🛡️

生成AIによるセキュリティチェック対応効率化～工数大幅削減・属人性解消を両立する手法～

moneymog

2025/09/28に公開

!この記事は、KNOWLEDGE WORK Blog Sprint第28日目の記事になります。

 はじめに当社のSaaS事業の成長に伴い、お客様からのセキュリティチェック依頼が増加しています。当社Security Groupでは、多岐にわたるセキュリティ業務の中で、セキュリティチェック対応の工数が大幅に増大し、限られた人員で迅速な対応を求められる現実に直面していました。

従来の手動による回答案作成では、Security Groupでのレビュー体制により最終的な回答品質は担保できていたものの、効率性と属人性という2つの観点で課題を抱えており、根本的な解決策が必要でした。
そこで当社では、生成AIを活用した回答案自動生成による効率化を実現しました。結果として、回答案の作成工数を大幅に削減し、経験やスキルに関係なく一定水準の品質を満たす回答案を安定的に作成できるようになりました。生成AIが利用可能な環境であれば、今すぐ始められる実践的手法として、同じ課題を抱えるSaaS企業・スタートアップのセキュリティ担当者、情シス兼務の方に向けて、実装手順からプロンプト例まで、具体的な導入方法をご紹介します。

 当社Security Groupについて当社Security Groupは、セールスイネーブルメントAI事業におけるエンタープライズ水準のセキュリティガバナンス確立と、メガエンタープライズ顧客の信頼獲得を支える専門組織です。
組織の特徴

少数精鋭体制：限られた人員で幅広いセキュリティ業務を担当

部門連携型の運営：各領域で責任を持ちながら、部門を越えて密に連携

AI活用推進：生成AI等を積極活用した業務効率化・自動化を先進的に実施
主要業務領域


業務領域
具体的な業務内容


セキュリティ推進
全社戦略策定・改善プロジェクト推進

ガバナンス・リスク管理
ISMS運用・監査対応・規程整備

IT統制・サプライチェーン管理
クラウドサービス審査・委託先セキュリティチェック

教育・啓発
全社教育・意識向上活動

セキュア開発
設計レビュー・実装支援（セキュリティ要件提示等）

脆弱性管理
外部診断の実施・依存パッケージの脆弱性対応

セキュリティオペレーション
インシデント対応・アラート監視・ログ監査

お客様対応

セキュリティチェック対応・セキュリティ関連問い合わせ・ホワイトペーパー更新

社内対応
セキュリティ関連問い合わせ

現在の課題として、多岐にわたる業務に対し限られた人員での対応、一部業務の属人化・滞りがある中で、生成AI活用、業務委託活用、業務移管などによる最適化を進め、メガエンタープライズ要求水準への継続的な対応力強化に取り組んでいます。
本記事は、上記のセキュリティチェック対応業務において、生成AI活用による効率化を実現したSecurity Groupメンバーの実践報告です。
参考情報：ナレッジワーク Security Group詳細KNOWLEDGE WORK Dev Talk #14「エンタープライズ水準に応えるセキュリティ組織の柱」

 前提条件・環境
 対象業務の詳細セキュリティチェック対応とは、お客様からのセキュリティ確認項目に対する回答作成業務です。

統制状況・運用実態などの確認を目的としています。

確認項目の特徴：技術的統制、管理的統制、物理的統制など多岐にわたる項目への個別回答が必要

業務の重要性：お客様との契約継続・新規受注に直結する重要業務

業務の特性：専門知識が必要で、正確性と迅速性の両立が求められる

 必要な準備・環境今回の効率化で使用するのは以下の環境です。

使用ツール：生成AIサービス（Google Gemini、ChatGPT等）

必要データ：公式回答リスト（Security Groupが作成）

前提スキル：基本的なプロンプト作成能力（本記事で習得可能）

 従来の課題と解決アプローチ
 セキュリティチェック対応の従来フロー従来のセキュリティチェック対応は、以下のようなフローで実施していました。
お客様からのセキュリティチェックシートの受領

手動での項目ごとの回答作成・確認（今回の主な改善対象）
関連部署への問い合わせ（必要に応じて実施）
Security Groupでのレビュー
お客様への回答提出
今回の生成AI活用による効率化は、主に上記フローの「2. 手動での項目ごとの回答作成・確認」部分の改善を図ったものです。

