giftee Tech Blog

ギフティの開発を支えるメンバーの技術やデザイン、プロダクトマネジメントの情報を発信しています。

セキュリティチェック効率化への道

セキュリティチェック効率化への道

こんにちは。ギフティで PdMをしている天田と申します。

2025年もあっという間に過ぎてもう年末ですね。年末の風物詩といえば、そう、セキュリティチェックです。 各企業でセキュリティチェックに関わっているみなさま、いつもお疲れ様です。ありがとうございます。

セキュリティチェックに関する取り組みは多くの企業が発信されていて、私たちもいつも参考にさせていただいています。 ギフティからはこれまでに発信したことがなさそうでしたので、私が知っている限りでその変遷を追ってみたいと思います。

セキュリティチェックとは

企業が外部委託をする際、委託先の情報管理体制やセキュリティ対策状況を確認する取り組みです。例えば、以下のような観点で複数の設問に回答していきます。

  • 作業端末・作業アカウント等が適切に運用・管理されているか
  • システムに一定のセキュリティ対策がされているか
  • 情報の取り扱いルールが定められているか
  • インシデント等、有事の際の対応フローが想定されているか

ギフティにおいて、この業務にどう対応してきたのかご紹介します。

第一フェーズ:とにかく回答

セキュリティチェックにおいては、基本的に依頼元企業から Excel等で設問群を受領して回答を記入します。

システムや個人情報の取り扱い等の前提知識が必要な質問も多く、ギフティにおいては依頼を受け取ったビジネス部門の担当者が、コーポレートエンジニアチーム(社内IT部門)と関連するプロダクトエンジニアの力を借りて個別対応するところから始まっています。

そして、私が入社した 2022年頃には一定の対応ルールや対応フローが明文化され整っていました。以下のような特徴、一定のメンバーに対応が集中しやすい状況、急ぎの依頼などもあるため、入社当時から負荷の高い業務だと感じていました。

セキュリティチェック業務の特徴

  • 企業ごとに独自のフォーマットがあり、設問が数百に及ぶことが多い
  • 質問内容により回答者が変わるため、取りまとめ役が必要
  • 依頼が案件ベースであり、不定期かつ急ぎの依頼も発生しうる

回答フォーマットが企業ごとに異なる点は特に難しいポイントです。独自のフォーマットを都度読み込みんで意図を解釈し、適切な根拠を揃えて回答するのには思った以上に時間がかかります。

一方で、フォーマットには違いがあっても多くの企業が気にするポイントには共通項がありました。そこで、回答業務の削減と効率化を目的に、ギフティにおける「標準セキュリティチェックシート」の作成に着手しました。

第二フェーズ:回答標準化、初動スピードアップ

「標準セキュリティチェックシート」は、様々なチームの力を借りて 2023年に公開することができました!(公開リンク

これは、過去の依頼や一般に公開されているセキュリティ基準等を参考に、100前後の設問からなる自社フォーマットを作成してセルフ回答したものです。定期的に更新しながら運用しており、2025年末の現在も 2026年 年始の更新のためレビュー中です。

このシートのおかげで、独自フォーマットへの記入を削減・軽減できるケースが増えています。これまでは「納期を調整して記入」という対応のみでしたが、お客様対応の窓口を担うメンバーに一次対応の材料を渡せることも大きな進歩でした。

依頼元企業の目線に立っても、依頼フォーマット通りではなくとも一次回答があるのは良いことだと考えています。

第三フェーズ(現在地):やっぱり人力はつらいよ

標準セキュリティチェックシートが生まれたことで、これまでよりも対応がスムーズになったこと確かです。それでも、セキュリティチェックの依頼がゼロになるということはありません。取り扱う情報の機密性が高いと判断される場合など、標準セキュリティチェックシートよりも粒度の細かい確認が必要なケースもあります。

依頼があることは重要なお取引を任せていただけている証拠であり、とてもありがたいことです。一方で、一件あたりの対応工数を思うと人手で回答し続けるのも限界が近いです。現在はエンジニアメンバーの力も借りながら AI等を用いた作業の効率化を試みており、具体的には以下 2つの作業にわけてアプローチしています。

  • 設問ごとの担当者アサイン自動化
  • 回答案の生成

アサインの自動化においては、独自の振り分けルールを組み込んだプロンプトを作成しています。社内の組織状況等を踏まえたアサインルールの言語化は意外と難易度が高く、現在は、過去の正解データと AIの回答を照らし合わせ、ルールの微調整をして振り分け精度の向上を図っています。

回答案の生成においては、対話型 AIに質問するのも一つの方法ですが、一問ずつ質問していては大幅な効率化は望めません。理想は、設問一式に対して一括で回答案を生成できることですが、ここでも企業ごとの独自のフォーマットをどう取り扱うかがポイントになります。選択式(「はい/いいえ」や「 YES/ NO」)、記述式といった回答形式の違い、マクロで設問が動的に変化する場合などもあるため、AIで扱いやすい形式に設問を整形してからプロンプトとしてインプットするという二段構えの対応をしています。また、回答根拠とする情報の運用も理想状態と現実解の落としどころを模索しています。

AIに投入しても問題ない情報/してはいけない情報がありますし、AIの回答を 100%信じることもまだまだ難しいですが、当面は「人手はレビューだけ」にすることを目指して改善していきます!

おわりに

セキュリティチェックは私たちのサービスの信頼を支える重要な取り組みです。日々の技術進歩に合わせて、各企業内でも外部サービスへ確認すべきことを日々更新されていると思います。セキュリティチェックという取り組みに丁寧に向きあいながらも、対応を効率化していくことで、安心してご利用いただけるサービス運営ができるよう、引き続き取り組んでいきたいと思います。

こちらは、株式会社ギフティのアドベントカレンダー 19日目の記事でした。最後まで読んでいただきありがとうございました。

明日以降の記事もお楽しみに! qiita.com

今年もお疲れ様でした!