測定できないものは改善できません。だからこそJieGouはGovernanceScoreを導入しました。0から100までの単一の数値で、AIガバナンス態勢の成熟度を正確に示し、次に何を改善すべきかを明確にします。
GovernanceScoreは虚栄のメトリクスではありません。AIの安全性、コンプライアンス、運用の卓越性に重要な8つの因子にわたる定量的評価です。各因子は総合スコアに貢献し、それぞれ独立して改善できます。
その仕組みを説明します。
8つの因子
1. RBACカバレッジ(0〜15点)
組織全体でロールベースのアクセス制御をどれだけ徹底して実装しているかを測定します。すべてのチームメンバーに適切なロールが割り当てられているか?権限は実際の職務機能と一致しているか?JieGouを使用するすべての部門でロールカバレッジがあるか?
改善方法: すべてのチームメンバーにロールを割り当てましょう。四半期ごとに権限を見直しましょう。部門リーダーには全員にアドミンを与えるのではなく、マネージャーロールを使いましょう。
2. 承認ゲート採用率(0〜15点)
承認ゲートは、未レビューのAIアクションが本番環境に到達するのを防ぎます。この因子は、機密性の高いワークフローのうち承認ステップを含むものの割合と、承認者が積極的にレビューしているか(自動承認だけでないか)を測定します。
改善方法: 外部システム、財務データ、顧客コミュニケーションに関わるワークフローを特定しましょう。それらの重要なアクションの前に承認ステップを追加しましょう。機密に分類されたワークフローの少なくとも80%に承認ゲートを設置することを目指しましょう。
3. 監査ログの完全性(0〜10点)
監査ログの有効化は基本ラインに過ぎません。この因子は、ログが完全かどうかを評価します。すべてのアクション、すべてのユーザー、すべてのワークフロー実行をカバーしているか、適切な期間保持されているかを確認します。
改善方法: JieGouはデフォルトで監査ログを有効にしているため、ほとんどの組織は良いスタート地点にいます。ワークフローでログを無効にしていないこと、保持設定がコンプライアンス要件を満たしていることを確認しましょう。
4. BYOK暗号化(0〜15点)
BYOK(Bring Your Own Key)は、LLM APIキーが自分で管理するキーで暗号化されることを意味します。プレーンテキストでの保存やプラットフォーム管理のキーでの暗号化ではありません。この因子は、BYOKを使用しているか、キーが定期的にローテーションされているかを測定します。
改善方法: すべてのLLMプロバイダーでBYOKを有効にしましょう。四半期ごとのキーローテーションスケジュールを設定しましょう。組織がデータ分離を必要とする場合、部門ごとに異なるAPIキーを使用しましょう。
5. MCP認証(0〜10点)
MCP(Model Context Protocol)連携は、AIワークフローを外部サービスに接続します。この因子は、認証済みのOAuth連携を使用しているか、未認証または手動接続ではないかを評価します。
改善方法: 手動APIキー接続よりもJieGou内蔵のOAuth連携を優先しましょう。連携インベントリを確認し、未認証の接続を認証済みの代替手段に移行しましょう。
6. モデル多様性(0〜10点)
単一のAIモデルへの依存は集中リスクを生みます。この因子は、複数のプロバイダー(Anthropic、OpenAI、Google)のモデルを使用しているか、フォールバック設定があるかを測定します。
改善方法: 少なくとも2つのLLMプロバイダーを設定しましょう。プロバイダーがダウンした場合にワークフローが継続するよう、フォールバックモデルを設定しましょう。各モデルの強みに基づいて、異なるユースケースに異なるモデルを使用しましょう。
7. コスト透明性(0〜10点)
AIコストは可視性がなければ制御不能になります。この因子は、コスト追跡、予算、アラートが設定されているか、チームメンバーがワークフローのコスト影響を確認できるかを評価します。
改善方法: ワークフローごとのコスト追跡を有効にしましょう。部門レベルの予算を設定し、80%と100%のしきい値でアラートを出しましょう。月次でコストレポートを確認し、高コストのワークフローを最適化しましょう。
8. メモリガバナンス(0〜15点)
AIメモリ — セッション間で保持されるコンテキストとデータ — にもガバナンスが必要です。この因子は、保存するデータ、保持期間、履歴コンテキストへのアクセス権限に関するポリシーがあるかを測定します。
改善方法: 部門ごとにメモリ保持ポリシーを設定しましょう。データの機密度レベルに応じた適切なTTLを設定しましょう。PII処理が組織のデータガバナンスポリシーに従っていることを確認しましょう。
40から80+へ:実践的な改善パス
一般的な組織がJieGouに登録して使い始めると、すぐに35〜45点程度のスコアになります。監査ログはデフォルトで有効、基本的なRBACは招待フローで整備され、一部の連携は認証済みです。これは堅実なスタートです。
80+への最短パスは以下の通りです:
第1週(40 → 55): メインのLLMプロバイダーでBYOK暗号化を有効にします。これだけで最大15点加算され、所要時間は約5分です。
第2週(55 → 65): 最も機密性の高いワークフローのトップ5に承認ゲートを追加します。RBAC割り当てを見直し、すべてのチームメンバーが適切なロールを持っていることを確認します。「全員アドミン」ではなく。
第3週(65 → 75): 2番目のLLMプロバイダーをフォールバックとして設定します。コスト追跡と部門予算を設定します。手動連携をOAuth認証の代替手段に移行します。
第4週(75 → 80+): メモリ保持ポリシーを設定します。監査ログの保持設定を確認します。最終的なRBACレビューを行い、部門分離が正しく設定されていることを確認します。
GovernanceScoreが重要な理由
GovernanceScoreは3つのものを提供します:
ベースライン。 ガバナンスを改善する前に、現在地を知る必要があります。単一の数値により、経営陣への報告と長期的な追跡が容易になります。
ロードマップ。 各因子が次に何をすべきかを正確に示します。曖昧な推奨ではなく、影響度順にランク付けされた具体的で実行可能な改善項目です。
進捗の証明。 CISOが「AIガバナンスはどうなっている?」と聞いたとき、数値、トレンドライン、因子別の内訳で答えることができます。2時間ではなく2分で済む会話です。
AIガバナンスは目的地ではありません。それは継続的な実践です。GovernanceScoreはその実践を測定可能にします。