NECでは、セキュリティガバナンスの強化を目的として、生成AIを活用したセキュリティ監査報告書自動生成ツールを開発しました。本ツールは、監査対象の情報を基に生成AIが推奨対策案の作成や評価を行い、監査業務の効率化と品質向上を実現します。実際の導入では、工数削減や報告書品質の均一化といった効果が得られており、今後は更なる精度向上や他分野への応用が期待されます。本稿では、ツールの概要、得られた導入効果、開発上の工夫について述べます。

1. はじめに

近年、セキュリティの脅威が高度化・多様化していることから、セキュリティガバナンスの強化が企業にとって重要な経営課題となっています。

特にグループ企業におけるガバナンスにおいては、監査対象となる企業数の多さゆえに、監査リソースの確保及び膨大な監査の質や頻度を十分に担保することや、多様な事業や地域にまたがるグループ全体のリスク状況を正確かつ迅速に把握・対応することが困難であるという課題が挙げられます。

これらの課題によりグループ全体の経営判断に必要な情報収集やリスク分析が遅れた場合、経営の意思決定に影響を及ぼす可能性もあります。

このような状況下で、企業が組織的に情報資産を守り、法規制やコンプライアンスに適切に対応するためには、企業としてセキュリティ対策の実施、セキュリティルールの制定・徹底が求められます。したがって、それらの実効性や運用状況を客観的に評価・検証する定期的なセキュリティ監査が重要な役割を果たしています。

一方で、従来の監査報告書作成は監査人の経験やスキルに依存する傾向があり、「監査品質のバラつき」や「多大な工数」が課題となっていました。

これらの課題に対応するために、NECは生成AIを活用したセキュリティ監査報告書自動生成ツールを開発しました。

2. 生成AIを活用したセキュリティ監査活動高度化の概要・仕組み

セキュリティ監査報告書自動生成ツールは、監査対象となる組織の事業内容、業務範囲、ISO/IEC 27001などの認証取得状況、及び現在実施中の各種セキュリティ対策の内容や運用状況などの情報を基に、ISO/IEC 27001のような国際規格やNECが実施しているセキュリティ対策を参照し、監査報告書の作成プロセス全体を自動化します。

生成される監査報告書には、組織の関連情報から想定される主要なリスクや監査の総合評価、監査項目ごとの推奨対策などが含まれます（図1）。

ツールの仕組みは、3つの主要なステップで構成されます。

（1）推奨対策の提言
監査対象のセキュリティ対策実施状況に関する回答を基に、ISO/IEC 27001などの国際規格やNECが実施しているセキュリティ対策を参照して、監査項目ごとの推奨対策を生成AIが提言します。最終的には監査人が内容を確認し、必要に応じて修正します（図2）。

（2）監査項目ごとの評価
監査対象のセキュリティ対策実施状況に関する回答について、監査項目の質問内容と比較し、生成AIが「できている」「ほとんどできている」「一部できている」「できていない」の4段階で評価します。生成AIによる評価及び評価理由と監査対象組織の回答を基に、監査人が監査項目ごとの評価を決定します（図3）。

（3）サマリ（監査報告書）生成
サマリ生成は更なる3つのステップから構成されます。

このツールの開発における工夫は主に3点にまとめられます。

1点目は、プロンプトの精査と圧縮です。生成AIはロールを指定し、明確な指示を与えることで期待する回答を得やすくなりますが、プロンプトの情報量が多い場合には意図したとおりに出力されないという問題がありました。この問題に対処するため、できるだけ簡潔な指示で期待する回答が得られるよう、試行を繰り返してプロンプトを精査・圧縮しました。

2点目は、監査項目ごとの評価における生成AIの活用方法及びプロンプト設計です。評価においては「できている」「ほとんどできている」「一部できている」「できていない」の4段階の基準を生成AIに理解させる必要があります。一方で、例えば「セキュリティの規程類があるか」という問いに対し「規程があり、かつ定期的にレビューされているならば『できている』、規程はあるが、レビューが定期的でなければ『ほとんどできている』…」などと監査項目ごとに細分化して基準を指定する方法は汎用性に欠けます。監査項目を変更するたびにプロンプトの修正が求められ、運用が煩雑になるためです。そこで、評価基準を監査項目ごとに詳細に指定することは避け、評価結果と併せてその理由も生成AIに出力させることで、監査人が最終評価を決定する際の参考となるように設計しました。

