JSOLは12月22日、GFLOPSが提供する生成AIプラットフォーム「AskDona(アスクドナ)」を活用して、金融業界をはじめとするさまざまな業種・業界における企業の情報システムのリスクアセスメントを効率化するソリューションの提供を開始することを発表した。

このソリューションはRAG(Retrieval-Augmented Generation:検索拡張生成)と生成AIを組み合わせることで、リスクアセスメントの高速化や省力化とともにエビデンスに基づく客観的なアセスメントを可能にするという。

  • システムリスクアセスメント業務の課題

    システムリスクアセスメント業務の課題

システムリスクアセスメントの課題

システムリスクアセスメントとは、情報システムに潜むリスクを調査し、その影響度を評価するプロセス。特に金融機関においては、金融庁が定める「金融分野におけるサイバーセキュリティに関するガイドライン」を基に、自社システムにおけるリスクの特定と評価を実施する必要がある。その項目は数百項目に及び、担当者にとっては業務負担となっている。

NTTデータおよびSMBCグループの一員であるJSOLでは、両グループと連携してサイバーセキュリティを含む対策に取り組んでいる。その一環として、JSOLが企画・販売するシステムサービスや社内業務システムについて、SMBCグループが定める400項目に及ぶシステムリスクアセスメントを年1回実施。その結果を基にシステムリスク対策を講じている。

しかし、これまでは担当者によってアセスメント項目の解釈や評価に差異が生じる課題や、400もの評価項目 / 基準の読み込みと評価、関連記述の探索と抜粋、根拠資料の付与など、多大な業務の対応を人手に依存し、全社で年間約4300時間(約570人日)もの工数を要する課題があったとのことだ。

システムリスクアセスメントの効率化と合理化の取り組み

上記の課題に対しJSOLは、システムリスクアセスメントに関する業務負担の軽減を目指し、GFLOPSの「AskDona」を活用したシステムリスクアセスメントを自動化するための検証を、GFLOPSによる伴走の下で2025年4月から10月末まで実施した。

AskDonaはLLM(Large Language Models:大規模言語モデル)に社内文書など外部データを活用するRAGを基盤として、AIエージェントが設問を細分化し、複数の文書を自律的かつ再帰的に探索・統合することで、根拠に基づいた回答を導出する。

これにより、社内文書を横断して対応すべき複雑な質問や、高度な情報統合が求められるケースにも柔軟に対応可能になった。さらに、AskDonaは大量の社内文書を扱う場合でも、LLMへのトークン消費を抑えつつ、ハルシネーションの発生を最小限に抑えたセキュアな環境での運用を支援する。

今回の検証では、社内規定や100システム超の設計・運用ドキュメントをAskDonaが提供するJSOL専用RAGデータベースに登録し、1システム当たり約400項目のアセスメントをAskDonaで行った。

取り組みの結果

精度を確認するため、RAGデータベースに登録した正しい情報を参照し、情報に基づく正しい評価を実施できるかを検証した。

その結果、AskDonaは90%以上の確率でRAGデータベースに登録した情報に基づく正しい評価を実施したという。情報不足で評価できない場合は推論による評価を実施せず、情報不足により評価できない旨と不足する情報を回答する仕様とした。担当者が不足する情報を登録した後に、当該項目のみを再評価できるようになる。

さらに、アセスメント項目の解釈や評価、評価結果の記載をAskDonaが行うことにより、下図に示すシステムアセスメント業務の一部工数を1システム当たり平均45%、全社で年間約2000時間(約270人日)を削減し、全社で当該業務にかかる時間が約2300時間(約300人日)となったとのことだ。