この記事は MICIN Advent Calendar 2025 の3日目の記事です。
前回はgenmeiさんの、Antigravityと気軽に作るChrome拡張機能 でした。
はじめに
こんにちは、情報セキュリティチームの高橋です。
皆さんは、セキュリティチームに対してどのようなイメージをお持ちでしょうか? 「あれもダメ、これもダメ」とルールで縛る、少し堅苦しい存在と思われているかもしれません。しかし、今年の私たちの動き方は少し違いました。変化のきっかけは、昨年の情報セキュリティマネジメントシステムの活動におけるマネジメントレビューで受けた、CEOからの次のような総評でした。
「限られたリソースの中で、セキュリティの質を維持・向上させつつも、生産性を高められるようにしてほしい」
これは、セキュリティレベルの担保は当然として、同時に従業員の生産性を向上させるという、これまでより一歩進んだオーダーです。しかし、これはコーポレートセキュリティとコーポレートITの機能を内包する情報セキュリティチームが目指す方向性と合致していました。
そこで私たちは、従業員の生産性を落とさないセキュリティを目指し、限られたリソースの中で「攻めと守り」を両立することに取り組みました。今回は、その具体的な4つの取り組み(ツール導入、AI活用、教育・訓練、対外活動)をご紹介します。
【ツール導入】「パスワードを探す時間」をゼロに:法人向けパスワードマネージャーの導入
MICINでは統合認証基盤(IDaaS)を導入し、可能な限りパスワードを利用しない運用を採用しています。しかし、SSOに対応していないSaaSや、SSOを利用するのに高額なオプション費用が必要となるサービスが世の中にはたくさん存在します。そういったSaaS利用の増加に伴い、ID・パスワードの管理は複雑になる一方となっていました。
これまで社内では、ブラウザの保存機能を使ったり、チームごとにスプレッドシートで管理したりと、管理方法が統一されていませんでした。これはセキュリティリスクであると同時に、「あのツールのパスワード、どこだっけ?」と探す時間が発生し、生産性を下げる要因でもありました。
そこで今年、法人向けパスワードマネージャーを全社導入しました。導入の決め手は、システムの操作性と、以下の2つの「生産性を上げる機能」でした。
① チーム内での安全・高速な共有
検証用アカウントや一部の共有サービスなど、複数人でパスワードを共有せざるを得ない場面が多々あります。これまではチャットツールなどでパスワードを送り合うなどの好ましくない運用が発生していましたが、パスワードマネージャーの導入により、フォルダやレコード単位で安全に権限委譲ができるようになりました。その結果、これまでの「パスワード教えて」のやり取りも少なくなりました。
② MFA(ワンタイムパスワード)の自動入力
個人的に一番便利だなと思うのはこれです。 セキュリティ強化のためMFA(多要素認証)は必須ですが、ログインのたびにスマホを取り出して6桁のコードを確認するのは地味にストレスです。パスワードマネージャーにはTOTP(Time-based One-Time Password)を保存し、ID・パスワードと共に(サイトによっては)自動入力できる機能があります。これにより、「強固な認証(MFA)」と「入力の手間ゼロ」を両立できました。
 パスワードマネージャーにより、多要素認証がブラウザ内で完結
|
|---|
もちろん、導入すればすべて解決というわけではありません。 移行時には既存の脆弱なパスワードや使い回しの是正に予想以上の工数を割くことになりました。また、「検証用・開発用アカウント」にはどこまで厳格なルールを適用するか、セキュリティスコアの合格ラインをどこに置くかなど、「安全性と生産性のバランス」については、現場の状況を見て慎重に検討を重ねながら運用をしています。
また、導入後の運用も「入れて終わり」にはしていません。 全体のセキュリティレベルを維持するために、週次でスコア状況をモニタリングしているほか、安全でないパスワードが設定された際には即座にチャットツールへ通知されるようになっています。この通知をトリガーに対象者へ個別に連絡し、安全なパスワードの利用をアナウンスするなど、ツールと自動化を使いつつ、最後は泥臭いコミュニケーションでフォローアップする体制を整えています。
 セキュリティ意識向上の心理的効果を高めるため、あえて人から是正連絡をアナウンス
|
|---|
【AI活用】安心して使える環境づくり:生成AI用「ガードレール」の内製開発
