社内wikiのセキュリティチェックリスト8項目【2026年版】

最終更新日:2026年3月19日

社内wikiの導入を検討している情シス担当者・IT管理者に向けて、「ツール選定の前に必ず確認すべきセキュリティ機能」を8項目のチェックリストにまとめました。

この記事では以下のことがわかります。

社内wiki選定で確認すべきセキュリティ機能チェックリスト8項目（コピーしてそのまま使えます）
2026年現在、特に重視されている「シャドーAIリスク」への対応方法
導入後の運用フェーズでよくある3つの失敗パターンと対策

社内wikiのセキュリティリスクの全体像や情報漏洩の原因については、社内wikiのセキュリティリスクと対策｜情報漏洩を防ぐツール選びの5つの基準もあわせてご参照ください。この記事では「チェックリストを使った実務的な選定・運用」に絞って解説します。

社内wiki導入前に確認すべきセキュリティ機能チェックリスト8項目

ツール比較・稟議資料作成の際にそのままご活用いただけるチェックリストです。各項目の詳細は後述します。

なお、優先度の目安として、従業員50名未満の組織では①②④を、取引先からISMS認証の確認を求められる場合は⑦を最優先で確認することをおすすめします。

#	チェック項目	確認ポイント
✅ ①	2段階認証・多要素認証（MFA）	第2認証要素を要求できるか。管理者による全員への強制適用が可能か
✅ ②	シングルサインオン（SSO）対応	SAML 2.0対応のIdPと連携できるか。SCIM対応の有無
✅ ③	IPアドレス制限	許可IPからのみアクセスを制限できるか
✅ ④	グループ・権限管理の細かさ	部署・プロジェクト・個人単位で閲覧/編集権限を設定できるか。初期権限のデフォルト設定は何か
✅ ⑤	監査ログ・AI利用ログ	誰がいつ何にアクセス・編集したか記録できるか。保存期間は何日か。CSVエクスポート・API取得は可能か
✅ ⑥	データの暗号化	保存データ（at rest）・通信データ（in transit）の両方が暗号化されているか。鍵管理方針は何か
✅ ⑦	ISMS（ISO 27001）認証の有無	ベンダーが第三者認証を取得・維持しているか
✅ ⑧	外部共有リンクの管理機能	有効期限設定・パスワード設定・管理者による棚卸しができるか

チェック項目の詳細解説

✅ ① 2段階認証・多要素認証（MFA）

2段階認証とは、ID・パスワードに加えて認証アプリやSMSなどの第2の認証要素を要求する仕組みです。MFA（多要素認証）はその上位概念であり、2段階認証はMFAの一形態に当たります。ツールによって提供する認証方式が異なるため、「どの認証方式に対応しているか」「管理者が全員に強制適用できるか」まで確認することを推奨します。パスワード漏洩起点の不正アクセス被害を抑える基本対策の一つです。

✅ ② シングルサインオン（SSO）対応

SAML 2.0対応のIdPと連携できるかを確認します。SSOを利用すると、退職者のアカウント管理を人事システムと一元化でき、アクセス権の即時無効化が可能になります。「SAML 2.0対応の有無」「SCIM対応の有無」も合わせて確認しておくと、導入後のアカウント管理の自動化につながります。

✅ ③ IPアドレス制限

許可したIPアドレスからのみアクセスを許可する機能です。テレワーク環境が増えている場合もVPNと組み合わせることで有効に機能します。オフィス外からのアクセスを完全に遮断するか、VPN経由のみ許可するかを、運用ポリシーに合わせて設定できるかを確認してください。

✅ ④ グループ・権限管理の細かさ

部署・プロジェクト・個人単位でアクセス権限を設定できるかを確認します。「閲覧可／不可」だけでなく「編集可」「閲覧のみ」「コメントのみ」など、細かな権限設定が可能かどうかがポイントです。人事・財務・経営企画などの機密情報を扱う部門への適切なアクセス制御に直結します。

また、「新規ドキュメントを作成したときのデフォルト公開範囲が何か」も重要な確認事項です。デフォルトが全員公開になっているツールでは、権限設定ルールを整備していても現場が設定を忘れた際に機密情報が意図せず公開される事故が起きやすくなります。

✅ ⑤ 監査ログ（アクセスログ）・AI利用ログ

誰がいつどのドキュメントにアクセス・編集・削除したかを記録できるかを確認します。情報漏えい発生時の原因追跡と内部不正の抑止力として機能します。確認すべき観点は以下の3点です。

