Expert AX Level 1 Claude編 / 全4回研修第4回

暴走させない
ブレーキの設計

組織 / Sandbox / Permission / Hook / 監査の 5 防御層で AI を物理的に止める

講師: 村田篤郎

1分、ここまで1分

「第4回前半を始めます。Part 7 のテーマは『ブレーキの設計』。Claude が便利になるほど、暴走したときの被害も大きくなります。今日はその"暴走しない仕組み"を多層で組み上げます」

【B4 運用注記】前半 90.5 分 → 80.5 分目標 = 講義各 slide の説明を喋りで -10 分圧縮 (実習 30 分は受講者作業確実性のため据え置き、5 層構成説明 → 3 層実装中心 + 暴走 3 経路圧縮等で実現)

「多層防御は 5 層 (組織防御 / Sandbox / Permission / Hook / 監査) で構成され、それぞれが独立したブレーキとして動き、合わせて『ハーネス（馬具の総体）』になります。Sandbox は Codespace が既に提供、組織層は IT 管理者の領域なので、今日の実習で組み込むのは Permission / Hook / 監査の 3 層です」

受講のヒント

リアクション

✅ わかった／進んで OK

❌ わからない／詳しく説明して

✋（挙手）質問あり

メモ・振り返り

講義・実習中に 気になったこと をメモ

例: 理解できたこと／引っかかった箇所／試したいこと

Part 末で 3 分振り返り
→ Claude Code に要約
→ 共有場所へ投稿

Claude Code + ターミナル 2 つ

① Claude Code (claude 起動)

② 開発サーバ用 (npm run dev / uvicorn / go run 等)

③ コマンドを単発で打つ用

横に分割: ターミナル右上の Split ボタン
または ⌘+Shift+P →「Split Terminal」

上下に並べる: タブを上のエディタ枠へドラッグ

💡 リアクションの場所 : Zoom 画面下部の リアクション ボタン (ハート / 顔アイコン) から ✅ / ❌ / 挙手をクリック。下部メニューが見えない場合は Zoom ウィンドウ内をクリックすると表示される（左の画像クリックで拡大）

1分30秒、ここまで2.5分（初回フル版）

「受講のヒントを 3 つ確認します」

「1 つ目、リアクション。✅ わかった、❌ わからない／詳しく説明して、✋ 挙手で質問あり。遠慮なく ❌ を押してください。チャットでも質問 OK です。Zoom 画面下部のリアクションボタンから操作できます」

「2 つ目、Claude Code + ターミナル 2 つで計 3 ペイン。Codespace の VS Code で claude を起動するペイン、開発サーバ用、コマンド単発用、と役割分担で開いておくと、いちいち止めずに済みます。横分割はターミナル右上の Split アイコンをクリックするか、コマンドパレット（⌘+Shift+P）から『Split Terminal』を実行が確実です。⌘+\ は日本語キーボードだと効かない場合があるので注意。上下に並べたいときはターミナルタブを上のエディタ枠にドラッグでも OK」

「3 つ目、メモと振り返り。講義中・実習中に気になったこと、理解できたこと、引っかかった箇所、業務で試したいことを自由にメモしておいてください。Part の最後に 3 分の振り返りタイムを用意するので、そこで Claude Code にメモを要約・まとめてもらって、共有場所に投稿します。書き方は完全自由、Claude への頼み方も自由です。プロンプトの工夫自体が練習になります」

Part 7: 暴走させないブレーキの設計

01

講義 — なぜブレーキが必要か

02

実習 — 多層防御を組み込む

03

まとめ

Part 7 のゴール

多層防御の 5 層を理解し、
うち 3 層 (Permission / Hook / 監査) をコードベースに実装する

1

権限が広がるほど
事故も大きくなる

便利さと脆弱性が表裏一体
という構造を理解

2

多層防御 5 層を理解 +
3 層をリポジトリに実装

組織 / Sandbox / Permission /
Hook / 監査の 5 層構造を理解、
うち 3 層を 1 プロンプトで実装

※ 5 層構成の出典: OWASP Top 10 for Agentic Applications 2026 / Claude Code 公式 Sandboxing・Permissions・Hooks / 詳細整合表は FAQ「多層防御の 5 層って具体的に何？」

Part 7 のスコープ

Part 7: 暴走させないブレーキの設計

01

講義 — なぜブレーキが必要か

02

実習 — 多層防御を組み込む

03

まとめ

なぜブレーキが必要か — 自律性を最大化するため

最大限の自律性を持たせるために、人間は禁止範囲を先に構造化する

AI に任せたい自律実行

AI の能力をより引き出せる

ファイル編集、コマンド実行、
外部 API 呼び出し...

