AIとナレッジ管理で変えるセキュリティチェック対応

AI ナレッジマネジメント 開発効率化

セキュリティチェックシート、毎回苦しんでいませんか?

こんにちは、YOUTRUSTでSREとエンジニアリングマネージャーをしている須藤(YOUTRUST/X)です。

私はこの課題を引き継ぎ、ISMS対応の知見とClaude CodeとObsidianを組み合わせることで、対応時間を1件あたり30分以内(70〜80%削減)まで短縮しました。 この記事では、そのプロセスと得られた学びを紹介します。

セキュリティチェック対応の課題

私が入社して間もない頃、エンジニアチームの課題として浮上していたのが、顧客から届くセキュリティチェックシートへの対応でした。

セキュリティチェックシートは、SaaSを導入する際に必ず出てくる“セキュリティの健康診断”のようなものです。暗号化方式やアクセス制御、監査ログ、インシデント対応など、幅広い質問が数十〜数百並びます。営業の最終段階で提出を求められることが多く、これによって契約が左右されることもあります。

当初の私は巻き取ったものの知識が十分でなく、他のエンジニアから返ってきた内容をそのまま転記するだけ。正直「作業」としてこなす感覚が強く、自分で理解して答えられているわけではありませんでした。

1件あたり1〜3時間、月に2〜3件来ると月6時間以上。しかも顧客ごとにフォーマットや項目が微妙に異なり、毎回ゼロから調べ直すことも多く、効率化の必要性を痛感していました。

ISMS対応で理解が深まる

2024年、YOUTRUSTのISMS(ISO/IEC 27001)認証更新のタイミングで、私がセキュリティ担当を引き継ぎました。

ISMSは「情報セキュリティマネジメントシステム」の国際規格です。組織が持つ情報資産をどう守るかの仕組みを作り、それが機能しているかを第三者が審査します。

正直、最初はセキュリティについて体系的に学んだ経験はありませんでした。ですが、対応を進めるうちに、セキュリティチェックで問われているのは「各業務プロセスにおけるセキュリティリスクを把握し、それを管理する仕組みがあるか」ということだと理解できました。

それ以降、回答の質が変わりました。 「バックアップは取っていますか?」という質問に「はい」で終わらせず、「日次で自動バックアップを実施し、3世代保管、別リージョンへの複製、年1回のリストア訓練を行っています」といった具体的な説明を添える。顧客が知りたいのは"安心できる根拠"で、それを言葉で示せるようになりました。

AIとナレッジ管理で仕組み化

理解は深まったものの、毎回ゼロから調べるのは非効率。共通の質問に対する回答をテンプレート化し、過去の回答を再利用できる仕組みが必要でした。そこで取り入れたのがClaude CodeObsidianです。

Claude Codeでリポジトリを「読む」

最も時間がかかっていたのがシステム仕様の確認です。ドキュメントが古い、実装と乖離している、そもそも存在しない…はあるあるだと思います。

従来は詳しい人にSlackや口頭で質問を繰り返し、理解するまで2〜3時間かかっていました。 それがClaude Codeを利用してからは、リポジトリを開いて「認証フローを解析して」と依頼するだけで、主要なクラスと処理フローが整理されます。不明点だけピンポイントで確認すればよくなり、15〜20分で完了するようになりました。

Obsidianで「積み上げる」

回答を使い捨てにせず、ナレッジとして蓄積する仕組みを作りました。 テンプレート、回答履歴、根拠資料をディレクトリで整理し、タグやリンクでつなぐことで「以前の回答」をすぐに参照できます。

この仕組みで対応時間が1件1〜3時間→30分以内に短縮され、回答の一貫性も保てるようになりました。

実際の効果をまとめると:

指標 導入前 導入後 改善率
平均対応時間 1〜3時間/件 30分以内/件 70〜80%削減

時間短縮以外にも、

  • 回答の質向上: ISMS理解+ナレッジ蓄積で精度が向上
  • 再問合せの減少: 「〇〇と解釈した場合」と明記することで齟齬が減少
  • 営業チームからの評価: Slackで :爆速: スタンプが付くように

差別化要因としてのセキュリティチェック

この取り組みを通じて気づいたのは、セキュリティチェックは単なる面倒な作業ではなく、顧客に安心を届けるための差別化要因だということです。

特に大手企業との契約では、ここで納得してもらえなければ導入が進まないこともあります。逆に、しっかり答えられる体制を整えていれば「このサービスは信頼できる」というメッセージになり、事業成長に直結します。

「差別化要因だ」と気づいてからは、セキュリティチェック対応を最優先で取り組んできました。属人的な作業を減らし、AIとナレッジを活用して仕組み化を進めてきたのは、その重要性を強く感じたからです。

NotebookLMで集合知化へ

チームメンバーが増えた今、個人依存から脱却し、誰でも回答できる体制が必要になっています。そこでNotebookLMを活用した「AIナレッジベース」を構想しています。

NotebookLMに読み込ませる情報源

  • ISMS規程・手順書
  • 過去のセキュリティチェック回答履歴
  • システム設計書・構成図
  • クラウド環境の構成情報

想定フロー

  1. 質問をNotebookLMに入力
  2. 一次回答+根拠を自動生成
  3. 担当者がレビュー・調整
  4. 最終回答を返却

この仕組みが実現すれば、回答品質の標準化はもちろん、誰でも対応可能なスケーラブルな体制が作れます。新しい質問パターンを学習して精度も向上するし、監査対応として回答根拠も記録に残せるのがポイントです。

エンジニアとしての学び

振り返ってみると、特に印象的だったのは次の3つです。

「面倒な作業」にこそ自動化の価値がある

月6時間かかっていた作業を1〜2時間にできれば、その時間を本質的な開発に使うことができます。

ビジネス理解がエンジニアリングを加速する

ISMSを理解したことで、業務プロセスの設計段階からセキュリティを考慮できるようになり、結果として手戻りが減りました。

AIは代替ではなく拡張

Claude Codeによって理解スピードが10倍になりました。今後NotebookLMを活用すれば、チーム全体の対応力も拡張できると考えています。ただし、出力を鵜呑みにせず、最終責任は人間が持つのが原則です。

まとめ

セキュリティチェックは、一見すると面倒な書類対応です。 しかし、適切にアプローチすれば

  1. 差別化要因として事業成長に貢献できる
  2. AIとナレッジ管理で効率化できる
  3. エンジニアリング力を活かせる領域である

スタートアップでは、こうした「誰もやりたがらない領域」こそ技術で差別化できるブルーオーシャンかもしれません。

同じようにセキュリティチェックで悩んでいる方の参考になればうれしいです。

お知らせ

YOUTRUSTでは、AIを積極的に活用しながらプロダクトを成長させていく仲間を募集しています。 セキュリティやAI活用に関心のある方は、ぜひ一緒に新しい開発体験をつくりましょう。カジュアル面談からでも大歓迎です!

youtrust.jp