シャドーIT率60%——AIコーディングツールが加速する「IT部門外の開発」のリスクと恩恵
「うちの部署、IT部門に頼むと3ヶ月かかるから自分でCursorで作っちゃいました」——こんな会話が、いま世界中のオフィスで交わされている。Retoolが2026年3月に公開した最新レポートによると、過去1年間で60%の従業員がIT部門の監督外でソフトウェアを構築した経験があるという。さらに、そのうち25%は「頻繁に」行っていると回答した。
この現象の背景には、CursorやReplit、GitHub CopilotといったAIコーディングツールの爆発的な普及がある。プログラミング経験が浅い従業員でも、自然言語で指示するだけで業務用アプリケーションを数時間で構築できるようになった。便利さの裏側で、セキュリティ・データガバナンス・コンプライアンスの観点から、企業のIT部門は深刻なジレンマに直面している。
シャドーITとは何か
シャドーIT(Shadow IT)とは、組織のIT部門が把握・承認していないITシステムやソフトウェアを、従業員が独自に導入・構築して業務に使用することを指す。かつてはExcelマクロの自己流カスタマイズや、個人のDropboxアカウントで業務ファイルを共有する程度の問題だった。
しかし2025年以降、AIコーディングツールの登場でシャドーITの性質は根本的に変わった。従来は「既存のSaaSツールを無断で使う」レベルだったものが、**「従業員自身がアプリケーションを開発・デプロイする」**段階に進化したのだ。
| 時代 | シャドーITの形態 | 典型例 | リスクレベル |
|---|---|---|---|
| 2010年代前半 | 個人SaaSの業務利用 | Dropbox、Evernote | 低〜中 |
| 2010年代後半 | ノーコードツール利用 | Airtable、Zapier | 中 |
| 2020年代前半 | ローコード開発 | Power Apps、Retool | 中〜高 |
| 2025年〜 | AIコーディング開発 | Cursor、Replit、Copilot | 高 |
現在のシャドーITが危険な理由は、AIが生成するコードの品質と安全性を非エンジニアが評価できない点にある。ツール自体は高度でも、セキュリティレビューやテストを経ずに本番データに接続されるアプリケーションが量産される構図だ。
Retoolレポートの主要な発見
Retoolの「State of Internal Tools 2026」レポートは、世界中の企業に勤務する2,500人以上のIT・開発・ビジネス部門の従業員を対象に調査を実施した。主要な発見を整理する。
数字で見るシャドーITの実態
- **60%**の回答者が、過去12ヶ月間でIT部門の監督外でソフトウェアを構築
- **25%**が「頻繁に(月に1回以上)」IT部門外の開発を実施
- **78%**のIT部門リーダーが「把握していない社内ツールの存在」を認識
- **43%**の企業がシャドーITに起因するセキュリティインシデントを経験
- AIコーディングツール利用者のうち、**67%**が「IT部門の承認を得ずに利用開始した」
なぜ従業員はIT部門を回避するのか
レポートでは、IT部門外で開発を行う理由として以下が上位に挙げられた。
- 承認プロセスが遅すぎる(72%)——ツール導入に平均6〜8週間
- IT部門のリソース不足(58%)——開発リクエストのバックログが数ヶ月分
- AIツールで自分でできる(51%)——「依頼するより自分で作った方が早い」
- 業務ニーズの切迫性(47%)——「来週のプレゼンに間に合わせたい」
- IT部門に理解されない(33%)——現場固有の業務フローをうまく伝えられない
以下の図は、シャドーITが発生するフローと、それに伴うリスクの全体像を示しています。
この図が示すとおり、AIコーディングツールの登場により、従業員が課題を発見してからアプリケーションを本番運用するまでの時間が劇的に短縮された。従来なら数週間かかっていたプロセスが数時間に圧縮されるため、IT部門が介入するタイミングが事実上消滅している。
AIコーディングツールが変えたシャドーITの構造
開発の民主化がもたらす功罪
AIコーディングツールは、ソフトウェア開発のハードルを劇的に下げた。営業部門の担当者がCRM連携ダッシュボードを作り、人事部門のマネージャーが採用パイプライン管理ツールを構築する。こうした「シチズンデベロッパー(市民開発者)」の台頭は、イノベーションの観点では歓迎すべき変化だ。