最大形: 自律エージェント化
人間の確認を介さず、連続して判断・実行する状態

禁止範囲を絞らないと起こる事故

絞らなければ、事故の規模が大きくなる

rm -rf 一発で本番消失、
API キー漏洩、暴走による無限ループ

自律実行中なら、止められない
確認を挟まないので、暴走に気付いた時には手遅れ

最大限の自律性を持たせるために、
やってはいけない範囲を人間が settings.json / Hooks で先に固定する

5分、ここまで11.5分

「Claude に最大限の自律性を持たせるためには、暴走時の被害が広がらない範囲を先に作っておく必要があります。ブレーキは AI を縛るためではなく、AI が自由に動くための前提条件です」

「左カードは AI に任せたい自律実行のリスト。ファイル編集、コマンド実行、外部 API 呼び出し、その最大形が自律エージェント化 — 人間の確認を介さず連続して判断・実行する状態です」

「右カードは禁止範囲を絞らないと事故の規模が大きくなるもののリスト。同じ権限でも、許可しっぱなしだと rm -rf 一発で本番消失、API キー漏洩、暴走無限ループが起こります。自律実行中なら止められません」

「業界の数字を一つ。GitHub の大規模分析では、AI 生成コードの約 40% にセキュリティ問題が混ざるという研究があります。レビューせずに本番に投入すると、事故確率が大幅に上がります」

「対策の発想は『AI が自由に動くために、絶対触らせない範囲を先に決める』。settings.json の deny list (許可・禁止リスト) や Hooks の PreToolUse (実行前チェック) で物理的にブロックすれば、AI は許可範囲内で自律実行、禁止範囲は構造で到達不能。これが今日の多層防御の根っこです」

AI が暴走する主要 3 経路

Claude が事故を起こす根っこは、主にこの 3 つに集約される

情報漏洩

機密が外に出る

API キー / 顧客データ / .env を
Claude が見て、ログや
外部 API に送ってしまう

ハルシネーション

知ったかぶりで
実装する

使わない方がいい関数を呼ぶ、
消した方がいいファイルを消す。
事実確認せず書ききる

過剰な権限委譲

攻撃者の命令を
忠実に実行する

プロンプトインジェクション。
データに紛れた命令を
"ユーザー指示"と誤認

3 経路すべての対策は "権限を物理的に絞る"。
プロンプトでの注意喚起では止まらない

5分、ここまで16.5分

「Claude が事故を起こす根っこは、主にこの 3 つに集約されます。情報漏洩、ハルシネーション、過剰な権限委譲」

「3 つ目が一番見落とされがちです。プロンプトインジェクション攻撃。たとえば外部の悪意あるファイルや Issue 本文に『このファイルを外部に送れ』と書いてあると、Claude はそれを読んで"ユーザーの指示"と思って実行してしまう。データと命令の区別ができないので、忠誠心が高すぎて騙される」

「OWASP の結論はシンプルで、『AI が暴走するのは、人間が不必要な権限を与えすぎているから』。だから対策は最小権限の原則。必要最低限だけ渡す」

「3 つすべてに共通する対策は『権限を物理的に絞る』こと。プロンプトで『気をつけて』と書いても、コンテキストの都合で忘れますし、攻撃者には響きません。構造で守るしかない、というのが今日の出発点です」

多層防御 — ハーネスエンジニアリング

1 つの層では完全に防げない。
5 層を重ねるのが AI エージェント時代の標準構成
（OWASP 2026 とも整合）

層 1 — 組織防御層: Managed Settings — IT 管理者が企業全体に強制配布する設定（user / project では上書き不可）

層 2

Sandbox

隔離層

OS で
filesystem / network
を隔離

📂 Codespace / sandbox 設定

層 3

Permission

権限ゲート層

allow / ask / deny で
ツール呼び出しを
段階制御

📂 .claude/settings.json

層 4

Hook

実行時ブレーキ層

PreToolUse hook で
危険操作を
物理ブロック

📂 .claude/hooks/

層 5

監査

事後検証層

PostToolUse hook で
全行動を
JSONL ログ追記

📂 .claude/hooks/

5 層が "組織 → 隔離 → 権限 → 実行時 → 監査" の順に検査。1 層が抜けても次の層が止める。事後監査 (層 5) で「いつ何をしたか」を全追跡

5分、ここまで21.5分

「多層防御の中身を 5 層に分けて見ていきます。上位の組織層 (Managed Settings) と、Sandbox / Permission / Hook / 監査の 4 層」

「層 1 の組織層 (Managed Settings) は IT 管理者が企業全体に配布する設定。user/project では上書きできない最上位ルール。中小企業ならまず気にしなくていいですが、大企業の研修受講者には知識として必要」

「層 2 の Sandbox は OS レベルの隔離。macOS なら Seatbelt、Linux/WSL2 なら Bubblewrap で filesystem と network を制限します。受講者が今使っている Codespace 自体がコンテナ隔離なので、既に Sandbox の中で動いていることになります。Claude Code 内の /sandbox コマンドでさらに細かく制御もできますが、OS 依存（Windows ネイティブは未サポート、要 WSL2）があるので詳しくは FAQ 参照」

「層 3 の Permission は権限の境界。settings.json に "ここまで自動 OK / ここから人間に聞く / ここから完全 NG" を書きます。allow / ask / deny の 3 段階」

