こんにちは、Plus synergyの藤村です。

AIの技術革新が目覚ましい中、コンサルティング業界にいると、最近あることが気になっています。

同じ「AIを活用しています」と言う人間でも、その中身があまりにも違いすぎるのです。まるで別の惑星の話をしているかのように。

まず、個人の主観をたっぷり入れて状況を整理します。

コンサルティング業界のAI活用は、今おおざっぱに言って二極化しているような気がします。

一方には、大手コンサルティングファーム。主にエンタープライズ（大企業）相手のビジネスをしていて、社内やクライアント先のセキュリティポリシーはがちがちに固められています。

具体的にどんな制限があるかというと、こんな感じです。

まず利用できるAIツール自体が承認済みリストに限定されています。「ChatGPT Enterpriseならいいけどフリー版はNG」「Copilot以外のAIサービスへの業務情報の入力は禁止」という形で、ホワイトリスト管理されているケースが多い。さらに、顧客のデータは「機密」「社外秘」「公開可」といったデータ分類（データクラシフィケーション）ポリシーがあり、機密情報は外部サービスのAPIに投げることが原則NG。万が一クライアントのデータが外部のLLMに学習データとして使われでもしたら、NDA違反で大問題になります。

加えて、DLP（データ損失防止）ツールが端末に入っていて、一定の文字列パターン（個人情報、契約番号など）が外部に送信されると自動でブロックされることもある。そして当然、監査ログが残るので、何をどのツールに入力したかはあとから追跡できる状態になっています。

要するに、「便利そうだからとりあえず使う」ということが、仕組みとして難しくなっているわけです。

一方、ブティックファームやIT系のフリーランス界隈では、全く別の景色が広がっています。

Claude Codeを使って、Obsidianと連携させ、個人のナレッジベースを自動で整理・更新するワークフローを作りました！議事録や調査メモを投げ込むと、関連ノートを自動でリンクして、後から検索しやすい形に構造化してくれます！いわゆる「第二の脳」をAIが勝手に育ててくれてます！　とか

ClaudeをSlack・Notion・Salesforceといった業務SaaSと接続し、「Slackの会話を要約してNotionのプロジェクトページに反映して」みたいな横断的な自動化を実現しました！とか

ローカルLLM使い始めました！OllamaでLlamaやMistralなどのオープンソースモデルをオンプレで動かし、「情報を外に出したくない案件はこっちで処理する」という使い分けをしています！とか　（いずれももう古いと言われるかもしれませんが、、）

この層の人たちは、AIを「ツールとして使う」ではなく「自分の業務環境に組み込んで育てる」という感覚でいます。

そして大手ファーム側の人間から見ると、こういった動きは「いいな、うらやましい」と思いつつも、「でもうちには無理だよね」という結論になりがちです。

その気持ちは、実はよくわかります。

エンタープライズのAI導入が遅い理由は、単なる保守性ではありません。具体的な要件がいくつも積み重なっているのです。

たとえば——

ベンダーセキュリティ審査。新しいSaaSやAIツールを導入するには、情報セキュリティ部門によるベンダー審査が必要で、これが早くて数ヶ月、遅ければ半年以上かかることもあります。SOC2レポートの提出を求められたり、データ保管場所が日本国内かどうかを確認したり（データレジデンシー要件）、SLAの内容を精査したり。

ISMS・ISO27001への準拠。認証を取得している会社は、新ツールの導入が既存のISMSの管理策と矛盾しないか、リスクアセスメントをやり直す必要があります。これが意外と時間のかかる作業です。

SSO・SAML連携の要件。大企業では、全社員が使うツールはシングルサインオン（SSO）に対応していることが必須条件のところが多い。「個人アカウントで使えばいいじゃないか」では済まないのです。

変更管理プロセス。何万人もいる組織でツールを展開するには、トレーニング計画、ヘルプデスク対応、利用ガイドラインの整備が必要で、「ちょっと試してみる」というわけにもいきません。