 2つの根本課題このフローにおいて、以下の2つの課題が顕在化していました。

課題1：効率性の問題
手動での項目ごとの回答案作成による工数肥大化
それに伴う回答スピードの低下


課題2：属人性の問題
担当者の知識レベルによる回答案作成の非効率性
セキュリティ知識の属人化による作成工数のばらつき


 解決方針これらの課題を根本的に解決するため、以下のアプローチを採用しました。
効率性の問題への対応：生成AIによる回答案自動生成で、手動での作成工数削減とスピード向上を実現

属人性の問題への対応：公式回答リストによる標準化で、作成段階での知識レベル差による非効率性を解消

 解決方法
 公式回答リストの作成および保守運用体制の構築公式回答リストの役割
手動での回答案作成では、以下の問題が発生していました。
担当者が毎回同じような情報を調べ直すため工数が増大
知識レベルによって作成時の効率性にばらつきが生じる
この課題を解決するため、業界ガイドラインや過去実績を統合した「公式回答リスト」を作成しました。
参考にした情報源
以下の公的ガイドラインを中心に、体系的な回答データベースを構築：
①AIを用いたクラウドサービスの安心・安全・信頼性に係る情報開示指針（ＡＳＰ・ＳａａＳ編）（2022年2月15日公開）【メイン参照】
②ASP・SaaSの安全・信頼性に係る情報開示指針（ASP・SaaS編）第3版（2022年10月31日公開）【補完】
③「AI事業者ガイドライン（第1.0版）」ワークシート（別添7C）（2024年4月19日公開）【補完】
④過去のセキュリティチェックシート対応実績
公式回答リストの構造
各回答項目に以下の管理要素を付加し、参照効率を向上しました。


管理要素
目的
効果


回答内容
標準化された回答文
回答内容の統一化

主管部署
責任部署の明確化
更新・確認体制の整備

更新・確認日
情報の鮮度管理
回答の信頼性確保

作成例（事業概要項目の抜粋）


項目
回答
主管部署
更新日


事業者正式名称
株式会社ナレッジワーク
Corporate Planning Group
2025/3/28

法人番号
4010401151825
Corporate Planning Group
2025/3/28

設立年月日
2020年4月1日
Corporate Planning Group
2025/3/28

主な事業概要
大手企業向けにセールスイネーブルメントAI「ナレッジワーク」を開発・提供
Corporate Planning Group
2025/3/28

保守運用体制
セキュリティ以外に「ガバナンス・コンプライアンス」「サービス・アプリケーション」「インフラ・技術基盤」等の専門領域が含まれるため、Security Group単独ではなく、各領域の主幹部署が保守を担当する分散型体制を採用しています。

各主幹部署：担当領域の回答内容の更新・確認

Security Group：全体の回答品質管理・整合性チェック
この体制により、回答案作成時に参照すべき情報が一元化され、担当者による作成効率のばらつきを大幅に削減できました。

 公式回答リストを用いた生成AIによる回答案自動生成手動での項目ごとの回答案作成を効率化するため、公式回答リストを用いて以下のようなプロンプトを作成し、生成AIによる回答案自動生成を行いました。

プロンプトのポイントは、説明責任を果たせる回答案を作成することです。
プロンプト例
# 依頼
- 公式回答リストを踏まえた回答案を作成する。

# 目的
- お客様からセキュリティチェックシートへの回答依頼があり、回答を作成したい。

# 役割
- お客様への説明責任を果たすため、根拠を提示できる回答案を作成する。

# 評価方針
- 質問項目の順番が変更されていない。
- 必ず参照箇所（公式回答リストの項目）に紐づいて回答ができている。
- **公式回答リストに根拠のない項目や、裏づけが示せず説明責任を果たせない項目は回答に「回答不能」と記載する**

# 出力形式
- **以下の列**を持つ表を出力してください。
	1. No
	2. 質問項目
		- セキュリティチェックシートの項目を転記
	3. 回答
		- 選択肢：はい/いいえ/対象外/回答不能
	4. 詳細回答
	5. 参照箇所
		- 公式回答リスト 項目を記載
		- 例：主な事業概要
	6. 主幹部署
	