3点目は、単純な自動化と生成AIの使い分けです。生成AIは同じ入力に対しても毎回一定の出力をすることはなくバラつきが生じるため、多様な視点が求められる部分には有効ですが、一方で同一の出力が求められる部分には適していません。そのため、画一的な判断はプログラムで自動化し、各社の事情やNECの基準を踏まえた柔軟な判断が必要な場合は生成AIを活用するという使い分けを、試行を通じて確立しました。

これら3点の工夫により、本ツールは監査報告プロセスの自動化に加え、実用的かつ柔軟な運用方法も実現しています。

3. 生成AIの活用による効果

これら一連の成果物は、すべてExcel形式のレポートとして一括して出力されます。監査人はこの自動生成レポートの内容を確認し、必要に応じて加筆・修正を行うだけで、監査報告書を短時間で完成させることができます。これにより、これまで時間や労力を要していた報告書作成工数の大幅な削減を実現します。

本ツールを用いた場合と同じ作業を人間の手のみで実施した場合と比較すると、監査報告書の作成時間は200分から60分に短縮され、約70%の工数削減が期待できます。また、監査人一人当たりの作業時間も200分から48分へ短縮し、約76%の削減ができると見込まれます。実際にNEC社内のセキュリティ監査活動に本ツールを導入したところ、監査業務が効率化され、監査対象範囲の拡大や定期的な監査の実施、迅速なフィードバックが容易となり、監査活動全体の品質向上に寄与しました。

更に、生成AIによる自動化により監査報告書の品質の均一化が図られ、監査人の経験やスキルの差によるバラつきが低減しています。従来は監査対象の業種に関連する専門知識や経験により内容にバラつきが生じていましたが、生成AIの活用により業種特有の事情を考慮した一貫性のある提案が可能となりました。

生成AIが出力した評価理由や推奨対策を、監査人が確認・修正するステップが加わることで、監査報告書の作成において、監査人の本来の能力以上の結果を生み出す可能性もあります。例えば、監査人単独では思い浮かばない推奨対策を生成AIが提案した場合、監査人はより多くの対策案から最適な対策を提案でき、本来の能力以上の結果を生み出すことができたといえるでしょう。当然、監査人には生成AIの提案を確認・修正するスキルが求められます。

また、蓄積された監査データや評価結果を生成AIへ入力することで、より効果的なセキュリティ施策の立案や、組織全体の継続的な改善活動への活用が期待されます。

本ツールを活用したNECのセキュリティ監査活動では、監査対象全体のガバナンス状況がヒートマップにより可視化されています。

インシデント発生時の影響と、監査報告書において総合評価として記載されるセキュリティ対策レベルの2軸で組織を評価し、ヒートマップ上にマッピングすることで、セキュリティ強化の優先度が高い組織が可視化されます（図7）。この可視化結果は、経営層によるリスク対応策の意思決定に資するほか、多様な事業や地域にまたがるグループ全体のリスク状況を正確かつ迅速に把握し、適切に対応することを可能にします。これにより、グループ企業におけるセキュリティガバナンスの課題解決に寄与します。2025年12月9日時点で、本ツール及びヒートマップによる可視化は特許出願中です。

4. むすび

本稿では、NEC社内における生成AIを活用した監査活動高度化の効果とその仕組みについて述べました。

社内において最初に導入（いわゆるクライアントゼロ）された本ツールの技術を活用したサービスが、BluStellarの商材として外販されます。

今後は、セキュリティ分野以外の監査領域への応用や、継続的な学習による生成AIの精度向上、監査対象となる組織の規模や業種に応じた具体的な対策の提案など、更なる機能拡張が期待されます。

一方で、公正性や透明性の確保、生成AIによる提案内容の妥当性検証といった課題にも引き続き取り組むことが求められます。NECではこれらの課題を解決しつつ、企業や組織のセキュリティマネジメント力の向上に資するサービスと技術の開発・提供を推進します。

最後に、生成AIの活用は今後の監査業務及びガバナンス手法を根本から変革し、より効率的かつ高品質な監査運用の推進につながるものです。監査業務に携わる多くの関係者が、この新たな技術の恩恵を享受し、持続的なガバナンス強化を図ることが期待されます。

商標

執筆者プロフィール

関連URL