Win11移行の次は何が来る?──企業IT担当者が直面する“三つの新課題”

Win11移行の次は何が来る?──企業IT担当者が直面する“三つの新課題” TECH

2025年秋。長らく企業のIT部門を悩ませ続けてきた「Windows 11移行」対応も、いよいよ大きな山場を越えつつある。互換性検証や古いアプリ資産の棚卸し、ユーザー教育やデバイス更改──多くの担当者にとって、ここ数年最大のプロジェクトだっただろう。

しかし「移行騒動が終わったから一息つける」…そう思うのは早計だ。実はすでに、次の関心事は明確に姿を現している。生成AIの本格導入、セキュリティ規制の強化、そしてクラウド運用コストや省エネ・ローカライゼーションといった新たな監査項目。どれも経営層の注目を集め、IT部門が正面から対応を迫られるテーマである。

本稿では「Win11移行の次に来る三つの新課題」と題し、企業IT担当者がこれから直面するであろう焦点を整理する。さらに、公的資料や国際規格に基づく動向を交えながら、「今やるべきこと」を具体的に示していく。移行の先に待つのは“平穏”ではなく、“再編のステージ”である。

生成AI導入と社内ルール整備

「生成AIの導入は、もう一部の先進企業だけの話ではない。」
国内調査によれば、すでに 企業の4割以上が生成AIを業務で利用 しているとされる(JUAS調査 2025年)。わずか1年前には3割にも満たなかったことを考えれば、その伸びは加速度的だ。加えて、PwCが2025年春に実施した国際比較調査でも、日本企業の導入率は着実に上昇していることが示されている。

しかし、その一方で「期待を上回る成果を実感している企業は少数派」というのも現実である。AIが日常業務に組み込まれるペースは速いが、成果とリスクのギャップを埋める仕組みが追いついていないのだ。

「追認導入」のリスク

多くの企業で見られるのは、現場社員が先にAIを使い始め、組織が後からルールを追認する というパターンだ。CopilotやChatGPT Enterpriseといった正規ライセンス導入の裏側では、依然として個人アカウントによる利用や、情報持ち出しリスクが潜んでいる。

これは単なる“シャドーIT”の再来にとどまらない。プロンプトに入力された情報が外部に残る可能性、誤情報がそのまま顧客文書に使われる危険性、さらには著作権や商標の侵害といった法的リスクまで抱え込むことになる。

リスク管理体制はまだ発展途上

KPMGの2025年サイバーセキュリティ調査では、AIリスク管理の仕組みを整備済みと答えた企業は18.4%に過ぎない と報告されている。導入が急速に進む一方、リスクガバナンスはまだ途上であることを示すデータだ。

つまり「AIを導入した」という事実は、スタート地点に過ぎない。これから本格的に問われるのは、どう安全に・効率的に・責任を持って利用するか である。

IT担当が取り組むべき初動

ここで企業IT部門がやるべきことは明確だ。

  • 利用ポリシーの策定:プロンプトに入力してよい情報/してはいけない情報を明文化。
  • 利用ログの記録・分析:誰がどのAIをどう利用したかを可視化し、不適切利用を早期発見。
  • セキュア環境の整備:VDI上でAIを利用させる、あるいは社内専用LLMを試験導入するなど、安全な利用チャネルを確保。
  • 教育と啓発:社員が「何が危険か」「どう使えば安全か」を理解するための研修。

これらを後回しにすれば、AIは単なる“危うい便利ツール”の域を出ない。逆に、いまの段階で基盤を固めれば、来年以降の業務効率化や競争力強化に直結する。

セキュリティ規制と互換性爆弾

Windows 11移行の陰で、もうひとつ静かに進んでいる大きな変化がある。それが レガシー技術の廃止とセキュリティ規制の強化 だ。表面的にはニュースになりにくいが、業務システムに直撃する“互換性爆弾”が時限式に仕掛けられている。

廃止が迫るレガシー技術

代表的なのが VBScriptの完全廃止 である。2027年までの段階的な廃止スケジュールが示され、OfficeやIE互換環境に依存してきた業務システムは確実に影響を受ける。さらに ActiveXや古いCOMコンポーネント に依存するアプリケーションも、今後のWindows更新で軒並み動かなくなるリスクを抱える。

また、通信面でも TLS1.2以下の無効化 が予定されており、古いVPN装置や業務用ミドルウェアが一斉に通信不可に陥る可能性がある。これらは「一夜にして業務が止まる」シナリオを現実にしかねない。

強まるゼロトラスト要求

こうした互換性問題に加え、外部環境も厳しさを増している。サプライチェーン攻撃やBEC(取引先なりすまし)被害は増加の一途をたどり、規制当局は企業に ゼロトラスト体制 を強く求め始めている。
具体的には、以下のような要素が監査や顧客要求に組み込まれつつある:

  • 多要素認証(MFA)の全社導入
  • 条件付きアクセス制御(時間・場所・端末制限)
  • ログ監査と異常行動検知

これらは単なる「セキュリティ強化」ではなく、契約条件や入札要件として明記されるケースが増えている。

企業IT担当への重圧

IT部門が難しいのは、これらの課題が「移行プロジェクト」として表面化しにくい点だ。Win11のように「期限が明確で、予算をとりやすい大きなイベント」ではないため、経営層に危機感を伝えづらい。しかし、放置して互換性爆弾が炸裂すれば、損失はWin11移行の比ではない。

