AIとともに歩む情報セキュリティ / Information Security with AI

Transcript

1. © LayerX Inc. AIとともに歩む情報セキュリティ Hokuto Hoshi ([email protected]) CISO, VP of

   Engineering (Bakuraku Div), LayerX Inc. 2026/01/27 Findy AI Security Conference

2. © LayerX Inc. 2 • 株式会社 LayerX 執⾏役員 CISO 兼

   バクラク事業部 VP of Engineering • コーポレートエンジニアリング室 室⻑ バクラク事業部 PlatformEngineering 部 SRE グループマネージャーを兼任 • 2024年1⽉にLayerX⼊社。前職ではセキュリティ エンジニア、SRE、コーポレートエンジニア、海 外本社出向などを経て2023年に CTO 兼 CISO 星 北⽃ (HOSHI, Hokuto) / @kani_b

3. LayerX とバクラクについて

4. 4 © LayerX Inc. 「すべての経済活動を、デジタル化する。」をミッションに、AI SaaSとAI DXの事業を展開 事業紹介 バクラク事業 経費精算、法⼈カード、請求書受取、請求書

   発⾏、勤怠管理などの業務を 効率化するAI SaaSを開発‧提供 Fintech事業 ソフトウェアを駆使したアセットマネジ メント‧証券事業を合弁会社にて展開 Ai Workforce事業 社内のナレッジやノウハウをデータ ベース化するAIプラットフォーム AI SaaSドメイン AI DXドメイン

5. © LayerX Inc.　 5 「バクラク」とは 「バクラク」シリーズは、稟議、経費精算、法⼈カード、 請求書受取‧発⾏、勤怠管理などの業務を効率化する AIクラウドサービスです。 最先端のAIエージェントを組み込むことで、⼿⼊⼒や紙の管理などの 業務から解放し、従業員⼀⼈ひとりがコア業務に集中できる

   新しい働き⽅を創造します。 中⼩企業から⼤企業まで、15,000社を超えるお客様の 働きやすい環境づくりと事業の成⻑を⽀援しています。 バックオフィスから 全社の⽣産性を⾼める

6. © LayerX Inc.　 6 「バクラク」の事業領域 Coming Soon AIエージェント HCM領域 (人的資本管理)

   稟議・ワークフロー 領域 BSM / ARM領域 （債務・債権管理） Payment 領域 Coming Soon （※）2025年11⽉時点

7. © LayerX Inc.　 7 バクラク AI エージェント 技術で コーポレート領域の ⾃動運転を⽬指す

   バクラク AI エージェントが⼈の代わりに ⾃律的に仕事をこなす。 企業に⽋かせないコーポレート領域の業務を 再定義します。 AI-Native SaaS として、 ソフトウェアトータルでの⾃動化体験を つくりあげます。

8. © LayerX Inc. 8 事業部⾨の開発組織と、横串の技術組織 A B C 機械学習 Platform

   Engineering / SRE バクラク事業部の開発組織 … バクラク Ai Workforce Fintech コーポレートエンジニリング HR, Legal, Finance, PR, etc… 全社事業部体制

9. AIとともに歩む情報セキュリティ

10. © LayerX Inc. 10 • 機械学習が広く普及した2010年代 ◦ 「利⽤」も含め、専⾨家が扱うものであり、利⽤者は「結果」を受け取る • ChatGPT

    後 (2022~) ◦ 汎化された AI をプロンプトを⽤いて誰でも扱えるようになった ◦ 「何かが⽣成されるツール」が⼤量に増加した ◦ AI の利⽤対象者層が⼤幅に広がった • 企業における利⽤の幅も拡⼤ ◦ 特定分野 (画像認識、⾃然⾔語など) に精通しておらずとも組み込める ◦ ほとんどが API 形式で提供されるため、学習や運⽤のコストを転嫁できる ◦ 技術者がいない組織であっても利⽤できるツールが増加 • 「AI 利活⽤」を⽬標や組織ミッションとして掲げるようになった組織も多いのでは ⼈類の夢「AI利活⽤」

11. © LayerX Inc. 11 • プロダクトにおける活⽤ ◦ バクラクは AI-OCR をはじめ、SaaS

    の機能として様々な AI サービスを提供 ▪ バクラク AI エージェントの開発 ◦ Ai Workforce はプロダクトのコアに AI を据えた AI プラットフォーム • プロダクトを⽀えるための領域における活⽤ ◦ 開発環境や開発を⽀えるもの ◦ プロダクトマネジメントを⽀援するもの ◦ セールス、サポート、オペレーションなどビジネス領域 ◦ コーポレート (HR, Legal, Finance, PR, CorpIT, etc) LayerXと「AI利活⽤」

