GLOBIS TechPublicationへの投稿
🛡️

セキュリティチェックシート回答生成の自動化に取り組んでいる話 〜RAGと運用改善で実現する効率化〜

sho_naga
に公開
Security
運用改善
ai活用
idea

はじめに

こんにちは!グロービスでセキュリティ推進、SIRT運営など全社セキュリティを担当していますnagamineです 。この記事は、GLOBIS Advent Calendar 2025の6日目の記事です。

今回は、事業部門横断で取り組むセキュリティチェックシート(SCS)対応の効率化に向けた取り組みについて、事例を紹介したいと思います。

概要

グロービスでは、オンライン学習サービス「グロービス学び放題」や研修事業、ビジネススクールなどを運営しています 。これらのサービスに関する商談では、顧客からセキュリティチェックシート(SCS)の提出を求められることがあり、その回答を取りまとめるのに1件あたり数営業日をかけて対応していました。

この負荷を軽減するため、各プロダクト関係者の協力を得てヒアリング項目に必要なナレッジを整理 。そして、そのナレッジを元に、様々なフォーマットのSCSにそのまま一次回答を出力するRAGの構築を進めています 。この取り組みにより、回答生成にかかる負荷を大幅に軽減できる手応えが見えてきています。

背景・課題

セキュリティチェックシートとは

セキュリティチェックは企業が外部システムやサービスを導入する際に自社の事業継続および情報資産の保護を目的に、各社の情報資産の管理基準に沿ってセキュリティ対策や運用体制の妥当性を事前に確認・評価するために用いられるものです。

特に昨今では情報セキュリティへの社会的要求の高まり(ランサムウェア、データ漏洩の激化など)により、産業界全体としてセキュリティチェックはより厳格化・高度化していっています。

従来の業務フローにおける課題

セキュリティの重要性が高まる一方で、ビジネス環境の変化も激しい事業運営のスピード感も求められるためセキュリティチェックには迅速かつ正確な回答が必要となります。

そのような環境において特に以下の点で非効率な構造になっていました。

  • 負荷の集中とボトルネック

    プロダクト担当/情報システム/セキュリティ/法務などのチェック項目ごとに確認先が複数部署に跨り、1つのチェックリストの回答を取りまとめるのにも多大なコミュニケーションが発生し業務を逼迫 。これにより、法人営業部門全体で年間約300件の対応に約1,550時間の人的コストが発生していました。

  • ナレッジの未整備

    回答に必要なナレッジが整備されておらず、毎回回答作成に工数がかかる。

  • コミュニケーションの煩雑化

    顧客との認識すり合わせや設問の意図理解に時間がかかったり、回答フローの煩雑化とラリーが多発したりすることで、対応スピードが低下していました。

解決策:RAGと組織的な対応スキームの構築

この状況を打開するため、「迷わず、ムダなく、信頼は守る」をスローガンに、効率的な対応を可能にする仕組みづくりに着手しました。

①組織的な対応スキームの改善

  1. セキュリティ対策に関する公開情報(ホワイトペーパー)の整備・公開
    • 共通的な前提情報をあらかじめサポートサイトで提示。
    • ホワイトペーパーで顧客説明を標準化し、前提確認・認識違いの発生を未然に防ぎます。
  2. 不明点の確認ルートの明確化
    • プロダクトごとの確認先、確認ステップの可視化や、コミュニケーションフローを整理することで不要なラリーの削減とスピードアップを実現。

②ナレッジベースの構築

コアとなる効率化施策の2つ目が、ナレッジベースの構築です。

  1. ナレッジベース化: 共通の想定質問項目に対し、プロダクトごとの回答をナレッジベースとして集約しています。
  2. 定期的な回答棚卸し運用: 集約したナレッジの精度がセキュリティチェックシートの回答精度に直結するものになります。そのためプロダクトでの運用や仕様のアップデートが発生した際には都度ナレッジも合わせて更新することとし、合わせて定期的な棚卸しを我々セキュリティ担当からの発信で実施する形で運用を構築しています。

③生成AI活用:RAGによる回答生成のワークフロー

コア施策の3つ目はナレッジを元にしたRAG環境の構築です。

セキュリティチェックシートの回答生成では**Geminiを使用しRAGを構築し、**セキュリティチェックシートの初期ドラフト作成の自動化、効率化を実現しています。

  1. 入力と連携: 最初のステップでは取りまとめ担当がRAG環境に対象のチェックシートをアップロードします。
  2. 回答生成: Gemini APIを使った回答生成エンジンが以下の流れで回答を生成・出力します。
    1. セキュリティチェックシートの構成を解析(大項目/中項目/小項目など質問の階層構造を解釈)
    2. Google Drive上のナレッジを読み込み各設問に対する回答を生成
    3. 設問、回答(yes/no/回答不可、説明)、回答根拠としたナレッジをセットで一次回答を出力
  3. 確認と提出: 出力された一次回答に対し、取りまとめ担当が回答内容と回答根拠の妥当性を確認。不明点や追加確認項目について、前段で整理したコミュニケーションフローに沿ってプロダクト担当へ確認。回答を取りまとめ顧客へ提出。

回答生成RAGの画面イメージ

<入力ファイルのアップロード>

<一次回答(画面に記載の内容と同じものがファイルに記載し出力されます)>

今後の展望と期待:セキュリティ評価の共通化・効率化

セキュリティチェックシートのフォーマットは各社各様で様々なものがあるため、今回構築した回答生成RAGでの一次回答生成率はおよそ5割〜6割というところが現状となっています。

引き続きチューニングを続け回答可能なバリエーションの幅への対応と回答精度の向上に取り組んでまいります。

同時に、私たちはこの取り組みを単なる社内効率化で終わらせず、企業間取引におけるセキュリティ評価のあり方自体をよりスムーズに、透明性の高いものに変えていきたいと考えています。

  • 目指したい姿: 企業間で一定の共通フォーマットで双方のセキュリティ対応状況が共有・評価されることで安心でスムーズなビジネス環境の実現。
  • 具体的な取り組み: 現在経済産業省で検討が進められている 「サプライチェーン強化に向けたセキュリティ対策評価制度」 といった新たな標準化に向けた枠組みも取り入れてセキュリティチェックリストの整備と公開を進め、セキュリティ対策への取り組みに関する情報提供を強化していきたいと考えています。

このような共通の枠組みの上でセキュリティ評価が進むことで、企業間の透明性の高い情報共有が実現し、よりスムーズなビジネス環境の構築につながることを期待しています。

最後までお読みいただきありがとうございました。

GLOBIS Tech
GLOBIS TechPublication

日本発・世界をリードするEdTechカンパニーを目指す、株式会社グロービス デジタル部門のエンジニアが運営するPublicationです。 X(Twitter)でも情報発信中!

Discussion