| 側面 | メリット | リスク |
|---|---|---|
| 開発スピード | 業務ニーズに即座に対応 | テスト・レビュー工程が省略される |
| コスト | IT部門への依頼工数を削減 | 障害対応・保守コストが不可視化 |
| イノベーション | 現場知識を直接反映した最適なツール | 技術的負債が分散・蓄積 |
| 人材活用 | 非エンジニアの潜在力を解放 | セキュリティ知識なしで本番コード作成 |
| 組織文化 | 自律的・実験的な風土が醸成 | IT部門への信頼低下・サイロ化 |
具体的なリスクシナリオ
シナリオ1: セキュリティ脆弱性
マーケティング部門のスタッフがReplit上でキャンペーン分析ダッシュボードを構築した。AIが生成したコードは動作するが、SQLインジェクション対策が不十分で、顧客データベースに直接接続していた。認証機能もなく、URLを知っていれば誰でもアクセスできる状態だった。
シナリオ2: データガバナンス崩壊
営業チームがCursorを使って見込み客スコアリングツールを作成。顧客の個人情報を外部APIに送信してスコアリングしていたが、そのAPI提供元のプライバシーポリシーは未確認。GDPR対象の欧州顧客データも含まれており、越境データ移転規制に違反していた。
シナリオ3: 運用リスク
経理部門の担当者が月次決算レポート自動化ツールをAIで構築。作成者が退職後、コードの仕組みを理解できる人間がおらず、ツールが停止した際に手動で対応するしかなくなった。ドキュメントもテストもなく、修正に2週間を要した。
IT部門はどう対応すべきか——「禁止」から「管理された自由」へ
Retoolのレポートは、シャドーITへの対応として**「全面禁止」は逆効果**であると明確に指摘している。禁止すればするほど、従業員はより巧妙に隠れて開発を続け、リスクはむしろ増大する。
代わりに推奨されるのが、「ガードレール付きのイネーブルメント(Guardrailed Enablement)」——すなわち、セキュリティの枠組みの中で従業員の自律的な開発を支援するアプローチだ。
以下の図は、旧来の「禁止型」アプローチと、推奨される「管理された自由」アプローチの違いを示しています。
この図が示すとおり、IT部門の役割は「門番」から「プラットフォーム提供者」へと転換する必要がある。具体的な施策を以下に整理する。
1. 承認済みAIツールカタログの整備
セキュリティ審査を通過したAIコーディングツールを公式カタログとして提供する。CursorやReplitのエンタープライズプランを導入し、SSO統合やアクセスログの取得を標準化する。
| ツール | エンタープライズ機能 | 月額目安 |
|---|---|---|
| Cursor Business | SSO、チーム管理、監査ログ | $40/ユーザー(約6,000円) |
| Replit Teams | 組織管理、プライベートリポジトリ | $25/ユーザー(約3,750円) |
| GitHub Copilot Enterprise | コンテキスト理解、ポリシー設定 | $39/ユーザー(約5,850円) |
2. データ分類ポリシーの徹底
すべての社内データを機密レベルで分類し、AIツールに入力可能なデータの範囲を明確化する。
- レベル1(公開可): 公開情報、マーケティング資料
- レベル2(社内限定): 社内手順書、非公開の業務データ
- レベル3(機密): 顧客個人情報、財務データ、契約情報
- レベル4(厳秘): 暗号鍵、認証情報、未公表の経営戦略
レベル3以上のデータは、承認済みツールであってもAIへの入力を制限し、DLP(Data Loss Prevention)ツールで監視する。
3. 48時間審査プロセスの導入
新規ツール導入リクエストに対し、従来の6〜8週間を48時間以内に短縮する迅速審査フレームワークを構築する。セルフサービスの申請フォームを用意し、リスクスコアリングを自動化することで、低リスクのツールは即日承認、高リスクのツールのみ詳細審査に回す。
4. シチズンデベロッパー向け教育プログラム
AIツールを使って開発を行うすべての従業員に、最低限のセキュリティ教育を義務化する。具体的には以下の内容をカバーする。
- 認証・認可の基本(OAuth、API キー管理)
- データの取り扱い(機密情報の識別と保護)
- AIが生成するコードの限界と検証方法
- インシデント発生時の報告フロー