12. © LayerX Inc. 12 • 2023年頃から積極推進、2025年に⾏動指針をアップデート ◦ Bet Technology ->

    Bet AI ◦ AI に関する取り組みを加速する経営レベルの強い意思 2025年、Bet Technology から Bet AI へ

13. “Bet AI” とセキュリティ

14. © LayerX Inc. 14 • 利⽤⾃体が進まない ◦ 忙しさ、興味、理解など、意外と利⽤は進まないもの • トレンドが変わりまくって何を使えば良いのかわからない

    ◦ ひとつサービスを導⼊したと思ったらもう次の流⾏が • コストマネジメントが難しい ◦ 新しいサービスをどんどん試したいけど予算管理どうしよう… 利活⽤を推進する⽴場から

15. © LayerX Inc. 15 • 何をコントロールできるのかわからない ◦ 決定的な動作をしないツールの存在 (エージェントなど) •

    最終的にモデルプロバイダに全てが明かされることがほとんど ◦ ユーザサイドによる暗号化など「⾃衛」の⼿段がほぼない • 状況の変化が猛烈に速いため、考えた「管理⼿法」が早々に意味をなさなくなる ◦ ChatGPT ⼀強 -> Gemini, Claude, Copilot, etc ◦ GitHub Copilot -> Cursor -> Claude Code, Codex, Kiro, etc ◦ この速度は当⾯変わらない、上がる可能性もある セキュリティの⽴場から

16. © LayerX Inc. 16 • インシデントをはじめとしたセキュリティリスクは最⼩限を⽬指す必要がある • 進化は続いており、セキュリティリスクと「進化に素早く追従していかないことによる、経営上の リスク」のバランスについて考える必要がある ◦

    クラウドシフトの際の速度を遥かに上回っている • セキュリティによるリスクコントロールが、事業スピードに⼤きく影響すると考えた ◦ あるべき姿に戻ったとも⾔える CISO として

17. © LayerX Inc. 17 • 会社⽅針として掲げた “Bet AI” に賭け (Bet)

    ることにした ◦ 進化に対して、もたついていることが最⼤のリスク • 「絶対にまずい場所」を重点的に守り、他領域は⼀定のリスクを (段階的に) 受容する ◦ お客様からお預かりしている情報は「絶対にまずい場所」の⼀つなので、 最⼤限コントロールできる場所のみで扱う • 例: 環境や規約がきちんと定められた API を、制御されたアカウントで ◦ ソースコードなど「漏れても我々だけが泣く場所」は、⼀定のラインを設けて受容 ▪ 認証情報や含まれるコードのライセンスには注意が要る • とても平たく⾔えば「万⼀のときでも諦めがつく場所を決める」ようにした ◦ 「賭けてよいもの」「そうでないもの」を分ける ◦ 「すべてのリスクをなくす」ことではなく「取れるリスクをきちんと取れるようにする」こと を、セキュリティの責務とする 考え⽅のシフト

18. 「加速」と「安全」を両⽴する取り組み

19. © LayerX Inc. 19 • LayerX でも、真に全社に浸透していくのには少し時間がかかった • 「AI 活⽤をしていこう」と思ったときの壁がそもそも厚い

    ◦ どこから始めていけば良いのかわからない ◦ だいたいのプロダクトは有償なので予算をどうするか判断できない ◦ セキュリティ◯◯申請などがわからない ◦ そもそも現状を変更することにエネルギーが要る • ⼀⽅で、最低限のコントロールは必要 ◦ 野良 AI 利⽤が増え続ける状態は回避すべき • 壁を薄くし、コントロールできるものを多く提供していくことが重要 「はじめの⼀歩」をどう進めるか

20. 社内 IT 編

21. © LayerX Inc. 21 • ChatGPT Teamを全社で使えるようにしていたが、 コスト増もあり乗り換えを検討 ◦ OSS

    クライアントで API を利⽤するなども検討 • Google Workspace を契約していたため Gemini がデフォルトで使える環境 ◦ タイミングよく Gemini の進化が加速しており、 全社標準を乗り換え ◦ ChatGPT はより性能の⾼いモデルが必要な場合に払い出す • 「Gemini はじめの⼀歩」など⼊⾨コンテンツを拡充 ◦ 現場にヒアリングをしながら、 実ユースケースをもとに利⽤⽅法をまとめる • ヘビーユーザーが 1.5 倍以上伸びた ◦ 「Geminiはじめの⼀歩」連載を始めたら、社内のGeminiヘビーユーザーが1.5倍になった話 「すぐ使えるやつ」から始める