保存期間：ログが何日間保存されるか（例：180日）
エクスポート可否：CSVダウンロードやAPI取得ができるか
AI利用ログ：誰がどの機能をどのメモに対して使ったか記録できるか

AI機能を搭載しているツールの場合は、AI利用ログも記録できるかどうかが重要なチェックポイントです（後述）。

✅ ⑥ データの暗号化

保存データ（at rest）と通信データ（in transit）の両方が暗号化されているかを確認します。保存データ全体が暗号化されているか、一部のみかによってリスクが異なります。暗号方式や鍵管理、通信保護の実装方針はベンダーによって異なるため、セキュリティホワイトペーパーや公式ヘルプで確認しましょう。

✅ ⑦ ISMS（ISO 27001）認証の有無

ツールを提供する企業がISO 27001（情報セキュリティマネジメントシステム）の認証を取得しているかを確認します。ISMSは情報セキュリティ管理の国際規格であり、認証取得企業は第三者機関から一定水準以上のセキュリティ管理体制を認定されています。

ISMS認証はセキュリティ管理体制の「最低ライン」を示すものです。認証の取得・維持状況に加えて、細かな権限管理の柔軟性・AI利用の監査ログ・SSOの対応範囲・セキュリティチェックシートへの個別回答対応など、実際の運用で求められる機能や体制を総合的に評価することが重要です。

取引先からセキュリティチェックシートの提出を求められる際にも、ISMS認証の有無は重要な確認事項になります。

✅ ⑧ 外部共有リンクの管理機能

外部共有リンクに有効期限やパスワードを設定できるか、管理者が共有リンクの棚卸しができるかを確認します。社外の関係者に一時的に情報を共有する目的で作成したリンクが、その後も有効なまま放置されるケースは多くあります。ツールによって対応状況が異なるため、導入前に必ず確認してください。

📌 DocBaseのセキュリティ機能を30日間無料で試す
クレジットカード不要。実際の操作でチェックリスト8項目を確認できます。
DocBaseの無料トライアルを始めてセキュリティ機能を確認する｜ DocBaseのセキュリティ機能の詳細を見る

2026年現在、特に重視される「シャドーAIリスク」とナレッジ管理

チェックリスト⑤（監査ログ）と関連して、2026年現在、企業での無承認AI利用が大きなリスクとして認識されている「シャドーAI」の問題について解説します。

シャドーAIとは、会社が公式に承認していない生成AIツール（ChatGPT・Copilot・Geminiなど）を従業員が個人の判断で業務に使用することを指します。特に問題になるのが、社内wikiから取り出した機密情報や顧客データを外部の生成AIツールに貼り付けてしまうパターンです。

ISACAは2025年のレポート（「State of Cybersecurity 2025」）で、生成AIの業務利用が社内ポリシー整備を上回る速度で進んでいると報告しています。また、Netskopeも「Netskope Cloud and Threat Report 2025」において、無承認AI利用（シャドーAI）によるデータ漏えい・IP流出・監視不能な情報フローを企業の主要リスクとして指摘しています。AI利用ポリシーが整備されていないまま現場のAI活用が進むと、従業員が悪意なく機密情報を外部AIに入力してしまうリスクが高まります。

社内wikiとAIを安全に連携させるためには、以下の2点が重要です。

AI利用ガイドラインの整備：社内情報をどの範囲でAIに入力してよいかを明文化する
AI利用の監査ログ：誰がいつどのデータをAIに参照させたかを記録・確認できる仕組みを持つ

DocBaseでは、AI機能の操作履歴（操作日時・ユーザー・操作内容・対象メモ・IPアドレス等）を記録・ダウンロードできます（セキュリティパック利用時）。なお、このAI操作履歴はDocBase内蔵AI機能の利用記録です。外部AIツールへの情報入力の検知・防止には、別途DLP等の対策が必要です。情シス担当者はAI利用の実態を把握し、ガイドライン違反の早期発見にも役立てられます。

運用フェーズでよくある3つの失敗パターン

チェックリストで機能を確認したあとも、導入後の運用でセキュリティを維持する仕組みが必要です。現場でよく見られる失敗パターンと対策を整理します。

失敗① 退職者アカウントの削除が属人的で遅れる

IT部門が退職者リストをリアルタイムで受け取る仕組みが整っていないと、退職後もアカウントが残り続けます。SSOを導入してIdPで一元管理するか、定期的なアカウント棚卸しのスケジュールを設定することで対策できます。「退職者のアカウント削除は退職日当日に実行」というルールを社内ポリシーに明記することも有効です。

