ISMSの規程作りやリスクアセスメントが大変です。AIを活用して効率化する方法はありますか?
『ISMSサンプル文書集』を活用して準備を始めました。
しかし、サンプルの規程を自社の実態に合わせて改定する作業や、膨大な情報資産を対象としたリスクアセスメントに追われており、どのように運用体制を構築すれば良いか悩んでいます。
AIツールをうまく使って効率化する方法はありますか?
ご質問者のような方におすすめなのが、Googleの AI ツール NotebookLM の活用です。
NotebookLM は、アップロードした資料から「自分専用の AI」を構築できるツールであり、ISMS文書の改定からリスクアセスメント、チェックリスト作成など、ISMSの構築及び運用においても、効果的なパフォーマンスを発揮します。
以下に具体的な活用例を紹介します。ご参考ください。
1. NotebookLM の特徴
NotebookLM は、Google が開発した「ノートブック型」の AIアシスタントです。一般的なチャット AI とは違い、ユーザーがアップロードしたソース(資料)のみに基づいて、要約や質問応答を行ってくれます。NotebookLM には、以下のような特徴があります。
- アップロードされた資料(PDF、Googleドキュメント、テキストなど)からのみ情報を抽出して回答する仕組みであるため、社内の独自ルールや専門用語が含まれるマニュアル作成において、情報の正確性を担保できる。
- ソース内のどこを参照したかを示す引用元が明示されるため、引用箇所をクリックすれば根拠となった元の資料の該当部分を確認できる。
- 複数の情報を横断的に分析できるため、一貫性のある体系的な文書へと再構成できる。
- 読み込んだソースから学習用のテストや教育用スライドを作成することも可能で、用途に応じたアウトプットを瞬時に得られる。
2. サンプル文書から自社用の「改定案」を生成させる方法
ISMSサンプル文書集の各規程書は、すでに具体的な管理策(ルール)を規定されているので、NotebookLM のチャット欄にプロンプト(質問や指示)を入力することで、「サンプル文書の内容」と『自社の実態』を比較し、自社用の改定文書を生成することが可能です。
以下のようなプロンプトを入力することで、『自社の実態』のためのチェックリストからサンプル規程書の改定案までの作業をスムーズに進めることができます。チャット上でさらに細部を深掘りしていくことで、よりニーズに沿う文書へと仕上げていくことができます。
- ① 『自社の実態メモ』作成のためのプロンプト例:
『情報セキュリティ運用管理規程』を改定したい。現状の業務に合わない管理策や、実施不可能な過剰なルールを特定するために『自社の実態メモ』を作りたいので、メモの項目を作成してほしい。
- ② サンプル規程書を改定するためのプロンプト例:
『情報セキュリティ運用管理規程』を改定したい。ソースにある『自社の実態メモ』に基づき、現状の業務に合わない管理策や、実施不可能な過剰なルールを特定してくれ。その上で、自社の実態に合わせて規程の第〇条から第〇条までを書き換えた案を作成してほしい。
- ③ 改定後の文書整合性をチェックするためのプロンプト例:
修正後の『情報セキュリティ運用管理規程』と『アクセス管理規程』を読み比べて、役割分担や用語の定義、承認権限のレベルに食い違いがないかチェックして。矛盾があれば教えてください。
3. 「リスクアセスメント」をAIで補完する方法
「リスクマネジメント管理規程」は、いわば「アセスメントのルールブック」です。これを最初にAI(NotebookLM)にしっかり認識させておくことで、その後のリスクアセスメントに必要な「脅威一覧表」などの関連文書を読み込ませた際、AIが「それらをどう活用すべきか」という優先順位や判定基準を正しく理解できるようになります。
以下のようなプロンプトを入力することで、脅威及び脆弱性(ギャップ分析対策表との照合)からリスク値を算出し、『リスク分析表の原案』までの作業をスムーズに進めることができます。
なお、NotebookLM が提案した結果(リスク分析表の原案)を鵜呑みにせず、最後に自身で確認してから「リスクグループ分析対策表」を完成させるようにしましょう。「論理的な分析はAIに、最終的な様式整形は人間が行う」という割り切りが、手戻りを防ぐための最も賢明な判断となります。
- ① 「リスクマネジメント管理規程」をAIに認識させるためのプロンプト例:
この『リスクマネジメント管理規程』を読み込みました。貴社におけるリスクアセスメントのプロセスを理解したいので、以下の点についてこの規程に基づいて要約してください。
- リスク評価の判断基準(資産価値、脅威、脆弱性の評価方法)
- リスク対応策を検討するタイミング(ベース管理策で対応できない場合など)
- リスク受容の基準
- ② リスクアセスメントのためのプロンプト例:
💡プロンプト入力のコツ:
以下のように、チャット上でプロンプトを小分けにして処理させることで、回答の精度と安定性を向上させることができます。「情報資産台帳」のグループ名で分類し、該当する脅威を「脅威一覧表」から選択し、リスク値を計算してください。
「リスクグループ分析対策表」の記入例のようにまとめなおしてください。
(例えば、グループ名:1F-IT-DT-HD のグループ分析対策表が作成されます。)
「ギャップ分析対策表」から該当する対策があればそれをもとに「リスクグループ分析対策表」を作り直してください。
「情報資産台帳」から同一のグループ名を抽出して、「グループ名:1F-IT-DT-HD」と同じように、グループの対策表も作成してください。
- ※ 回答のニュアンスが違うと感じた場合は、修正指示を出してチューニングを行うことで、その後のアセスメントの精度を劇的に向上させられます。
- ※ チャットの履歴を残しておくことで、例えば半年後に「新しいSaaSを導入した」や「社内の組織変更」となった場合にAIに相談し、指示するだけで最新のリスクアセスメント表の案を完成させることも可能です。
4. 「社内セキュリティ・ブレイン」としての活用方法
単に文書を放り込むのではなく、以下のように運用すると効果が倍増します。
- 「担当者別ガイド」の生成:
NotebookLM のチャット機能で、担当者ごとにプロンプトを投げ分けます。私はシステム管理者です。『通信・運用管理規程』に基づいて、毎週月曜日に実施すべきセキュリティ確認項目のチェックリストを、Google Workspaceの管理画面の操作手順を含めて作成してください。
- 「監査対応」の視点の強化:
審査前には、作成した規程とリスクアセスメント結果を NotebookLM に読み込ませ、『もしあなたが審査員なら、この構成を見てどこを突っ込むか?』と問いかけてみてください。AIが弱点や記録の不足を指摘してくれます。
5. まとめ
AIの活用は、単なる労力やコストの削減にとどまりません。設備の導入や組織変更のたびにAIが相談に乗り、規程類を常に「最新の自社仕様」へとアップデートし続けることができます。この「自己アップデート能力」こそが、コスト以上の投資対効果(ROI)をもたらします。
AIを単なる文書作成ロボットとして使うのではなく、あなたの組織の専任アドバイザーとして上手く活用すれば、ISMSは『守られるもの』から『組織を強くする武器』へと生まれ変わります。
6. 【参考】構築した文書の運用方法例
既にGoogle WorkspaceやMicrosoft 365 等の統合型クラウドサービスや文書管理システムが導入されていれば、それらを利用するのが良いでしょう。
なお、そのようなシステムを導入していない場合でも、自社のファイルサーバで十分対応可能です。
参考として、「【ISMS・Pマーク】ファイルサーバでできる!電子文書管理の具体的な構築手順 || ISM Web store 資料集」でも紹介しています。こちらも併せて参照ください。