22. © LayerX Inc. 22 • Dify や n8n などセルフホスト可能なプラットフォームを⾃社環境に展開して利⽤できるように ◦

    Amazon ECS + AWS Fargate に展開 ◦ グローバルにおけるユースケースが取り込まれており進化に乗りやすい ◦ 外部送信などのリスクについても判断がつき、コントロール可能な範囲に留めやすい ▪ アプリケーション全体を SSO 基盤を利⽤した認証プロキシで保護 ◦ モデル利⽤も API に集約できる ◦ 「まず使われる」スタイルを構築したうえで⾦銭投資を判断することができる 「すぐ使えるもの」をつくる - プラットフォームの展開

23. © LayerX Inc. 23 • AI ワークフロープラットフォーム ◦ RSS 収集

    -> サマリ作成 -> 処理 -> Slack への投稿 といったもの • LayerX では最も利⽤頻度が⾼い ◦ Business Plan を利⽤ • エンジニアでない社員の利⽤も多い ◦ ドキュメント連携などは エンジニアがサポート • 基盤モデルの利⽤を集約 ◦ OpenAI ◦ Amazon Bedrock ◦ Gemini n8n

24. © LayerX Inc. 24 • コーポレート領域では、チームごとに1名ずつ⼿を動かし知識を広げるリーダーを選出 • リーダーを中⼼に、ワークショップを開催 • リーダーが⼿を動かしながら、チームの他メンバーに広げていく

    ◦ いわゆるチャンピオン形式 活⽤リーダーを⽴て、広げてもらう

25. © LayerX Inc. 25 • ChatGPT, Gemini のような汎⽤的なものから、特定分野にフォーカスしたサービスも出現 ◦ 個⼈で使うもの、組織で使うもの、⾊々ある

    ◦ 特定の誰かが全て追いかけることは難しい ◦ 試して、管理⽅法を考えて、よかったら全社展開、では遅い • しっかり使い込むためには有償版を使う必要のあるサービスが多い ◦ 預託データの扱いが変わりやすい ◦ が、部署ごとに予算調整してあれこれやってると⼤変 • 会社で投資する意思決定をしたので、意思をまとめられるようにする トレンドの変化に追いつく

26. © LayerX Inc. 26 • 特定部署で包括的に予算を確保し、申請ベースで各個⼈に払い出し ◦ ⼤⼩に関わらず活⽤のための予算を得られる • 予算の利⽤条件は「チームで合意すること」「社内にフィードバックをすること」

    ◦ それ以上の細かい調整などは不要 • ⽀払いの状況を⾒ながら適宜棚卸していく AIトライアル予算

27. © LayerX Inc. 27 • AI サービスのほとんどはクレジットカード払い • バクラクビジネスカードで個⼈単位にバーチャルクレジットカードを払い出し ◦

    決済履歴から購買申請や⽀払い申請への紐づけがすぐに終わる ◦ 「どこにどれくらい使っているか」も集計しやすい ⾃社サービスの活⽤ (PR)

28. © LayerX Inc. 28 • 新規サービスの規約チェックポイントを公開しセルフチェックできるように • 扱う情報に特に重要なデータ (顧客情報) が含まれない限り、申請処理もスピード化

    セキュリティ体制の最適化

29. © LayerX Inc. 29 • 利⽤上扱うデータ (顧客情報を含むのか、我々が持つデータなのか) • 運営の所在 (個⼈

    or 会社, 国内 or 海外, 海外の場合は国) • データの所在 ◦ ⼊⼒データが保持されるのか、⼊⼒時のみの利⽤なのか • データの権利 ◦ 特に出⼒データの権利帰属はどうなっているのか • データ利⽤の有無 ◦ 特にトレーニングへの利⽤ ▪ 原則回避するが、トレーニングがより⾃社の利⽤を最適化する場合もある • 公開されている場合、システムアーキテクチャ ◦ データがどのような流れで処理されるのか ◦ 学習は、LLM のことを指すのか、別のレイヤのことを指すのか • ToS やプライバシーポリシー、セキュリティドキュメントで確認できるサービスも多い 特に気にしているポイント

30. © LayerX Inc. 30 • 採⽤など重要分野についてはポリシーを明確化し「ライン」を超えないようコントロール 対外ポリシーの明確化

31. © LayerX Inc. 31 • オープンに、⾊々な⼈に聞きあうことのできる環境 ◦ 例えば… ◦ セキュリティ委員会のチャンネルではサービスの安全性確認や扱う情報の相談