MICINでは昨年まで、チャットボット経由でのみ生成AIを利用できるように整備していました。しかし、生成AIツールの急速な進化を受け、今年の2月からはGeminiやNotebookLMなどのGoogle製ツールを、6月からはChatGPTとPerplexityを全社的に利用解禁しました。
業務効率化のために生成AIは今や必須のツールとなっていますが、同時に「個人情報の入力」や「学習利用」といったリスクも伴います。セキュリティ担当として一番簡単な対策は「利用禁止」や「厳しい申請制」にすることです。しかし、それでは「生産性を高める」ことに反してしまいます。また、市販のDLP(情報漏洩対策)ツールは高額で、かつ我々の柔軟なユースケースに合わない側面もありました。
そこで私たちは、禁止するのではなく、安全に走れるガードレールを用意するという方針のもと、プロンプトをモニタリングするChrome拡張機能を内製しました。
個人情報のリアルタイム検知の様子
主な機能と工夫
この拡張機能は、従業員がブラウザで生成AIを利用する際、バックグラウンドで以下の処理を行います。
-
個人情報のリアルタイム検知:名字、メールアドレス、マイナンバー、AWSアクセスキー、クレジットカード番号などを検知。「送信」前に「個人情報が含まれています」と警告します。
-
学習設定の自動チェック:ChatGPTやPerplexityの設定を確認し、学習機能がオンになっている場合はオフにするよう促します(GeminiはGoogle Workspace設定で管理)。
「生産性」を落とさないためのこだわり
特にこだわったのはユーザー体験です。セキュリティツールにありがちな誤検知で作業が止まるストレスを減らすため、テストデータを用いた検証時などは警告を一時的に止める(スヌーズ機能)ボタンを実装しました。これにより、利便性とセキュリティのバランスを保っています。
また、この拡張機能はプライバシーに配慮し、すべての処理がブラウザ内で完結する設計にしています。そのため、私たち情報セキュリティチーム側で「誰がどんなプロンプトを入力してブロックされたか」といったログは一切収集していません。
定量的なブロック数は計測できていませんが、社内からは「入力してはいけない情報が含まれていないか機械的にチェックしてもらえるので、安心して業務に活用できるようになった」という声をもらっています。 「監視」ではなく「安心」を提供することで、結果として心理的なハードルを下げ、積極的な活用(=攻め)を後押しできたと感じています。
技術的な詳細については、以下の別記事で解説していますので、ぜひこちらもご覧ください!
【教育・訓練】AI時代のセキュリティ教育と実践
セキュリティ教育というと、基本的なeラーニングの繰り返しになりがちです。しかし、攻撃手法は日々進化しており、教育内容も鮮度が命です。MICINでは四半期ごとにセキュリティ教育を実施し、「今の時代に即した教育・訓練」となるように毎回のテーマを設定しています。
セキュリティ教育:AI時代の「攻め」と「守り」を知る
生成AIの普及は、私たちに恩恵をもたらすと同時に、攻撃者にとっても強力な武器となります。今年のとある回では、この新しいリスクに対応するため「生成AI時代のセキュリティ」をテーマとして、2つの視点から研修を実施しました。
1つは、AIサービスを「提供する側」としての視点です。
私たちが開発するプロダクトにAIを組み込む際、悪意あるプロンプトによる情報の引き出し(プロンプトインジェクション)や、計算コストを浪費させる攻撃(EDoS: Economic Denial of Sustainability)などのリスクが伴います。これらの技術的なリスクに加え、AI事業者ガイドラインなどで示されているAIサービス提供者の責務を合わせて伝えることで、エンジニアだけでなく、ビジネスサイドも含め、これらを設計段階から考慮する重要性を共有しました。
もう1つは、AIを「利用する側」としての視点です。
「不自然な日本語のメールは詐欺」という常識は、AIの登場により通用しなくなりつつあります。また、音声・映像の合成によるボイスフィッシングやディープフェイクの脅威も現実のものとなっています。「AIならこれくらい簡単に作れる時代である」という前提に立ち、怪しい指示があった場合は別の手段で本人確認を行うよう、行動指針をアップデートしました。
 教育資料の作成にも生成AIを活用。Google GeminiのStorybook機能で漫画を作成し、理解しやすいように工夫しました
