動いたからOK、では危ない。AI×ノーコード時代のセキュリティ落とし穴

動いたからOK、では危ない。AI×ノーコード時代のセキュリティ落とし穴

― 情シスを通さず公開されたアプリが招く“想定外リスク”とは ―

※本記事は、アビココ株式会社が提供するサービスに関連する内容を含みますが、読者の皆さまに有益な情報をお届けすることを目的として執筆しています。

AI×ノーコードが「当たり前」になった今

「AIに要件を伝えたら、アプリができた」

「ノーコードだから、専門知識がなくても業務ツールを作れる」

こうした声とともに、AIとノーコードを組み合わせたシステム・アプリ開発が急速に広がっています。

スピード感、低コスト、現場主導の内製化。これらは確かに大きなメリットです。

一方で、情報システムや開発支援の現場では、ある“見えにくい問題”が増え始めています。

それは、

「動くこと」と「安全であること」は、まったく別物

だという点です。

ノーコード開発でセキュリティが見落とされやすい理由

ノーコードやAIを使った開発が危険なのではありません。危険になりやすい“構造”がある、というのが正確な表現です。問題はツールそのものではなく、使い方と運用設計です。

理由① 技術的な「裏側」が見えにくい

ノーコードツールは、

• 認証

• データベース

• API連携

• インフラ設定

といった複雑な要素を、画面操作で簡単に扱えるようにしています。

その結果、

• 認証と認可の違い

• データがどこに保存されているか

• 誰がどこまでアクセスできるか

を 意識しないまま公開してしまう ケースが起きやすくなります。

理由② 「とりあえず社内用」のつもりが外部公開に

よくあるのが、

• 社内向けの管理ツール

• 小規模チーム用の業務アプリ

• PoC（試作）のつもりで作ったもの

が、そのままURL共有や外部連携を通じて事実上“公開状態”になっているケースです。

本人に悪意はありません。しかし、第三者から意図せずアクセス可能な状態になっていることもあります。

理由③ 情シス・セキュリティチェックを通っていない

AI×ノーコード開発はスピードが命です。その分、

• 情報システム部門が把握していない

• セキュリティレビューが行われていない

• 運用ルールが決まっていない

まま使われ始めることも少なくありません。

これは、いわゆるシャドーIT化の典型パターンです。

実際によくあるセキュリティリスク例

ケース① 認証はあるが「権限管理がない」

• ログインはできる

• しかし全ユーザーが同じ操作権限

• 管理画面も一般ユーザーも区別なし

→ 内部不正・誤操作のリスクが高い

ケース② APIキーやトークンの扱いが甘い

• 画面設定に直接APIキーを入力

• 権限範囲が広すぎるキーを使用

• 失効・ローテーションの概念がない

→ 外部流出時の被害が大きくなりやすい

ケース③ 個人情報の保存場所を把握していない

• 氏名・住所・連絡先を扱っている

• どの国のどのサーバーに保存されているか不明

• バックアップや削除ルールがない

→ 個人情報保護法や社内規程への対応が不十分になる可能性

ノーコードでも最低限押さえるべきセキュリティ視点

「じゃあ、ノーコードは使わない方がいいの？」という話ではありません。

最低限、以下の視点を持つだけでもリスクは大きく下げられます。

① 誰が、何に、どこまでアクセスできるか

• ユーザーごとの権限は適切か

• 管理者権限は限定されているか

• 退職・異動時にアクセスを止められるか

② 扱っているデータの種類を把握する

• 個人情報は含まれるか

• 業務の重要データか

• 外部に漏れたら困る情報か

→ 「軽いツール」のつもりでも、中身は重いことがあります。

③ トラブル時に止められるか

• 不正アクセスに気づけるか

• ログは確認できるか

• すぐに利用停止できるか

「何かあったら止めればいい」その“止め方”が決まっていないケースは非常に多いです。

どこからプロに相談すべきか

すべてを最初から専門家に任せる必要はありません。ただし、次のタイミングでは一度立ち止まることをおすすめします。

• 外部公開・社外連携をする前

• 個人情報・顧客データを扱い始めるとき

• 業務の中核を担うツールになりそうなとき

• 他部署・他社が使うようになったとき

この段階での確認は、後から事故対応をするより、圧倒的にコストが低いのが現実です。

ノーコード時代だからこそ「設計と視点」が重要

AIやノーコードは、システム開発の可能性を大きく広げました。要件整理や設計のたたき、実装そのものも、プロンプトを起点に高速に進められる時代です。

一方で、

その設計が本当に妥当か

想定外の使われ方をしても問題ないか

トラブル時に誰がどう責任を持つのか

といった判断は、今も人の手に委ねられています。

アビココでは、ノーコードやAI活用を前提とした

• 設計レビュー

• セキュリティ観点での整理

• 開発・運用支援

も行っています。

「これって大丈夫？」「作ったけど、公開していいか不安」

そんな段階でも構いません。気になることがあれば、お気軽にご相談ください。

参考文献

IPA「組織における内部不正防止ガイドライン」

IPA「安全なウェブサイトの作り方」

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」