IT担当が取るべき道は、今のうちに影響システムを洗い出し、廃止予定の技術から脱却する計画を立てること である。ゼロトラスト移行も「後回し」ではなく「次の当たり前」として組み込み、ユーザー教育や運用プロセスを段階的に切り替えていく必要がある。

クラウド費用・省エネ・ローカライゼーション

Win11移行の次に待つ課題は、ソフトウェアやセキュリティだけではない。クラウド利用が標準化した今、企業IT部門に突きつけられるのは 「持続可能性」と「経済合理性」 だ。

SaaS課金の“重み”

多くの企業がこの数年でクラウド移行を加速させた。しかし、同時に露呈しているのが 利用料の高止まり である。ユーザー数課金のSaaSを複数抱えることで、経営層から「クラウド費用を見直せ」という圧力が強まっている。
加えて、生成AIや分析基盤など新規サービスを追加するほど請求額は膨らみ、オンプレ回帰やマルチクラウド最適化 が再び議論に上る状況となっている。

省エネと消費電力監査

もう一つ見過ごせないのが 省エネの監査対象化 だ。
国際規格のISO 50001(エネルギーマネジメント)やISO 14001(環境マネジメント)では、組織に対しエネルギー使用量の把握と改善計画を求めている。かつては製造業や物流業が中心だったが、近年は データセンターやITインフラも監査対象 に含まれるケースが増えている。

「クラウドを使っているから安心」という時代は終わった。むしろクラウド利用の拡大によって、自社がどれだけ電力を消費し、どの程度の排出削減計画を持っているか が問われるようになっている。

データローカライゼーションの影

さらに、各国で強まるのが データローカライゼーション規制 である。EUのGDPR、インドや中国のサイバーセキュリティ法など、データを国外に持ち出すことを制限するルールが相次いでいる。
日本でもデジタル庁が「越境データの利用実態」を調査しており、今後は国内保存の証跡を求められるシーンが増える可能性が高い。

もし顧客データが海外リージョンのクラウドに保管されていた場合、それだけで監査で「✕」を突きつけられる未来は十分にあり得る。

“フェイク監査報告書”が映す現実

仮に監査報告書が作成されれば、そこには次のようなチェック項目が並ぶだろう。

─────────────────────────────
 監査報告書(抜粋) 2025年度 ITインフラ監査
─────────────────────────────

【対象】某社 ITシステム部門
【監査日】2025年7月15日
【監査人】第三者監査法人

評価区分: ✔=適合 △=一部不備 ✕=不適合

─────────────────────────────
1. データローカライゼーション対応
判定:✔
コメント:主要データは国内データセンターに保管。規制要件を満たす。

─────────────────────────────
2. 消費電力モニタリング体制
判定:△
コメント:電力使用量は計測済みだが、削減目標の明確化が未実施。

─────────────────────────────
3. AI利用に関する情報管理ポリシー
判定:✕
コメント:生成AI利用ルールが未整備。社内規程策定を推奨。

─────────────────────────────
総評:
データ管理は適切だが、省エネとAIリスク管理に大きな改善余地あり。
─────────────────────────────

こうしたチェックリストが監査の場で突き付けられる未来は、決して空想ではない。ISO 50001や27018のような国際規格がすでに存在し、各国規制も年々強化されている。IT担当者が「準備不足」で臨めば、✔よりも✕が並ぶ可能性は十分にある。

まとめ:IT担当が今やるべきことリスト

Win11移行が一段落したからといって、企業IT部門に安息の時間はない。すでに次の課題は迫っており、それは「AIのガバナンス」「セキュリティ規制」「クラウド最適化と省エネ・ローカライゼーション」という三つの波である。

では、IT担当者は今なにをすべきか。ここでチェックリストとして整理しておこう。

生成AIの利活用とリスク管理

  • AI利用ポリシーの策定(入力禁止情報の明確化)
  • 利用ログの収集と監査(誰が・いつ・何を使ったか)
  • セキュア環境での利用推奨(VDIや社内LLMの検討)
  • 社員教育の実施(正しい利用方法とリスク認識)

セキュリティ規制と互換性対策

  • VBScript/ActiveX依存の洗い出し(代替手段の準備)
  • TLS1.2以下通信の廃止対応(VPNや古い装置の更改計画)
  • ゼロトラスト体制の整備(MFA、条件付きアクセス、ログ監査)
  • 規制・顧客要求への追随(入札条件や契約条項の確認)

クラウド費用・省エネ・ローカライゼーション

  • クラウド/SaaSの費用分析(アカウント・サービス利用実態の棚卸し)
  • エネルギー使用量の可視化(データセンター/サーバーの消費電力計測)
  • 削減KPIの策定(ISO 50001に準じた改善計画)
  • データ保存場所の確認(海外リージョンに依存していないか)

結び

Win11移行は確かに大仕事だった。だが、それは終着点ではなく、新しいステージの始まりに過ぎない。
次の監査や規制が来たときに「✔」を積み重ねられるか、それとも「✕」が並んでしまうかは、今この時期の準備 にかかっている。

企業IT担当者が果たすべき役割は、移行の達成ではなく「未来に備えた再編」である。