# 参考知識
## 公式回答リスト
[公式回答リスト一覧を貼り付け]
## セキュリティチェックシート
[回答すべき質問項目一覧を貼り付け]

使用手順

出力形式の調整：回答フォーマットに合わせて、出力形式を修正

データの貼り付け：上記プロンプトの以下の箇所に該当データを貼り付け

[公式回答リスト一覧を貼り付け]部分：公式回答リストをプレーンテキストでコピー

[回答すべき質問項目一覧を貼り付け]部分：セキュリティチェックシートをプレーンテキストでコピー


AI実行：生成AI（推論モデルを推奨）にプロンプトを入力

人的レビュー・精査：出力された回答案を必ず人的レビュー・精査
!プロンプト利用上の注意点
生成AIの利用は各組織のルールに従って利用してください。
生成AI出力は参考情報として活用し、最終確認は必ず人的レビューで実施してください。

 解決実装後の効果
 パイロット検証結果および工数削減効果検証対象：サンプルの選択式セキュリティチェックシート1件
項目数：40項目
項目の例
情報セキュリティの責任者を任命しているか
アクセス監視のためにアクセスログを取得・保存しているか
情報を保管・取り扱う区域において、施錠などにより第三者の立ち入りを制限しているか

正答率：最大90%
期待した回答および詳細回答の意図のずれがないことを確認
回答不能とすべき項目については、回答不能を正答として評価
Gemini 2.5 Pro、GPT-5、Claude 4 Sonnetのモデルで検証（87.5%～90%の正答率）
保守用のアカウントとSaaS利用者のアカウントなど、文脈が分かりにくい項目などでの誤答
工数削減効果：約52%削減（理論値）


作業内容
従来手法
生成AI活用
削減効果


セキュリティチェックシートの受領
5分
5分
同程度の工数

手動での項目ごとの回答作成・確認
5分/項目 × 40項目 = 200分
-
-

初期設定・準備
-
5分（プロンプト作成・AI指示）
-

AI出力の確認・軽微な修正
-
1分/項目 × 40項目 = 40分
-

関連部署への問い合わせ
30分
30分
同程度の工数

Security Groupでのレビュー
60分
60分
同程度の工数

お客様への回答提出
5分
5分
同程度の工数

合計
300分
145分
155分短縮（約52%削減）


 補足検証結果の位置づけ
正答率はN=1のパイロット検証のため、あくまで参考値
導入時は組織の環境に応じた個別検証を推奨
削減効果の前提
セキュリティチェック対応初心者が担当する場合での比較
実際の業務から推定した各工程の標準的な所要時間に基づく理論値
担当者のスキルやチェックシートの特性等により削減効果は変動
回答品質の確保
Security Groupによる厳格な専門レビューを従来と同程度実施
生成AI活用によっても、お客様への最終回答品質は従来と同等以上を確保
効率化と品質確保を両立した信頼性の高い対応を実現

 課題解決効果

 課題1（効率性）の解決セキュリティチェック対応フロー全体の工数を約52%削減（理論値）
それに伴う回答スピードの向上を実現

 課題2（属人性）の解決公式回答リストによる回答案作成の標準化
作成段階での属人化の排除により以下を実現
知識レベルに関係なく一定水準の品質を満たす回答案作成が可能
他部門や業務委託による一部業務移管の容易化
Security Groupの専門業務（レビュー等）への集中


 まとめ今回ご紹介した生成AIを活用したセキュリティチェック対応の効率化により、当社では以下の成果を実現しました。
効率性の大幅改善
セキュリティチェック対応フロー全体の工数を約52%削減（理論値）
回答スピードの向上により早期の回答提出を実現
属人性の解消
一定水準の品質を満たす回答案を安定的に作成
公式回答リストによる作成段階での属人化の解消
組織運営の最適化
標準化により業務移管が容易化
Security Groupがより専門的な業務に集中可能
人的レビューによる回答品質の確保体制の継続
今後の展望

今回のセキュリティチェック対応効率化を皮切りに、当社ではさらなるセキュリティ業務の生成AI活用を推進しています。社内研修の効率化、クラウドサービス審査の半自動化、問い合わせ対応の標準化など、様々な業務領域での実践を進めており、それらの成果も順次共有していく予定です。生成AIを活用したセキュリティ業務の自動化・最適化の可能性は、まだまだ広がっていくと確信しています。

