プライベートAI検索とエンタープライズRAG：2026年の安全な導入パターン

デモが現実になる瞬間

プライベートAI検索の最初のデモは、たいてい成功します。更新リスクのある顧客を尋ねると、アシスタントが複数のメモを見つけ、履歴を要約します。そこでセキュリティ担当者がこう聞きます。契約社員、営業インターン、昨日アクセス権を失ったユーザーにも同じ答えが出ますか。

この瞬間、エンタープライズRAGは検索プロジェクトではなく、アクセス制御プロジェクトになります。

実企業の索引は Google Drive、Microsoft 365、Slack、Confluence、Jira、Zendesk、GitHub、データウェアハウス、ファイル共有を横断します。各システムには継承権限、グループ、外部共有、古いロール、過去の設定ミスがあります。

従来検索より危険な理由

従来の企業検索では、漏れるとしてもタイトルやスニペットが中心でした。AIアシスタントは複数ソースを統合し、自信のある文章で回答します。漏えいは見つけにくくなります。

さらに、コネクタキュー、ベクトルDB、キャッシュ、可観測性基盤、モデルゲートウェイ、評価データセットなど、新しいコピーが生まれます。ここがソースシステムより弱いと、統制の弱い第二の会社脳ができてしまいます。

関連する社内記事として MCP本番運用、SaaSチームのためのMCP、Claude 4知識ベースワークフロー があります。

権限ミラーリングが中核

権限ミラーリングとは、AI検索層が現在のユーザーがソースシステムで今読める内容だけを取得することです。索引作成時ではなく、回答時です。

方法は三つあります。索引時フィルタは高速ですが、権限変更に弱い。クエリ時フィルタは文書ごとの権限メタデータを使い、企業RAGの標準になりやすい。高機密データでは、最終回答前にソースAPIで再検証します。

コネクタが最大のリスクになりやすい

コネクタは単なる配管ではありません。内容を読み、権限を解釈し、削除を処理し、何を索引するかを決めます。文書権限、フォルダ継承、グループ、外部共有、所有者変更を扱えるか確認してください。権限取消や削除がどれだけ速く反映されるか、索引前にマスキングできるか、ソースIDと時刻付きで監査できるかも重要です。

Onyx, formerly Danswer、Credal、Tinfoil、Needl、CodeComplete などは、プライベートAI、企業検索、安全なAI、コードアシスタントに近い領域の製品です。機能は変わるため、最新の公式ドキュメントとセキュリティ資料で確認すべきです。

索引は小さく始める

最も安全な索引は、有用性を保てる最小の索引です。広く共有できる運用知識、内部業務記録、HR・法務・財務・セキュリティ・ソースコード・規制データなどの制限資料に分けます。最後の層は、アクセス制御と削除処理が実証されるまで索引しない方が安全です。

全文、チャンク、embedding、メタデータのみ、ソースへのポインタのどれを保存するかを層ごとに決めます。Embedding はプライバシー境界ではありません。暗号化、テナント分離、保持期限、削除ワークフローが必要です。

監査ログは調査に使える形で

各回答には、ユーザーID、グループ、検索意図、検索したコネクタ、文書ID、チャンクID、権限判断、モデル経路、表示した引用、ポリシーブロック、遅延、エラーを残します。

完全なプロンプトや取得チャンクを不用意に保存しないでください。NIST AI Risk Management Framework と OWASP Top 10 for LLM Applications は、ガバナンスの問いを整理する参考になります。

安全な段階展開

最初は低リスク文書の読み取り専用パイロットにします。次に、サポートチケットやアカウントメモのような実権限付きソースを追加し、権限取消が即時反映されるかテストします。HR、法務、財務、セキュリティ、ソースコード、規制データは正式レビュー後です。最後にコネクタテンプレート、ログスキーマ、評価セット、ローンチチェックリストを平台化します。

AIエージェント実践ガイド も参考になります。エージェントは同じアクセス制御問題をさらに大きくするからです。

本当のプロダクトは信頼です。全社の神託より、権限を守る小さなアシスタントの方が価値があります。