🎸

【n8n×Gemini】情シス不要!スプシとAIで作る「全自動セキュリティ監査ボット」(IPA SECURITY ACTION対応)

に公開
自動化
Security
情シス
n8n
Gemini
tech

はじめに:セキュリティ宣言は「作った後」が一番大変

昨今、大手企業との取引やIT導入補助金の要件として 「IPA SECURITY ACTION(セキュリティ対策自己宣言)」 の取得が求められるケースが増えています。特に「★★(二つ星)」を取得するには、自社の「情報セキュリティ基本方針」を定めて公開する必要があります。

しかし、専任の情シス担当者がいない数名規模のチームにとって、本当の地獄は方針を定めた「後」にやってきます。
方針に「パスワードを定期的に変更する」「定期的にアカウントの棚卸しをする」と書いたものの、日々の業務に追われて誰も監査を回さず、完全に形骸化してしまうのです。

そこで今回は、n8nとGemini(生成AI)、そしてGoogleスプレッドシートを組み合わせて、 「現場の負担ゼロで毎月自動でセキュリティ監査とアラート通知を行い、証跡(ログ)まで残すボット」 の作り方を解説します。

💡 ワークフローの全体像(処理の流れ)

複雑なActive Directory(AD)やIDaaSの連携は使いません。小規模チームの実態に合わせ、「Googleスプレッドシートのアカウント台帳」をマスターとして処理します。

  • Schedule Trigger: 毎月1日など、指定した日時に自動起動。

  • Google Sheets (Read): スプレッドシートの「アカウント台帳」を読み込む。

  • Filter (Code): 「パスワード変更日から90日以上経過しているユーザー」をプログラムで自動抽出。

  • Gemini: 対象者に対し、毎月異なる「セキュリティのプチ豆知識」を交えた人間味のあるアラート文面を生成。

  • Teams / Slack: 生成されたメッセージを対象者に自動送信。

  • Google Sheets (Write): 「〇月〇日に監査を実施し、〇名に通知した」というエビデンス(監査ログ)を別シートに自動追記。

🛠️ 構築のポイント(ここがキモ!)

この自動化を「ただの通知ボット」で終わらせないための、実用的なハックを2つ紹介します。

1. Geminiで「Bot無視症候群」を防ぐ

システムからの「パスワードを変更してください」という毎月同じ定型文は、3ヶ月目には誰も読まなくなります。
そこで、Geminiのプロンプトに以下のような指示を与え、毎月異なるセキュリティ豆知識を冒頭に挿入させます。

あなたは社内の情報セキュリティ管理者です。
以下の対象者に対して、チャットツールで送信する「パスワード変更のお願い」のメッセージを作成してください。
[要件]

  1. 毎月同じ文面だと現場に無視されるため、冒頭に「今月のセキュリティ・プチ豆知識(例:最近のフィッシング詐欺の手口、パスワードの使い回しの危険性など)」を1〜2文で入れてください。
  2. パスワード変更から90日以上経過しているため、速やかに変更するよう促してください。
  3. 全体的に丁寧かつ、少し親しみやすいトーンにしてください。

これにより、「お、今月はフィッシング詐欺の話か」と現場の目を引き、行動を促す確率がグッと上がります。

2. 「監査をやった」というエビデンスを自動で残す

IPAの審査や、取引先からのセキュリティチェックシートに回答する際、「本当に運用しているのか?」の証明が必要になります。
最後のGoogle Sheetsノードで、以下のようなデータを「監査ログ」として自動追記(Append)させておきます。

  • 監査実施日:2026-02-23

  • 抽出された対象者数:2名

  • ステータス:完了

このシートの存在自体が、立派な 「セキュリティ運用が行われている強力なエビデンス」 になります。

🎁 テンプレート配布

このワークフロー(JSON)はGitHubで公開しています。インポートしてご自身の環境に合わせてカスタマイズしてみてください。

👉 GitHub: 24 Security Audit Bot (workflow.json)
https://github.com/alternativescom/n8n-automation-workflows/tree/main/24-security-audit-bot

※【追記】さらにセキュリティを強固にする『シャドーIT検知ボット』も公開しました!
https://github.com/alternativescom/n8n-automation-workflows/tree/main/31-shadow-it-detector

こちらは、いずれ詳細な「作り方」も公開させていただくのでお待ちください。

「情報セキュリティ基本方針」のひな型が欲しい方へ

「自動化の仕組みは分かったけれど、そもそも大前提となる 『情報セキュリティ基本方針』の文章をどう作ればいいか分からない」という経営者や情シス担当者の方に向けて、小規模企業向けに最適化したWordテンプレートを無料配布しています。

👇 以下のページからダウンロードして、そのまま自社の宣言にお使いください。

https://alternativecomputers.org/ipa-security-action/

(※ボットの導入支援や、テレワーク環境のセキュリティ構築に関するご相談も上記ページより承っています!)

おわりに

セキュリティ対策は、システムをガチガチに固めることだけが正解ではありません。
身の丈に合ったルール(スプレッドシート管理)を作り、その運用をAIと自動化ツールで確実に回す。これが、リソースの限られたチームにおける最強の防衛策です。ぜひお試しください!

https://alternativecomputers.org/

💡 中小企業の「名もなき手作業」をゼロにする自動化ノウハウ

この記事で紹介したようなn8nのワークフローを活用し、企業の泥臭いExcel転記やコピペ作業を根絶するための具体的なレシピと戦略を、2冊のホワイトペーパー(PDF)にまとめました。

現場の担当者様向け、経営者様向けの2種類を無料で公開しています。自社の業務効率化のヒントとしてお役立てください。

👉 【無料ダウンロード】AI・自動化ノウハウ資料はこちら

Discussion