失敗② 権限設定ルールが現場に伝わらず形骸化する

導入時に権限設計を定めても、現場の担当者がルールを把握していなければ意味がありません。グループ設定のマニュアルを社内wikiに整備し、新規ドキュメント作成時の権限設定フローを標準化することが継続的な運用の鍵です。

失敗③ AI連携機能のガバナンスが運用に追いつかない

AI機能を有効にしたままセキュリティポリシーを策定していないと、従業員がAIに機密情報を入力するリスクが高まります。シャドーAIリスクへの対策は前述のセクションも参照してください。AI機能を持つナレッジ管理ツールを導入する際は、監査ログで実態を把握できる体制を整えてから利用を開始することを推奨します。

社内wiki導入の成功事例は、DocBaseの導入事例ページでも詳しく紹介しています。情シス担当者や経営企画チームの事例を参考にしてください。

参考：DocBaseではこの8項目にどう対応しているか

DocBaseは、ISO 27001（ISMS）認証を取得したナレッジ共有ツールです。チェックリスト8項目のうち、確認済みの主な対応状況を紹介します。

チェック項目	DocBaseの対応状況
① 2段階認証・MFA	2段階認証の必須化に対応（セキュリティパック）
② SSO	SAML 2.0対応のIdPと連携可能（Microsoft Entra ID等）（セキュリティパック）
③ IPアドレス制限	対応あり（セキュリティパック）
④ グループ・権限管理	グループ単位・メモ単位での公開範囲設定が可能
⑤ 監査ログ・AI利用ログ	操作履歴をCSVで取得可能。ログ保存期間：180日。AI操作履歴も記録可能（セキュリティパック）
⑥ データの暗号化	保存データ・通信データをともに暗号化。通信はSSLによる暗号化通信に対応
⑦ ISMS認証	ISO 27001（ISMS）認証取得済み
⑧ 外部共有リンク管理	対応状況の詳細はセキュリティ詳細ページをご確認ください

実績・信頼性

利用継続率99%以上（自社集計）
ITreview Grid Award 2025 Spring 受賞（ナレッジ管理部門）
BOXIL SaaS AWARD Spring 2025 受賞

本記事はDocBaseの開発元であるKRAY Inc.が作成しています。自社サービスを含む情報については、公式ヘルプ・仕様に基づいて記載しています。

よくある質問（FAQ）

Q1. このチェックリストは稟議資料にそのまま使えますか？

A. はい、ご活用いただけます。記事冒頭の表形式チェックリストを稟議資料・ベンダー評価シートにそのまま転載してください。「確認ポイント」の列に各ツールの評価結果を書き込む形式でご活用いただくと、複数ツールの比較に役立ちます。

Q2. クラウド型の社内wikiとオンプレミス型では、どちらが安全ですか？

A. クラウド型かオンプレミス型かだけで安全性は決まりません。実際には、認証方式・権限管理・監査ログ・脆弱性対応・バックアップ・委託先管理などを個別に確認することが重要です。クラウド型の場合は、まずベンダーのISMS認証取得の有無・データの保存場所（国内サーバーか否か）・セキュリティ事故時の対応体制を確認してください。

まとめ

社内wikiのセキュリティ機能を選定する際は、以下の8項目を基準にしてください。

2段階認証・多要素認証（MFA）
シングルサインオン（SSO）対応
IPアドレス制限
グループ・権限管理の細かさ
監査ログ・AI利用ログ
データの暗号化
ISMS（ISO 27001）認証の有無
外部共有リンクの管理機能

2026年現在は、生成AI業務利用によるシャドーAIリスクへの対応も加わり、⑤の監査ログ機能にAI利用ログが含まれるかどうかが、ツール選定の新たなポイントになっています。セキュリティと使いやすさのバランスが取れたツールを選ぶことが、導入後の定着と情報漏えい防止の両立につながります。

📌 DocBaseでセキュアなナレッジ管理を始める
ISO 27001認証取得・AI監査ログ搭載・利用継続率99%以上
DocBaseの無料トライアルを始める（30日間無料）｜ DocBaseの料金プランを確認する

【編集ポリシー】
本記事はDocBaseの開発元であるKRAY Inc.が作成しています。社内wikiとナレッジ管理のセキュリティについて、可能な限り客観的・公正な情報提供を心がけています。記載する統計データには出典を明示しています。最終更新：2026年3月

監修

DocBase編集部

情報共有に役立つ情報をお届けします。