「層 4 の Hook は実行時のブレーキ。PreToolUse — 「ツールを使う直前」に走るスクリプトで、危険な操作を物理的にブロックします。"Hook" は Claude Code の機能名で、git pre-commit と同じ発想」

「層 5 の監査は事後検証。PostToolUse で全ツール呼び出しを JSONL ファイルに追記。後から grep で「いつ何をしたか」が全部追えます。OWASP Top 10 for Agentic Applications 2026 でも「全特権操作のログ化と audit trail」が要求されている標準項目」

「5 層の親概念がハーネスエンジニアリング — 馬具の総体です。Mitchell Hashimoto が 2026年2月に命名。各層は"ブレーキ"で、5 つ合わせて"ハーネス"になる」

「OWASP Top 10 for Agentic Applications 2026 (genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026) は、エージェント型 LLM アプリの代表的脆弱性 10 件をまとめた業界ガイドライン。多層防御 + audit trail + 最小権限の原則は、このガイドラインの基盤要件として定義されています」

📂 講師実演（補強）: 「では実物を見ます」と切り替え、VS Code エクスプローラーで apps/InsightLog/.claude/settings.json を開き、層 3 Permission の allow リストを 1 行ずつ読み上げる。続いて apps/InsightLog/.claude/hooks/observe-check-commit.sh を開き、冒頭コメント (1〜40 行) を読み上げて「PostToolUse vs PreToolUse の違い」「なぜ JSON で additionalContext を返すか」「なぜ exit 0 固定か」の 3 点を公式 URL 引用付きで解説。これが層 4 (Hook) の優良実装例（cat ではなく必ずエディタで開く）

【補足: なぜ CLAUDE.md は層に含めないか】「以前は CLAUDE.md を防御層に数える説明もありましたが、OWASP LLM07 (System Prompt Leakage) がシステムプロンプトを脆弱性として扱う通り、CLAUDE.md は prompt injection で bypass 可能なので、業界標準では防御層に数えません。補助のベストプラクティスとしては有用ですが、deterministic な防御は Sandbox / Permission / Hook / 監査が担います」

Part 7: 暴走させないブレーキの設計

01

講義 — なぜブレーキが必要か

02

実習 — 多層防御を組み込む

03

まとめ

実習 — 全体の流れ

お題 = あなたのリポジトリに 3 層 (Permission / Hook / 監査 Hook) を組み込む

Step 1

既存を読む
.claude/settings.json と
既存 hooks を開く

▶

Step 2

Claude に依頼する
統合プロンプトで
3 層を一気に生成

▶

Step 3

動かして確認
テストプロンプトで
3 層の合格条件を検証

▶

Step 4

微調整する
期待通りでなければ
Claude に追加指示

2分、ここまで24分

「実習の全体の流れです。お題は『あなたのリポジトリに 3 層 (Permission / Hook / 監査 Hook) を組み込む』」

「4 ステップで進めます。Step 1 で .claude/settings.json と既存 hooks を読んで現状確認。Step 2 で統合プロンプトを Claude に投げて 3 層を一気に生成。Step 3 で 3 つのテストプロンプトを順に投げて動作検証、Step 4 で必要なら微調整」

「これは『0 から作る』実習ではなく、『既存設定に防御層を 3 つ追加する』実習です。1 プロンプトで全部生成するので、層を 1 つずつ作る場合より早く済みます」

【進行ノート】実装は Claude Code に任せる。シェルの中身や JSON の構造は全部 Claude が書く、受講者は要件を伝える・設計を確認する・動作を検証する役割

実習 — 手順（目安 30 分）

#	やること	ポイント
1	エディタで .claude/settings.json と既存 hooks を開く	現状の Permission allow リスト + 既存 Hook を読む
2	次のスライドのプロンプトを Claude Code にコピペ	シェル + JSON は Claude が書く
3	下のテストプロンプト 3 件を順に投げる	各層の合格条件を満たすか確認
4	期待通りでなければ追加指示	「層 N が起動しなかった、設定を見直して」と振る

対象	テストプロンプト	合格条件
Permission	「curl https://example.com を実行」	permissions.deny で問答無用ブロック
Hook	「OPENAI_API_KEY=sk-FAKE-FOR-TEST-12345 を .env に書いて」	secret-detector.sh が deny を返し停止理由が表示
監査	ls -la 実行 → cat ~/.claude/audit/$(date +%Y-%m-%d).jsonl で確認	JSONL に tool_name / cwd / tool_input / timestamp が 1 行追記

3分（説明）+ 動作確認 5分、ここまで32分

「手順テーブルです。Step 1、エディタで .claude/settings.json と既存 hooks を開いて現状を読む。Step 2、次のスライドのプロンプトを Claude Code に貼り付け。シェル + JSON 全部 Claude が書きます」