|
|---|
標的型攻撃メール訓練:Googleカレンダーを悪用したフィッシング
教育による知識のアップデートとともに、実践的な訓練や演習も重要です。今年実施したものの中で特徴的だったのは、Googleカレンダーの招待機能を悪用したフィッシングを模した訓練です。「勝手にカレンダーに予定が登録され、招待メールに記載されたURLからフィッシングサイトへ誘導される」という、近年増加している「正規サービスのメール送信機能を悪用した手口」を模倣しました。
 説明文の「こちら」をクリックすると、統合認証基盤の偽のログイン画面に遷移するようになっています
|
|---|
実施後、社内では以下のような「良い悲鳴」が上がりました。
- 「クリック先のURLがいつもと違ったから気付けたけど、メールのリンクを開くまではやってしまった」
- 「外部のアドレスから勝手にカレンダーを登録されるとは知らず、ノーガードで開いてしまった」
「知らなかった」「ヒヤッとした」という体験こそ最大の学びです。実際の事故が起きる前に、社内で「失敗する経験」を提供できたことは大きな成果でした。
【対外活動】知見を業界へ還元する:日本シーサート協議会での活動
セキュリティ対策は自社だけで完結するものではありません。MICINにおけるインシデント対応チーム「MICIN-CSIRT」は日本シーサート協議会(NCA)に加盟し、情報のキャッチアップだけでなく、自社の知見をコミュニティに還元する活動にも力を入れています。今年は以下の活動を通じて、セキュリティ業界全体の向上に微力ながら貢献しました。
セキュリティ教育検討WGでの事例発表
8月につくばで行われたセキュリティ教育検討WGにおいて、他社のセキュリティ担当者に向け、MICINにおけるセキュリティの啓発・情報発信の施策やその効果について事例発表を行いました。
 |
|---|
また、セキュリティ教育に関するワーキンググループの中でも、生成AIをどのように活用できるかというのは盛んに議論されており、有志が集まって「AI勉強会」を開催しています。その勉強会にて、MICINのセキュリティ教育における、生成AIの活用方法について事例発表を行いました。
 社内で発生したインシデント・ヒヤリハットを利用した教育の方法について発表
|
|---|
NCA Annual Conferenceでのワークショップ協力
12月18日、19日に開催される「NCA Annual Conference 2025」で実施される、セキュリティ教育検討WGおよびインシデント対応演習訓練WGのワークショップの企画・運営に協力しています。当日はセキュリティ教育や演習の実践的な知見を参加者全員で共有する予定です。既に定員に達しているものもありますが、ぜひお越しください!
- セキュリティ教育検討WG(12月18日)
- インシデント対応演習訓練WG(12月19日)
もちろん、発信するだけではありません。他社の優れた取り組みを自社に取り入れることにも貪欲です。 実は、先ほど紹介した「AIで作成した漫画の教育資料への活用」も、 NCAでの他社の取り組みをヒントに導入したものです。「セキュリティの堅苦しい内容をどう直感的に伝えるか」という共通の課題に対し、他社の成功事例をいち早くキャッチアップし、自社流にアレンジして実装しました。
MICIN-CSIRTでは、社内で培ったノウハウを発信し、他社からのフィードバックを再び自社へ取り入れるというサイクルを大切にしています。その中でもNCAでの活動は、「業界への貢献」であると同時に「自社の強化」でもあります。他社の視点や知見を吸収し、自社の教育・演習に取り込むことで、セキュリティの成熟度を高めることができました。
おわりに
以上、情報セキュリティチームの2025年の取り組みまとめでした。
今年を振り返ると、「守りの強化」と「攻めの挑戦」を同時に進めてきた一年でした。パスワード管理や教育・訓練といった“守るための仕組み”を整えつつ、生成AI活用の推進や対外活動など、“より良い働き方を実現するための攻めの施策”にも取り組みました。これらは別々の活動のようでいて、最終的には「従業員が安全かつ効率的に働ける環境をつくる」という一点でつながっています。
情報セキュリティチームでは、これからも変化する世の中の環境に合わせて、柔軟かつ強固な業務環境を作っていきます!
MICINではメンバーを大募集しています。
「とりあえず話を聞いてみたい」でも大歓迎ですので、お気軽にご応募ください!
Discussion