[新製品・サービス]

2025年12月22日(月)IT Leaders編集部、日川 佳三

リスト

　JSOLは、情報システムに潜むリスクを検出して影響度を評価するリスクアセスメントを生成AI/RAG（検索拡張生成）によって高速化するコンサルティング/SIサービスを発表した。GFLOPSの生成AIサービス「AskDona（アスクドナ）」を活用する。システムの導入・運用をJSOLとGFLOPSが支援する。

　企業ごとに異なるアセスメント項目や対象システムに関する設計・運用ドキュメントなどをRAGデータベースに登録すると、各項目の評価に必要な情報をAskDonaが自動選定して回答を生成し、判定を行う（図1）。

図1：システムリスクアセスメント業務が抱える課題と、RAGシステムで効率化する領域（出典：JSOL）
拡大画像表示

　JSOLは、システムのリスクアセスメントを効率化するITコンサルティング/SIサービスを開発・提供する背景を次のように説明している。「自社システムのリスク評価が求められている。特に金融機関は、金融庁が定める「金融分野におけるサイバーセキュリティに関するガイドライン」を基に、自社システムのリスクを特定・評価する作業が必須となる。項目は数百項目に及び、担当者にとって大きな業務負担となっている」。

　金融業に携わるSMBCグループの一員であるJSOLは、同社が手がけるシステム/社内業務システムを対象に、SMBCグループが定める400項目に及ぶシステムリスクアセスメントを年1回実施している。しかし、人手に依存していたため、全社で年間約4300時間（約570人日）の工数がかかっていたという。

　そこで同社は、RAGでリスクアセスメントを自動化する検証を、2025年4月～10月末に実施。社内規定や100システム超の設計・運用ドキュメントをRAGデータベースに登録し、1システムあたり約400項目のアセスメントを生成AIで実施、RAGの精度と効率化の効果を評価した。

　検証の結果、精度については、RAGデータベースに登録した情報に基づく正しい評価を90%以上実施できたという。情報不足で評価できない場合は、推論による評価を実施せず、情報不足により評価できない旨と、不足する情報を回答する仕組みを開発した。担当者が不足する情報を登録した後、当該項目だけを再評価可能である。

　効率化については、生成AIがアセスメント項目を解釈・評価し、評価結果を記載することで、システムアセスメント業務の一部工程に要する工数を1システムあたり平均45%、全社で年間約2000時間（約270人日）を削減し、全社で当該業務にかかる時間が約2300時間（約300人日）になった。

　この検証結果を受けて、JSOLは開発・実践したシステムと導入・運用の方法論をITコンサルティング/SIサービスとして外販することを決定。今回の提供開始に至った。