日本企業への示唆——「石橋を叩いて渡る」文化の功罪
日本企業は伝統的にIT統制が厳格で、シャドーITの発生率は欧米に比べて低いとされてきた。しかし、この「慎重さ」がAI時代には足かせになりかねない。
日本固有の課題
1. IT部門の人材不足が深刻
経済産業省の「DXレポート2.1」でも指摘されているように、日本企業のIT人材の約7割がITベンダー側に偏在している。社内IT部門のリソースが圧倒的に不足しているため、現場からの開発リクエストに対応しきれず、結果としてシャドーITが発生しやすい構造がある。
2. 個人情報保護法の改正(2025年)への対応
2025年に改正された個人情報保護法では、AIへの個人データ入力についてより厳格な規律が求められている。シャドーITで構築されたアプリケーションがこれらの規制に違反した場合、企業の法的リスクは非常に大きい。
3. 「現場の工夫」文化との親和性
一方で、日本の製造業には「カイゼン」に代表される現場主導の改善文化が根付いている。AIコーディングツールによるシチズンデベロッパーの台頭は、この文化のデジタル版とも言える。適切なガバナンスがあれば、日本企業にとって大きな競争優位になりうる。
日本企業が今すぐ取るべきアクション
| 優先度 | アクション | 期間 |
|---|---|---|
| 最優先 | 社内のAIツール利用実態調査 | 1〜2週間 |
| 高 | 承認済みAIツールリストの策定 | 2〜4週間 |
| 高 | データ分類ポリシーの整備・更新 | 2〜4週間 |
| 中 | 迅速審査プロセスの設計・導入 | 1〜2ヶ月 |
| 中 | シチズンデベロッパー教育プログラム開発 | 2〜3ヶ月 |
| 継続 | 定期的なシャドーIT監査の実施 | 四半期ごと |
シャドーITの恩恵を忘れてはならない
リスクばかりが注目されがちだが、シャドーITには明確なメリットもある。Retoolのレポートでは、シャドーITで構築されたツールの35%がその後IT部門に正式採用されたというデータが紹介されている。現場のニーズを最もよく理解している従業員が作ったツールは、しばしばIT部門が設計するものより使いやすく、業務にフィットしている。
重要なのは、シャドーITを「敵」と見なすのではなく、組織のイノベーション力の指標として捉えることだ。シャドーITが多い組織は、従業員の課題解決意欲が高い組織でもある。その意欲を安全な形で活かすことが、IT部門の新たな使命になっている。
まとめ——管理と自由のバランスが競争力を決める
AIコーディングツールの普及により、シャドーITは「Excelマクロ」の時代から「フルスタックアプリケーション開発」の時代に突入した。Retoolの調査が示す60%という数字は、もはやシャドーITが例外ではなく常態であることを意味している。
企業が取るべきアクションは明確だ。
- 現状を把握する: まず社内でどれだけのAIコーディングツールが使われているかを調査する。把握できていないリスクは管理できない
- 禁止ではなく制御する: CursorやReplitのエンタープライズプランを導入し、セキュリティの枠組みの中で利用を許可する
- プロセスを高速化する: ツール導入の承認プロセスを48時間以内に短縮し、従業員がIT部門を回避する動機を減らす
- 教育で底上げする: AIツールを使う全従業員に最低限のセキュリティリテラシーを提供する
- シャドーITを資産に変える: 現場で生まれた有用なツールを正式に採用し、組織全体の生産性向上につなげる
AIが開発を民主化した今、IT部門の役割は「ゲートキーパー」から「イネーブラー」へと進化すべき時が来ている。管理と自由のバランスをいち早く確立した企業が、AI時代の競争で優位に立つだろう。
「SaaS」カテゴリの記事
- SaaS
Microsoft 365 E7が月額$99で登場——AI統合の最上位スイート
- SaaS
SaaS業界で150兆円消失——AIエージェントが引き起こす「SaaSpocalypse」の全貌
- SaaS
AI会議ノートGranolaが$1.25億調達——評価額6倍でユニコーン到達
- SaaS
AIノートアプリGranolaが$125M調達——評価額$1.5Bでユニコーンに
- SaaS
ShopifyがAgentic Storefrontsを全店舗に開放——AIチャット内でECが完結する時代
- SaaS
Salesforce株YTD26%下落の裏でAgentforceが史上最速成長——SaaS業界のAI転換点