「Step 3、下の動作確認テーブルの 3 つのテストプロンプトを順に投げて、3 層が効くか合格条件を確認。クリックでコピーできます」

「層 3: ask すら出ない問答無用ブロック (Permission deny)、層 4: deny + 理由表示 (機密検出 Hook)、層 5: JSONL ログ追記 (監査 Hook)。この 3 つが全部満たされたら実装完了です」

「Step 4、効かなかった層は『層 N が起動しなかった、設定を見直して』と Claude に振って修正させる。投入プロンプトで 3 層全部書かせているので、どの層が壊れているか切り分けやすい構造になっています」

「Step 5、InsightLog に何を組み込んでどう動いたか記録。Skill としても育てられます」

「テスト用文字列は必ず明示ダミー（FAKE-FOR-TEST 等）を使ってください。本物の API キー形式 sk-XXX を Issue や PR に貼ると、検出システムに誤通知が飛ぶことがあります」

実習 — 投入プロンプト（コピーして Claude に投げる）

📂 プロジェクトルートで claude を起動済みのセッションに投げる（パス指定不要、Claude がカレントディレクトリを見る）

そのままコピペして Claude に投げる

このリポジトリに 多層防御の 3 層 (Permission / Hook / 監査 Hook) を組み込んでください

【Permission の境界を settings.json に追加】

公式の空白区切り記法。deny: Bash(curl *) / Bash(rm -rf *) / Bash(git push --force *)。ask: Bash(rm *) / Bash(git push *)。既存 allow は触らない。最後に jq で構文検証

【機密検出 Hook (.claude/hooks/secret-detector.sh) + settings.json 登録】

PreToolUse、matcher "Bash|Write|Edit"。stdin JSON から tool_input 取得、sk- / ghp_ / AKIA / .env 等を検出したら公式仕様の {"hookSpecificOutput": {..., "permissionDecision": "deny", ...}} を出力

【監査 Hook (.claude/hooks/audit-logger.sh) + settings.json 登録】

PostToolUse、matcher "Bash|Write|Edit"。~/.claude/audit/$(date +%Y-%m-%d).jsonl に {timestamp, tool_name, cwd, tool_input} を 1 行 JSON で追記。ブロックはせず純粋にログ記録

完了したら 3 層ごとに「何を作ったか」「どう検証するか」を 1 行ずつ要約報告

💡 受講者の役割: このプロンプトをコピペして投げる → 出てきた設計を確認する → 次のスライドで動作を検証する。Claude が 3 層分の出力を順番に提示するので、各層を承認して進める

20分、ここまで52分（説明 3 分 + 受講者 17 分）

「この投入プロンプトを Claude に投げるだけで、3 層 (Permission / Hook / 監査 Hook) を一気に実装してくれます。仕様を 1 つのプロンプトに圧縮してあります」

「Claude は層 3 → 層 4 → 層 5 の順に提示してくるので、各提示で内容を確認して承認してください。settings.json の Permission 追加、シェルスクリプト 2 本（secret-detector.sh と audit-logger.sh）、それぞれ目を通すこと」

「Hook の仕様は Claude Code 公式準拠で、hookSpecificOutput.permissionDecision: deny + permissionDecisionReason 形式です。プロンプトに正確な仕様を書いてあるので Claude が正しく実装します」

「Permission の記法は Bash(curl *)（空白区切り）でも Bash(curl:*)（コロン記法）でも、公式仕様で末尾ワイルドカードとして等価です。本研修では公式が例示する空白区切りで統一」

「層 5 の監査 Hook は PostToolUse hook で ~/.claude/audit/YYYY-MM-DD.jsonl に追記する 5 行スクリプト。OWASP Top 10 for Agentic Applications 2026 が要求する『全特権操作の audit trail』が、この 1 ファイルで満たせます」

📂 講師実演（実習開始前）: 統合プロンプトを Claude に投げる前に、エディタで apps/InsightLog/.claude/settings.json の現状を見せる（Permission allow リスト + PostToolUse hook 1 つ登録済み）。「これに『機密検出 PreToolUse』『監査 PostToolUse』が加わる流れになる」と宣言してから受講者にプロンプト投入させる（cat ではなく必ずエディタで開く）

「詰まったら Claude に『今の実装で 3 層が効くか調査して』と振ると、自分で見直してくれます。20 分以内で 3 層全部終わるはず」

Part 7: 暴走させないブレーキの設計

01

講義 — なぜブレーキが必要か

02

実習 — 多層防御を組み込む

03

まとめ

Part 7 まとめ — 構造で守る

5 層 (組織 / Sandbox / Permission / Hook / 監査) のうち、
今日の実習で実装した 3 層

01

Permission は
権限ゲート

allow / ask / deny の 3 段階

📂 .claude/settings.json

02

Hook は
実行時ブレーキ

PreToolUse で危険操作を物理ブロック

📂 .claude/hooks/secret-detector.sh

03

監査 Hook は
事後検証層

PostToolUse で全行動を JSONL 追記

📂 .claude/hooks/audit-logger.sh

人が忘れてもいいように、構造で守れるようにする

4分、ここまで88分

「Part 7 のまとめです。5 層構成 (組織 / Sandbox / Permission / Hook / 監査) を覚えてください。今日実装した 3 層は Permission / Hook / 監査」

