセス制御とライフサイクル管理/リスク評価と継続モニタリングが実務論点として浮上する。野良AI放置状態は、これらの論点への対応がしづらい

  • 統制ソリューションはMicrosoft Agent 365($15/user・2026年5月GA・Shadow AIページはプレビュー・Windows/Intune環境のOpenClaw中心のローカルAI検知)、独自統制基盤(AI Agent Hub等)、SaaS管理ツールの3択。競合ではなく補完関係で、大企業は3層重ね構成が現実的

  • 効く順序は「棚卸し→3分類(許容/再設計/禁止)→統制基盤導入→承認プロセスの3層設計」。禁止でも放任でもなく、承認プロセスを社員が待てる速度まで高速化することが野良化を防ぐ最速ルート


企業のIT・セキュリティ責任者にとって、野良AIはもう「気をつけよう」レベルで済ませられる段階ではありません。まずは3か月に1回の棚卸しを定例化し、Agent 365や独自統制基盤で自作エージェントの受け皿を整え、承認プロセスの高速化に着手することが、業務効率化と統制を両立する最短ルートになります。

監修者
坂本 将磨

坂本 将磨

Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。

関連記事

AI導入の最初の窓口

お悩み・課題に合わせて活用方法をご案内いたします
お気軽にお問合せください

AI総合研究所 Bottom banner

ご相談
お問い合わせは
こちら!