小林 正明

AIでJIS Q 27001の要件定義を自動化。 Google Opalで構築した「判断を支える」エージェントの可能性 最近、セキュリティの現場で痛感するのは、システムの脆弱性対策以上に、人間の「認知の脆弱性」を突く攻撃への対応が急務であるということです。ディープフェイクやAIによるなりすましは、もはやFirewallだけでは防げません。 そこで今回、私が提唱している「コグニティブリテラシー」の知見をシステム側からも支援すべく、Google Opalを使って「セキュリティ要件定義サポートAI」を構築しました。 設計の肝は、AIを「決定者」ではなく「伴走者」にすること 今回のエージェント構築で最も重視したのは、AIに答えを丸投げするのではなく、専門家の意思決定を最短距離で支えるサポーターとしての役割です。そのために、以下のような指示（プロンプト）の構造を持たせました。 ◎設定したプロンプトの骨子 1. 役割の定義：JIS Q 27001:2023の専門家として、ユーザーの要件定義作業を補佐するエンジニアであること。 2. 根拠データの厳守：提供した管理策マスターDB（スプレッドシート）を一次情報とし、勝手な推測を排除したアドバイスを行うこと。 3. 自律検索による補完：Google Search機能を使い、2026年現在の最新の脅威やIPAのガイドラインを要件案に反映させること。 4. 徹底したプライバシー：ユーザーが入力した情報は保存せず、セッションごとに破棄する運用を厳守すること。 ◎Opalを実際に触ってみた本音 実際に触ってみて驚いたのは、膨大なJIS規格の中から、例えば「500名規模の社内監査システム」といった特定の条件に合致する管理策を瞬時に特定し、具体的な非機能要件のドラフトを書き上げるスピードです。 あくまで「サポート」という立ち位置ですが、叩き台がすぐに出来上がることで、コンサルタントや担当者は「内容の吟味」という本来最も時間をかけるべき戦略的な業務に集中できるようになります。 システムと「人」のハイブリッドな防御 技術が進めば進むほど、最後はそれを受け取る人のリテラシーが重要になります。 AIエージェントで要件定義を効率化し、そこで生まれた時間を使って、組織全体の「コグニティブリテラシー」を高める研修に注力する。 「システムによる支援」と「人への教育」の両輪こそが、AI時代のセキュリティへの近道と考えます！ テクノロジーを作業代行で終わらせるのではなく、組織の判断力を高める武器に変えていく。 最後まで読んで頂きありがとうございます😊