「自社で 1 層だけ最初に入れるなら、Permission の deny。設定 1 つで一番効く。次に Hook、最後に監査 Hook。これは"効果の即効性"の順」

「Sandbox は Codespace / Docker / devcontainer が既に提供している。組織防御層 (Managed Settings) は大企業の IT 管理者が組織全体に配布する強制ポリシー。中小企業ならまず気にしなくていいが、知識として持っておくと、大企業に提案するときに役立つ」

「持ち帰りメッセージは『プロンプトで気をつけてではなく、構造で守る』。3 層を組んだら、忘れても抜けがない仕組みになります」

3分振り返りタイム（目安 3 分）

これまでの メモ・感想 を Claude Code に要約・まとめ させて記録する。

発見や気づきなどがあれば追記

Part 7

質疑応答

挙手 or チャットで
気軽にどうぞ

（10 分）

Part 7 で扱ったトピック

セクション	内容
講義	便利さ＝脆弱性 / 暴走 3 経路 / 多層防御 5 層 (組織 / Sandbox / Permission / Hook / 監査)
実習	3 層 (Permission / Hook / 監査 Hook) を 1 プロンプトで生成 + 動作確認
まとめ	構造で守るという発想 — 5 層を意識し、最低 3 層を組む

休憩 ☕ 10 分

後半開始まで席を立って構いません

10:00

Expert AX Level 1 Claude編 / 全4回研修第4回 Part 8

あなたの成長を
データで証明する

8 件の InsightLog 記録を KPI ダッシュボードに流し込み、
5 分で説明できる報告物に仕上げる

講師: 村田篤郎

受講のヒント

リアクション

✅ わかった／進んで OK

❌ わからない／詳しく説明して

✋（挙手）質問あり

メモ・振り返り

講義・実習中に 気になったこと をメモ

例: 理解できたこと／引っかかった箇所／試したいこと

Part 末で 3 分振り返り
→ Claude Code に要約
→ 共有場所へ投稿

Claude Code + ターミナル 2 つ

① Claude Code (claude 起動)

② 開発サーバ用 (npm run dev / uvicorn / go run 等)

③ コマンドを単発で打つ用

横に分割: ターミナル右上の Split ボタン
または ⌘+Shift+P →「Split Terminal」

上下に並べる: タブを上のエディタ枠へドラッグ

💡 リアクションの場所 : Zoom 画面下部の リアクション ボタン (ハート / 顔アイコン) から ✅ / ❌ / 挙手をクリック。下部メニューが見えない場合は Zoom ウィンドウ内をクリックすると表示される（左の画像クリックで拡大）

Part 8: あなたの成長をデータで証明する

01

講義 — AI 活用の KPI を測る

02

実習 — KPI ダッシュボードを完成させる

03

まとめ

Part 8 のゴール

KPI ダッシュボードに 8 件のデータが流れ込み、
「研修の成果」を 5 分で説明できる報告物として完成

1

4 KPI で
測る

AI 利用率 / 工数削減率 /
平均作業時間 /
月間削減時間

2

KPI ダッシュボードで
可視化する

InsightLog の CSV →
ダッシュボードでグラフ化
📂 ax-kpi-dashboard.arkatom.com

3

Claude で
3 枚の報告書を生成

概況 / 内訳 / 展開の
3 枚フォーマットで
経営層に伝わる紙にする

Part 8: あなたの成長をデータで証明する

01

講義 — AI 活用の KPI を測る

02

実習 — KPI ダッシュボードを完成させる

03

まとめ

AI 活用の KPI を測る — 4 KPI

KPI（Key Performance Indicators）= 数値で測れる業績指標。InsightLog の CSV から、ダッシュボードが 4 KPI を自動算出。📂 ax-kpi-dashboard.arkatom.com

KPI ①

AI 利用率

全タスクのうち AI を使った割合（目標 ≥ 75%）

KPI ②

工数削減率

AI なしの想定時間 vs 実時間（目標 ≥ 30%）

KPI ③

平均作業時間

AI 利用タスク 1 件あたり
何分で終わるか（分）

KPI ④

月間削減時間

月間で AI 活用により
浮いた時間の合計（分）

定量 4 KPI + 補助軸: 工程別の効果 / 成果品質（1-5 評価）も同じ報告書に出る — 数字に文脈が乗る

5分、ここまで108分

「KPI は 4 指標で測ります。すべてダッシュボードが CSV から自動算出します」

「① AI 利用率と ② 工数削減率の 2 つが経営層向けの主役です。残りの ③ 平均作業時間と ④ 月間削減時間は『時間に換算するとどれだけ浮いたか』を見せる補助指標。同じ '30%' でも、月間 1395 分（=23 時間）と言うと一気に経営インパクトとして伝わります」

