情シス業務は生成AIとiPaaSで自動化できるのか!? 〜実践編〜
情シス部門が担当する「社内からの問い合わせへ対応」って、大変ですよね。 従業員数が多かったり、情シスの人数が少なかったりすると、なおさら。
かく言う僕も、サイバーセキュリティの会社「エムオーテックス(MOTEX)」で情シスとして働きながら、日々自部門に舞い込んでくる問い合わせに頭を抱えていました。
そこで今回、業務改善として取り組んだのが「生成AIとiPaaSを使って、情シスの問い合わせ業務を自動化する」という社内プロジェクトです。株式会社パンと水と の 平岡 拓さん が率いるコンサルティングチームの皆さんと共に、進めさせていただきました!
2024年2月に開催した、弊社の大型オンラインイベント「MOTEX DAYS. 2024 -WINTER- 〜DXを加速させるリスキリングと実践術〜」の中で、取り組み内容や成果の一部を紹介させていただきましたが、今回は見逃してしまった方や、もう一度発表内容を見たいという方に向けて、当時の発表内容を補足する形で紹介したいと思います。
※ちなみに前回の記事はこちら
【2/15開催】情シス業務は生成AIとiPaaSで自動化できるのか!?
〜 “MOTEX DAYS” で進捗報告します! 〜
僕と同じ「情シス」の方はもちろん、生成AIを活用した業務の効率化に興味のある方は、ぜひ最後まで見ていただけると嬉しいです!
自動化したシステムの概要
今回、自動化に取り組んだのは、「従業員から情シスへの問い合わせ対応業務」です。
MOTEXでは普段、情シスへの問い合わせは「Backlog」というプロジェクト管理ツールで受付・管理しており、従業員がBacklogの課題登録(タスク登録)で情シスへの相談内容を起票し、その問い合わせ内容の確認、調査、回答までを情シスで担っています。
情シスメンバーは僕を含めて6人ですが、この問い合わせ対応以外にも、それぞれがメインタスクや担当プロジェクトを抱えています。しかし、多い日には新規で10件以上の問い合わせ(Backlogの課題)が起票されることもあり、問い合わせ業務がひっ迫して他の業務にリソースを割けないことが悩みの種でした。
そんな課題を解決するため挑戦したのが、今回の「生成AIを活用した自動化」プロジェクトです。
自動化にあたり使用したツールは、以下の2つです。
Zapier:自動化の基盤となるiPaaSです。Zapierで自動化したいことを組み合わせた「Zap」と呼ばれるワークフローを作成します。
生成AI(Azure Open AI):問い合わせデータを学習させて、起票された問い合わせの回答を作成します。
また「自動化した業務の概要」は下記の通りです。
従業員がBacklogで情シスへの問い合わせを起票する。
問い合わせの起票を検知して、Zapierで自動回答のワークフローを実行する。
ワークフロー内で生成AIが問い合わせの回答を作成する。
生成した回答は、BacklogのAPIを経由させ、問い合わせに対してコメントとして追加し、従業員へ回答する。
従業員がBacklogの課題(問い合わせ)を起票すると、下の画像のように生成AIが自動で対応してくれる仕組みを構築しました。情シス(人間)の対応工数が削減できるだけでなく、困っているであろう起票者側もスピーディーに回答を得られるといったメリットがあります。
MOTEX DAYS. 2024 -WINTER- での発表内容
2月に開催したイベント「MOTEX DAYS. 2024 -WINTER-」での、株式会社パンと水と の DXコンサルタント 平岡さんと僕のセッションでは、『MOTEXの情シス業務、生成AIとiPaaSで自動化してみた』と題し、以下の通り、イントロダクションとイベント日までの進捗状況についてお話させていただきました。
業務自動化を検討するにあたってのスタート地点
・業務の全体時間の算出や分類といった「タスクの棚卸」
・業務効率化のインパクト、生成AIの価値をどのように出すかの検討セキュリティを考慮したツール選定方法
生成AIを利用する上で注意するポイント
取り組みを進める上で、自組織でどのような議論があったか
取り組みの所感、今後の展望
今回の記事では、このうち2〜5の段階について、イベントで発表した内容とその補足をさせていただきます。
セキュリティを考慮したツール選定方法
自動化の基盤となるiPaaSの選定ですが、今回は「自動化のしやすさ」と「iPaaSのセキュリティ」を軸にツール選定を行いました。
「自動化のしやすさ」という点では、実装時だけではなく実装後のメンテナンスや拡張性を考慮し、非エンジニアの方でも扱いやすい「make」と「Zapier」というツールが候補に挙がりました。
また「iPaaSのセキュリティ」面では、
外部からの不正アクセス・不正利用を防ぐ「アクセス制御」が利用できるか
クラウドサービス事業者が「安全にサービスを提供できているか」を確認できる、ISO27001やSOC2などの認証を取得しているか
の2点を軸に選定を行いました。
候補に挙がった2種のサービスを比較し、今回はSOC2を取得している、Zapierを利用することに決めました。