 最後に本手法は生成AIが利用可能な環境であれば、すぐに始められる現実的なソリューションです。セキュリティチェック対応の効率化に課題を感じている組織の皆様にとって、この実践事例が業務改善の具体的な参考となることを願っています。
セキュリティ業務の可能性
今回ご紹介したような生成AI活用による業務効率化は、セキュリティ業務の新たな可能性を示しています。単純作業の自動化により創出された時間を、より戦略的で創造的なセキュリティ施策の検討に投資することで、組織全体のセキュリティレベル向上に貢献できます。
このような挑戦的なセキュリティ業務にご興味をお持ちの方、私たちと一緒にエンタープライズ水準のセキュリティ組織を築いていきませんか。
!🚀 採用情報｜ナレッジワークでは、セキュリティエンジニアを募集しています
【中途】【エンジニア】セキュリティエンジニア（マネジメント）
【中途】【エンジニア】コーポレートセキュリティ（エキスパート）
【中途】【エンジニア】コーポレートセキュリティ
KNOWLEDGE WORK Blog Sprint、明日9/29の執筆者はソフトウェアエンジニアのmokekoさんです。

お楽しみに！🎉
記事に関する注意事項本記事の事例は匿名化・抽象化したデータに基づいています。特定企業・サービス・契約を示すものではありません。

業務領域	具体的な業務内容
セキュリティ推進	全社戦略策定・改善プロジェクト推進
ガバナンス・リスク管理	ISMS運用・監査対応・規程整備
IT統制・サプライチェーン管理	クラウドサービス審査・委託先セキュリティチェック
教育・啓発	全社教育・意識向上活動
セキュア開発	設計レビュー・実装支援（セキュリティ要件提示等）
脆弱性管理	外部診断の実施・依存パッケージの脆弱性対応
セキュリティオペレーション	インシデント対応・アラート監視・ログ監査
お客様対応	セキュリティチェック対応・セキュリティ関連問い合わせ・ホワイトペーパー更新
社内対応	セキュリティ関連問い合わせ

管理要素	目的	効果
回答内容	標準化された回答文	回答内容の統一化
主管部署	責任部署の明確化	更新・確認体制の整備
更新・確認日	情報の鮮度管理	回答の信頼性確保

項目	回答	主管部署	更新日
事業者正式名称	株式会社ナレッジワーク	Corporate Planning Group	2025/3/28
法人番号	4010401151825	Corporate Planning Group	2025/3/28
設立年月日	2020年4月1日	Corporate Planning Group	2025/3/28
主な事業概要	大手企業向けにセールスイネーブルメントAI「ナレッジワーク」を開発・提供	Corporate Planning Group	2025/3/28

作業内容	従来手法	生成AI活用	削減効果
セキュリティチェックシートの受領	5分	5分	同程度の工数
手動での項目ごとの回答作成・確認	5分/項目 × 40項目 = 200分	-	-
初期設定・準備	-	5分（プロンプト作成・AI指示）	-
AI出力の確認・軽微な修正	-	1分/項目 × 40項目 = 40分	-
関連部署への問い合わせ	30分	30分	同程度の工数
Security Groupでのレビュー	60分	60分	同程度の工数
お客様への回答提出	5分	5分	同程度の工数
合計	300分	145分	155分短縮（約52%削減）

株式会社ナレッジワーク

株式会社ナレッジワークは「LIFE WITH ENABLEMENT できる喜びが巡る日々を届ける」をミッションに、セールスイネーブルメントAI「ナレッジワーク」を開発・提供しています。本ブログでは、ナレッジワークの技術情報を発信しています。

はじめに

当社Security Groupについて

前提条件・環境

対象業務の詳細

必要な準備・環境

従来の課題と解決アプローチ

セキュリティチェック対応の従来フロー

2つの根本課題

解決方針

解決方法

公式回答リストの作成および保守運用体制の構築

公式回答リストを用いた生成AIによる回答案自動生成

解決実装後の効果

パイロット検証結果および工数削減効果

補足

課題解決効果

課題1（効率性）の解決

課題2（属人性）の解決

まとめ

最後に

Discussion