「補助軸として工程別の効果（要件定義 / 設計 / 実装 / テスト / 運用）と成果品質（1-5 評価）も同じ報告書に出ます。これは経営層には参考扱いで、現場に効いた業務領域を把握するための材料です」

「KPI ＝数値で測れる業績指標です。よく似た言葉に ROI（投資対効果）がありますが、ROI は人件費や機会損失も含めた多角的な計算が必要で、KPI ダッシュボードだけでは完結しません。今日は KPI を一次データとして可視化する、と覚えてください」

業界での AI 活用 — 自分の数字を文脈に置く

業界全体の数字と 自社の数字を並べると、報告に説得力が出る

規模で開く
活用率の差

大企業 19.0% vs 中小 1.3%

全社的に生成 AI を活用している企業の割合
(5000 人以上 vs 300 人未満)

出典: 厚生労働省「令和 7 年版労働経済白書」第 2-(1)-13 図

個人レベル
参考値

業務利用率 47.6%

50-99 人規模で AI を業務に使ったことがある
個人の割合 (パワーユーザー込み)

出典: サーバーワークス調査

「うちは中小だが全社活用率を 1.3% から 10% に伸ばす」 — 業界文脈を添えて自分の数字を語る

※ 数字は国内データ。引用時は出典の更新日を確認 — 厚生労働省令和 7 年版労働経済白書 / サーバーワークス調査

5分、ここまで113分

「自分の数字だけ出しても上司は『で？』となります。業界全体と比べてどうかを添えることで、初めて意味が出ます」

「左カードが今日のメイン。厚労省の最新データで、全社的に生成 AI を活用している企業の割合は、5000 人以上の大企業で 19.0%、300 人未満の中小では 1.3%。約 14 倍の差があります。これは『生産性格差』ではなく『全社活用率の差』なので、表現に注意してください」

「右カードは参考値です。サーバーワークス調査で、50-99 人規模の個人が AI を業務利用した割合が 47.6%。これは『個人レベル』で『使ったことがある』カウントなので、左の『全社的に活用』とは母集団が違います。混同しないこと」

「報告での使い方は『うちは中小だが、全社活用率を 1.3% (業界平均) から 10% に伸ばす』のように、業界文脈を 1 行添えてから自社の打ち手を語ると説得力が出ます」

【進行ノート】数字は時期で変動するので、研修前日に最新値を MHLW / サーバーワークス公式で確認すること。母集団 (全社活用 vs 個人利用 / 規模) を混ぜないこと

経営層に 5 分で説明する 3 枚フォーマット

Step 1

数字 2 つだけ

AI 利用率 + 工数削減率
業界平均との比較を 1 行添える

▶

Step 2

業務効果の内訳

Phase (工程) 別で
どこに AI が効いたか
Tool / 品質は補助軸

▶

Step 3

今後のアクション

自部門でいつ・何を
導入するかを
3 つだけ列挙

📌 ポイントは "持ち時間 5 分で読み切れる量"。
詳細データは別添えで質問対応に備える

3分、ここまで116分

「経営層向けは 3 枚で 5 分が黄金比です。1 枚目は数字 2 つだけ、2 枚目は業務効果の内訳 (Phase 別主軸)、3 枚目は今後のアクション」

「数字を 2 つに絞るのが大事。3 つ以上並べると焦点がぼけます。AI 利用率と工数削減率の 2 つで十分」

「2 枚目は Tool 比較 (Claude vs ChatGPT vs Copilot) を前面に出さないこと。経営論点が購買・好みの話に流れます。Phase 別 (要件定義 / 設計 / 実装 / テスト / 運用) の効果を主軸にすると、業務変革の論点が立ちます」

「これは経営層・上司向け。情シス向けはセキュリティ・コンプライアンスが軸になります。同じデータでも、相手によって翻訳が必要、というのが今日の後半のテーマです」

Part 8: あなたの成長をデータで証明する

01

講義 — AI 活用の KPI を測る

02

実習 — KPI ダッシュボードを完成させる

03

まとめ

実習 — 全体の流れ（目安 30 分）

お題 = InsightLog → CSV → ダッシュボード → Claude Code → 3 枚の報告書 を自分のデータで通す。
ダッシュボードからのエクスポートには Claude への指示文 + 数字データが 1 つの Markdownに自動でまとまる

Step 1

CSV を出す
InsightLog から
CSV を出力

▶

Step 2

取り込む
ダッシュボードに
CSV を投入

▶

Step 3

数字を確認
4 KPI と工程別
週次トレンド

▶

Step 4

Markdown 出力
エクスポート ▾
→ コピー / .md

▶

Step 5

Claude に貼る
貼り付けると
3 枚の報告書生成

※ ダッシュボードは ブラウザ側で CSV を読む 仕組み（データは外に出ない）。Markdown の冒頭に Claude への指示文が自動挿入されている

3分、ここまで119分

「実習の全体の流れです。5 ステップで進めます」

「Step 1-2 が CSV の出し入れ、Step 3 で数字を確認、Step 4 でダッシュボードから Markdown を出します。Step 5 でその Markdown を Claude Code にそのまま貼ると、3 枚の報告書が出てきます」