生成AIを利用する上で注意するポイント
生成AIを利用するにあたり特に注意したポイントが、「どのようなデータであれば生成AIで利用可能か」の確認です。
MOTEXでは、社内(業務)でAIサービスを利用する際のルールや注意点を取りまとめた「AIサービス利用ガイドライン」を策定しており、社内AIサービス・外部AIサービス(※)それぞれで「入力可能な情報」が定められています。
▼入力可能な情報例
「社外秘情報」の入力は、社内AIサービスであれば可能
「個人情報」の入力は、社内AIサービス・外部AIサービス共に不可
▼エムオーテックスのAIサービス利用ガイドライン
このガイドラインに従って、今回利用する生成AIは「社内AIサービス」である「Azure Open AI(自社で契約・構築した環境)」に決定し、自動回答の対象は「個人情報を含まない問い合わせ」とするよう、方針を定めました。
皆さんの組織で生成AIを利用される際にも、何の情報を活用(入力)したいかに合わせて、どちらのAIサービスを利用するか(一般に公開されている外部AIサービスを利用して問題ないか)を、あらかじめご確認いただくと良いかと思います。
続いて取り組んだのが、「生成AIに学習させる内容」の選定です。 Backlogに蓄積された情シスへの問い合わせは、2022年4月のBacklog運用開始時から累計で約2,500件に上りました。その中でも特に相談頻度の多い「システムトラブル」と「設定変更依頼」に関する問い合わせ、約300件を生成AIに学習をさせました。
このとき注意したのが、問い合わせ内容の分類ごとに必要な「セキュリティレベル」を設定し、生成AIに「学習させない」項目をあらかじめ定めることです。
例えば、回答に個人情報が含まれる「システムのアカウント要求」に関する問い合わせ内容は、セキュリティレベルが高いためAIに学習をさせない、といった具合です。
MOTEXでは下記2点を基準に、問い合わせ項目のセキュリティレベルを設定しました。
・AIに学習させてもよいか
・iPaaSを介してもよいか
事前にセキュリティレベルを設定しておくことで、AIへの意図しない学習を防ぎ、個人情報漏洩などのセキュリティリスクを防止することが可能です。
取り組みを進める上で、自組織でどのような議論があったか?
今回のプロジェクトを始めるにあたり、「どのような業務を自動化するか」について、僕のいる情シス内で議論の場を設けました。
その際に僕が意識していたのが、「自動化の難易度」によって対象を選ぶのではなく、「自動化の結果、少しでも業務がラクになると嬉しい業務」を中心に、対象をピックアップすることです。
「問い合わせ業務への負担を減らしたい」という情シスメンバー共通の悩みを解決することで、情シス部門にとって本当に役立つツールを作ることができたらいいな、という想いが、今回の「生成AIとiPaaSを活用した自動化プロジェクト」の前進につなががったように思います。
取り組みの所感、今後の展望
今回の取り組みで実感したのが、生成AI利用に対するガイドラインがあらかじめ策定されていたり、社内で順守すべきセキュリティ基準が明確化されていたりすることで、その後のプロジェクト進行がスムーズだったという点でした。
仮に、こうした社内ルールが設けられていなければ、最初の業務利用に安全なツールは何かを選定する段階で難航していたかもしれません。また、その後もポリシーを決めずに進めてしまい、セキュリティ基準を満たさない生成AIの活用を行って、会社・組織のセキュリティリスクを高め、最悪の場合、情報漏洩などのインシデントにつながっていた可能性もあります。
今回この記事を読んで「自社でもAIを活用した自動化ツールを作りたい!」と感じてくださった方は、まず第一歩として、社内でガイドラインを策定する、あるいは官公庁や業界団体などが公開しているガイドラインを参考に、安全なツール選定や生成AI利用を心掛けていただければと思います。
MOTEXでも Webセキュリティの専門家が監修した、「生成AIガイドラインのサンプル」を皆さんに提供しているので、お困りの方はぜひご活用ください。
Webセキュリティ専門家 徳丸 浩 監修『AIサービス利用ガイドライン』
なお・・・
今回構築した自動化システムはまだ試験段階なので、今後は本番環境での運用と、それに伴う効果測定に取り組んでいく予定です。実際に「問い合わせ対応の時間が大幅に削減できた」など、大きな成果が得られた際には、情シス部門以外の部署が行っている社内問い合わせ業務の改善活動にも横展開するなど、生成AIの社内導入の拡大を検討していきたいです。
さいごに
今回は「情シス業務は、生成AIとiPaaSで自動化できるのか」をテーマに、ガイドラインやセキュリティ基準に基づいたツール選定の方法や、生成AIを活用する上で注意すべきポイント、今後の展望などについてご紹介しました。いかがでしたか?
「情シス業務自動化ツール」の、本番環境での運用はこれからなので、また次回以降の記事でその後の進捗・効果計測の結果などをご報告できればと思います!ご期待ください!