こうした要件を一つひとつクリアしていくと、「ちゃんと使えるようになる頃には、また新しいAIが出ている」という笑えない事態になりがちです。

ただ、そんな大手コンサルファーム（今更だが、あんま内情知らんけど）とかクライアントとなるエンタープライズの現場でも、Microsoftのサービスは例外的に早く普及しやすいという現実があります。

なぜか。

個人的には、Microsoft Entra ID（旧Azure AD）と既存の権限設定がそのまま使えるのがでかいと思っています。

大企業の多くはすでにMicrosoft 365環境を使っています。SharePointのドキュメントに設定された「このファイルはこの部署しか見られない」という権限が、Microsoft Copilotにも自動的に引き継がれます。つまり、「営業部のAさんがCopilotに質問しても、経営企画部だけに共有されている資料は回答に使われない」という制御が、追加設定ゼロで実現できる。

これは実はかなり重要なポイントです。新しいAIツールを入れると、権限管理を一から設計し直す必要が出てくることがほとんどです。でもMicrosoftのエコシステムの中にいれば、10年かけて積み上げてきたアクセス制御の資産が、そのままAI時代に持ち越せますから。

セキュリティ担当者がいちばん嫌がるのは「わからないこと」です。Entra IDで管理されていれば、監査ログも既存のSIEM（セキュリティ情報管理システム）に流れ込むし、コンプライアンス部門も既知の仕組みで対応できる。「安心して承認できる」という、地味だけど決定的なアドバンテージがあります。

ただ一点だけ付け加えると、「Copilotを入れました＝AI活用できています」で思考が止まってしまうのは、少し危ういと感じています。

ツールは手段であって、目的ではありません。

本当に重要なのは、AIを入れることで業務プロセスそのものが変わったかどうかです。

最近、個人的に気づいたことがあります。

以前は、「AIに頼んでも一発でいい資料ができないから、結局自分でやった方が早い」と思うことが多々ありました。おそらく同じ経験をされた方は多いのではないでしょうか。

でも、それは順番が逆だったのかもしれません。

フォーマット、トンマナ、使うイラストの雰囲気、グラフのスタイル。これをAIエージェントにしっかり教え込んで、次回以降は自動でできるようにする。その一手間を惜しんで「やっぱり自分でやろう」と判断してしまうことが、長い目で見ると実は怠惰な選択なのかもしれない。

AIに任せることは、サボりではありません。むしろ、本来自動化できるタスクをわざわざ人間がやり続けることこそが、怠惰と呼ぶべきかもしれないのです。（少しきつい言い方ですが、自戒を込めて）

社内のAIエンジニアが、なかなか印象的な表現を使っていました。

「AIエージェントは盆栽みたいなものだ」と。

盆栽は、ほったらかしでは育ちません。毎日少しずつ手をかけて、形を整えて、はじめて美しくなる。AIエージェントも同じで、使いながら育てていくものです。フィードバックを与えて、例外ケースに対処して、精度を上げていく。

逆に言えば、「AIに頼らず自分がやった」という選択は、エージェントが成長する機会を奪っていることになります。そして同時に、自分自身がAIリテラシーを高める機会も失っている。

これは、なかなか痛い指摘でした。

話をまとめます。

大手ファームには大手ファームの現実的な制約があり、それは決して無駄なものではありません。顧客情報を守るための仕組みは、信頼の基盤でもあります。

一方で、ブティックやフリーランス側が積み上げているClaude CodeやMCP連携、ローカルLLMといった実践知は、近い将来エンタープライズにも応用されていく技術です。「今うちには関係ない話」で片付けてしまうのは、もったいない。

どちらの立場にいても、共通して問い続けるべきことがあります。

「この業務、AIに任せられないか？」

ツールを持っているかどうかよりも、この問いを業務の隅々に向けられるかどうかが、今後の分岐点になると思います。

事業規模や特性、セキュリティ要件によってアプローチは違っても、マインドセットの方向は同じはずです。

とりとめのない話になって今しましたが、そういう視点でAIソリューションを一緒に作りたい方、AIでクライアントの業務変革に貢献したい方、うちで絶賛採用中です。

盆栽、一緒に育てましょう。