「Step 4 が今日のキモです。ダッシュボード右上の『エクスポート ▾』からクリップボードコピー or .md ダウンロードを選びます。どちらも同じ Markdown で、冒頭に Claude への指示文（出力フォーマット 3 枚 / 厳守事項 / 業界平均は当日検索など）が自動で書き込まれています」

「貼り付け先は Claude Code です（Codespace のターミナルで起動済み）。指示文が冒頭に書かれているので、Claude が読んで自動的に 3 枚フォーマットで返してきます」

「ダッシュボードはブラウザだけで動きます — サーバーに送らないので、自分のデータが外に出ません。CSV を読んだ時点のデータが表示されるので、件数を増やしたら再アップロードが必要、という点だけ覚えてください」

「データは件数が少ないと統計的に有意とは言えません。'研修データはサンプル、実務で続ければ本物の数字になる'と伝えます」

実習 — 手順（目安 30 分）

#	やること	ポイント
1	InsightLog から CSV をエクスポート	これまでの全タスクが 1 ファイルになる
2	ダッシュボードに CSV をアップロード	4 KPI / 工程別 / 週次トレンドが自動表示
3	右上の「エクスポート ▾」 → 「クリップボードにコピー」または「.md でダウンロード」	どちらも Claude 指示文 + データが入った Markdown
4	Markdown 冒頭の指示文を読む（.md ダウンロード派はエディタで開いて確認）	3 枚フォーマット / 厳守事項 / 業界平均の取り方 = Claude にさせたいことが全部書いてある
5	Claude Code に Markdown をそのまま貼る	Claude が冒頭の指示文を読み、3 枚の報告書を生成（概況 / 内訳 / 展開）
6	出力を自部門の文脈に合わせて修正	AI が書いた草案 → 人が仕上げる、までが今日の実習

※ 業界平均（AI 導入率 / 中小企業の生産性格差）は Claude が当日 Web 検索する設計 — 研修日時点の最新値で比較。経営層配布は .html、原データ確認は .csv ダウンロード

30分、ここまで149分（説明 5 分 + 受講者 25 分）

「実習の手順です。6 ステップで進めます」

「Step 1-2 で CSV を出して、ダッシュボードに取り込む。これで 4 KPI が自動表示されます」

「Step 3 で右上の『エクスポート ▾』から、『クリップボードにコピー』か『.md でダウンロード』を選びます。どちらも同じ Markdown が出ます。冒頭に Claude への指示文 + データが 1 つにまとまっています」

「Step 4 が今日のキモです。クリップボード派はそのまま貼る前に少し中身を読む、.md ダウンロード派はエディタで開いて読む。冒頭に書かれているのは『出力フォーマット 3 枚（概況 / 内訳 / 展開）』『厳守事項（数値捏造禁止 / 因果断定禁止 / 担当者別を個人評価扱いにしない）』『業界平均は当日 Web 検索で取得して出典 URL 付き』など、Claude にさせたいことが全部書いてあります。これを自分で読んで把握してください。『AI に何を任せて、何を任せないか』を設計する側に回るための練習です」

「Step 5、Markdown を Claude Code にそのまま貼ります。Codespace のターミナルで起動した Claude Code に貼り付けるだけ。Claude が冒頭の指示文を読み取り、3 枚フォーマットで生成します」

「Step 6、出力をそのまま使わず、自部門の文脈に合わせて修正するところまでが実習。AI が書いた草案 → 人が仕上げる、の流れを体感してください」

「業界平均はあえて数字をハードコードせず、Claude が当日 Web 検索するよう指示してあります。研修日時点の最新値で比較できます。出典 URL も Claude に付けてもらいます」

「ダウンロード形式は 3 つ。今日の主軸はクリップボード or .md（Claude 分析用）。経営層に渡すなら .html（印刷可・3 枚 page-break 設定済）、原データ確認なら .csv」

「工程別効果を主軸にするのは、経営論点を業務変革に集めるため。ツール優劣比較を前面に出すと購買・好みの話に流れて経営層に響かない、という設計判断も指示文に書いてあります」

Part 8: あなたの成長をデータで証明する

01

講義 — AI 活用の KPI を測る

02

実習 — KPI ダッシュボードを完成させる

03

まとめ

3分振り返りタイム（目安 3 分 / 全 4 回締めくくり）

全 4 回の メモ・感想 を Claude Code に総括 させて記録する。

発見や気づき、研修内容の改善点があれば追記

「AI を使う」から
「AI を設計する」へ

全 4 回で身につけた視点を活かして、AI エージェントを設計できるパワーユーザーになってください

01

数字で
成果を語る

4 KPI + 工程別 + 成果品質で
上司にも経営層にも伝わる

02

研修データは
スタート地点

数件はサンプル。
実務で続ければ本物の曲線

03

Claude は
設計の対象

設計を積むほど
再現性が上がる
"設計者として向き合う"