    ◦ コーポレートエンジニアリング室や SRE チームではキー発⾏や使い⽅、構成の相談 ◦ 各種 AI チャンネルでは「◯◯したいけどどうしよう」に周囲が積極的に回答 ▪ エンジニアによる機能実装などのサポートも活発 ◦ 事例のシェアがとても活発 ▪ あるプロダクトの事例が他プロダクトにも展開 -> 他事業部も！といった動き • ⾊々な仕組みよりも、この⽂化が最も強く作⽤して Bet AI が進んでいる 相談の体制

32. プロダクトへの活⽤促進

33. © LayerX Inc. 33 • エージェントの開発にとにかく触れることで 「作れる」感覚を得るためのワークショップ • AWS Japan

    さまと共催 ◦ AI エージェントの主要技術について学ぶ ◦ ⼿を動かして実際に開発する ▪ Bedrock AgentCore などの利⽤ ▪ 社内システムとの連携⼿段提供 • プロダクト応⽤を考える時の敷居を下げる 社内ワークショップの開催

34. © LayerX Inc. 34 開発ツールやプラットフォームの提供 https://speakerdeck.com/layerx/bakuraku-engineering-team-deck?slide=25

35. © LayerX Inc. 35 • 週次でエンジニアの全体 MTG を実施 • 開発したエージェントのデモや

    Tips の共有を⾏うコーナーを設置 • セキュリティチームも参加、必要に応じて能動的なヒアリングなど ◦ 受け⾝の「相談」だけでなく、能動的な情報キャッチアップが重要 エンジニア共有会

36. © LayerX Inc. 36 • セキュリティチェックシートは セキュリティチームで回答を作成 ◦ ⼀部 AI

    も利⽤しながら素早く回答できる よう改善 • 複雑な要件などをお持ちのお客様には 商談同席し議論 ◦ リスクの捉え⽅はお客様によって異な り、それぞれに議論が必要 ◦ 「温度感合わせ」が必要な時期、 ⾮常に重要な機会 お客様とのやり取り

37. より改善していく必要のあること(の例)

38. © LayerX Inc. 38 • 特に多くの情報を含む Notion などの API キー

    ◦ コーポレートエンジニアリング室や SRE チームがスコープを管理し発⾏, 利⽤ • モデルへのアクセスキーも SRE やコーポレートエンジニアリング室で集約 ◦ コスト可視化や権限管理に有⽤ではある ◦ が、数が増加しており、よりよい管理⽅法を模索中 外部連携キーの管理

39. © LayerX Inc. 39 • AI エージェントが様々なシステムと連携して動作するようになってきた ◦ その動作が正しいのか、問題ない情報にアクセスしているのか瞬時に判断できない ◦

    攻撃などを受けて情報を外部に流出させることもできうる • エージェントに対する「縛り」をどういった形で実装するかを思案中 ◦ モデルへの⼊⼒ (プロンプト) のレベルで実装するもの ◦ モデルが動く環境からのネットワークアクセスに対して実装するもの ◦ etc エージェントの外部通信

40. 実際の AI ユースケース

41. © LayerX Inc. 41 • 営業やカスタマーサクセスの活動において、プロダクト仕様をはじめとした情報は重要 • ヘルプページや社内 Notion、スライドなどの情報をもとに質問に回答するエージェントを作成 •

    回答はアップデートすることも可能 プロダクト情報を回答するエージェント https://note.com/yamane2022/n/n7bd9a941a0ed

42. © LayerX Inc. 42 • Google Sheets をソースに n8n で最適な差配案を作成し

    Slack に投稿 • セールスサポートのメンバーが実現 • 営業⽀援のAIユーザーは 業務⾃動運転の夢を⾒るか？ (AI×⾃動化フローで商談量の適正化を超効 率化した話) 商談の差配⾃動化

43. © LayerX Inc. 43 プロダクトへの組み込み

44. おわりに

45. © LayerX Inc. 45 • すべてをコントロールする、できるという発想から変わる ◦ そもそも Before AI

    の世界でさえ難しかったこと ◦ リスクを放置するのでなく、把握‧軽減‧受容できるための仕組みづくり ▪ つねに「最悪」が起こる前提でリスクコントロール ◦ 「考え⽅」も積極的に広めていく ◦ 「賭け⽅を決められる」覚悟を持ったセキュリティ、CISO へ • プラットフォームや⾃由な発想に投資する ◦ ⼩さなこと、簡単なことからはじめる ◦ ただ「場をつくる」だけでなくサポートが重要 • オープンに、何かをつくることについて話せる⽂化を育てる ◦ レベルを気にせずに話せるように AI とともに歩むために

46. © LayerX Inc. 46 採⽤全⼒強化中です！AI 時代を全⼒で駆け抜けたい⽅におすすめします 少しでも興味があればご連絡を！ We’re hiring バクラク事業部‧エンジニア組織紹介資料

    LayerX 採⽤情報サイト