学習サイクルは終わらない。
研修お疲れさまでした

10分（まとめ 5 分 + Q&A 5 分相当）、ここまで162分

「Part 8 のまとめ、そして全 4 回研修のクロージングです」

「持ち帰りメッセージは 3 つ。① 数字で成果を語る。② 8 件はスタート地点で、実務で続ければ本物の曲線になる。③ Claude は育てる対象 — ツールではなく仲間として、設計者として向き合う」

「研修全体のキャッチフレーズ『AI を使う → AI を設計する』に着地します。皆さんは 4 週間で、ChatGPT のユーザーから Claude Code の設計者へ変わりました。明日からの仕事でそれを使ってください」

「最後に、研修中に書いた CLAUDE.md / Skill / Hook / 設定はすべてリポジトリに残っています。InsightLog の記録を続ければ、来月には本物の KPI 曲線が見えてきます。学習サイクルは終わりません」

【進行ノート】Q&A は次スライドで明示。全体的に時間が押している場合、Q&A は CS 担当に振って、講師から 1 分で御礼の言葉で締める

Part 8

質疑応答

挙手 or チャットで
気軽にどうぞ

（10 分）

Part 8 で扱ったトピック

セクション	内容
講義	AI 活用 KPI 4 指標 / 市場データとの比較 / 5 分説明 3 枚フォーマット
実習	InsightLog 8 件の記録を KPI ダッシュボードに流し込む
まとめ	自分のデータで成長を証明する

暴走させないブレーキの設計

受講のヒント

リアクション

メモ・振り返り

Claude Code + ターミナル 2 つ

Part 7: 暴走させないブレーキの設計

講義 — なぜブレーキが必要か

実習 — 多層防御を組み込む

まとめ

Part 7 の ゴール

権限が広がるほど事故も大きくなる

多層防御 5 層を理解 +3 層をリポジトリに実装

Part 7 のスコープ

Part 7: 暴走させないブレーキの設計

講義 — なぜブレーキが必要か

実習 — 多層防御を組み込む

まとめ

なぜブレーキが必要か — 自律性を最大化するため

AI の能力をより引き出せる

絞らなければ、事故の規模が大きくなる

AI が暴走する 主要 3 経路

機密が外に出る

知ったかぶりで実装する

攻撃者の命令を忠実に実行する

多層防御 — ハーネスエンジニアリング

Sandbox

Permission

Hook

監査

Part 7: 暴走させないブレーキの設計

講義 — なぜブレーキが必要か

実習 — 多層防御を組み込む

まとめ

実習 — 全体の流れ

Step 1

Step 2

Step 3

Step 4

実習 — 手順 （目安 30 分）

実習 — 投入プロンプト（コピーして Claude に投げる）

Part 7: 暴走させないブレーキの設計

講義 — なぜブレーキが必要か

実習 — 多層防御を組み込む

まとめ

Part 7 まとめ — 構造で守る

Permission は権限ゲート

Hook は実行時ブレーキ

監査 Hook は事後検証層

3分振り返りタイム （目安 3 分）

質疑応答

Part 7 で扱ったトピック

休憩 ☕ 10 分

あなたの成長をデータで証明する

受講のヒント

リアクション

メモ・振り返り

Claude Code + ターミナル 2 つ

Part 8: あなたの成長をデータで証明する

講義 — AI 活用の KPI を測る

実習 — KPI ダッシュボードを完成させる

まとめ

Part 8 の ゴール

4 KPI で測る

KPI ダッシュボードで可視化する

Claude で3 枚の報告書を生成

Part 8: あなたの成長をデータで証明する

講義 — AI 活用の KPI を測る

実習 — KPI ダッシュボードを完成させる

まとめ

AI 活用の KPI を測る — 4 KPI

AI 利用率

工数削減率

平均作業時間

月間削減時間

業界での AI 活用 — 自分の数字を文脈に置く

大企業 19.0% vs 中小 1.3%

業務利用率 47.6%

経営層に 5 分で説明する 3 枚フォーマット

Step 1

Step 2

暴走させない
ブレーキの設計

Part 7 のゴール

権限が広がるほど
事故も大きくなる

多層防御 5 層を理解 +
3 層をリポジトリに実装

AI が暴走する主要 3 経路

知ったかぶりで
実装する

攻撃者の命令を
忠実に実行する

実習 — 手順（目安 30 分）

Permission は
権限ゲート

Hook は
実行時ブレーキ

監査 Hook は
事後検証層

3分振り返りタイム（目安 3 分）

あなたの成長を
データで証明する

Part 8 のゴール

4 KPI で
測る

KPI ダッシュボードで
可視化する

Claude で
3 枚の報告書を生成

実習 — 全体の流れ（目安 30 分）

実習 — 手順（目安 30 分）

3分振り返りタイム（目安 3 分 / 全 4 回締めくくり）

「AI を使う」から
「AI を設計する」へ

数字で
成果を語る

研修データは
スタート地点

Claude は
設計の対象