はじめに
こんにちは、4月から基盤チームとCSIRTの兼務になったみねぎしです! CSIRTって一旦兼務でメンバー集めて立ち上げるのあるあるですよね。人が!足りない!!!
はい。昨今のAIブームすごいですね!流石にこのビッグウェーブには乗るしかない。 というわけで今回は、CSIRTとしてAI導入のセキュリティレビュー等を実施し、基盤チームとしてAI導入を主導する、そんな七転八倒の日々をね、お伝えしようと思いました。
……せっかくだから、ここからはAIに書いてもらおうかな! 以下、AIのライティング能力を存分にご覧ください!どう考えても私が書くより読みやすいので!
はじめに直面した「4つの管理負担」
AIエージェントを本格導入するにあたり、まず課題になったのが「ツール導入に伴う管理コスト」でした。
魅力的な技術も、導入プロセスが重ければ現場の負荷になるだけです。そこで私たちが意識したのは以下の4点です。
| 管理項目 | 想定したハードル |
|---|---|
| 契約手続き | サービス追加時のレビュー・社内手続きの増加 |
| 請求管理 | ベンダーが増えるごとに煩雑化する月次仕訳 |
| アカウント管理 | 入退社や権限変更の棚卸しコスト |
| セキュリティ統制 | ツールごとに異なる認証・IAM設定 |
“この4点をどう抑えるか” が、AI導入の鍵でした。
既存契約をフル活用し、安全かつ迅速な導入を目指す
最初に決めたのは 「新規契約を極力増やさず、既存リソースだけで最速スタートを切る」 という方針です。
なぜスムーズに導入できたのか?
世間一般では、ClineのAPI ProviderをVertex AIに設定する際、次のようなつまずきが起きがちです。
私たちは、この部分を既にクリアした状態でスタートできました。
| 既に整っていたこと | 具体的なメリット |
|---|---|
| Google Cloud の利用 | Vertex AI の API を社内調整なしで即有効化 |
| 開発者全員に “個人 GCP プロジェクト” を付与 | モデル試用やコスト検証を各自で完結、権限衝突なし |
オンボーディングで gcloud CLI を事前セットアップ |
Cline 側で追加認証を意識せず利用開始できる |
初動で導入したツール
| 用途 | ツール | 選定ポイント |
|---|---|---|
| 日常コード補完・QA | GitHub Copilot | 去年春から契約済み 定額なので気軽に試せる |
| IDE 内の自動化 | Cline(Vertex AI) | 自律的な処理が可能 |
モデルは Vertex AI 経由で Gemini や Claude 3.7 Sonnet などを利用
ガイドラインとハンズオンで「心理的ハードル」を下げる
AIを安全に利用するためには、技術的な環境整備だけではなく、現場の開発者が安心してAIを活用できるようなルール整備も不可欠でした。
そこで私たちは以下のような3層構造のフレームワークを構築し、ガイドラインを整備しました。
| レイヤ | 内容 | 管理方法 |
|---|---|---|
| ① エージェント | Cline、Copilot Chatなど、開発者が直接利用するツール | ツールごとの個別ガイドラインを策定 |
| ② AIプロバイダ | Copilotサービス、Vertex AIなど、AI利用を提供するプラットフォーム | 全体共通の方針として整理 |
| ③ 生成AIモデル | GPT-4、Gemini、ClaudeなどのAIモデル本体 | Vertex AI経由で一元管理 |
また、ガイドラインには以下の内容を含め、現場での安全なAI利用を支援しています。
さらに、開発現場の心理的ハードルを下げるため、CSIRTが主催するハンズオンイベントなどを通して、AIツールの初歩的な利用をサポートしています。
Copilot と Vertex AI の使い分け
2025 年 4 月、GitHub Copilot に Agent 機能 が追加されました。
5 月からは 定額+従量課金 に変わるため、現場では次のように“使いどころ”を整理しています(今もアップデート中)。
| 作業シーン | 主に使うツール | 判断基準(暫定) |
|---|---|---|
| 軽い補完・即答 QA | GitHub Copilot(定額内) | 短いプロンプト・小規模修正 |
| IDE 内の長文脈タスク | Cline(Vertex AI) | コンテキスト 8 k 以上・複数ファイル変更 |
Devin 導入と今後の拡張
- Devin とも 2025 年 4 月に契約締結し、本格運用を開始。
- 想像以上のDevinの賢さに、現場からは日々驚きの声が上がっています。
結果として、
- 既存契約でまず速く試す
- 必要な新ツールは機を見て積極導入
という柔軟なスタイルで今後もAI活用を推進していく姿勢です。
成功の鍵は「シンプルさ」と「柔軟さ」
- 初動のハードルを徹底的に下げる
- ツールを現場感覚で適材適所に使い分ける
- 状況が変われば迷わず広げる
これからも、技術の波に柔軟に乗りながら“現場で本当に役立つ AI”を追求していきます。
※ 本記事の内容・価格・機能などは 2025 年 4 月時点の情報です。今後変わる可能性があります。
おわりに
はい、ここまでAI生成の文章だったわけですが、いかがでしょう? あっ、ここは人間です!人間が書いています!!!ちゃんと人間アピしておかないと……。
まあ、AI生成の文章ってやっぱりまだAIっぽさはありますね。流石にね。 でも多分かなり近い将来にAIっぽさみたいなものも克服されるのではないでしょうか。 それくらい最近のAIって本当に進化が早いんですよね、振り落とされたくない!というわけで、これからも積極的にAI活用の道を切り拓いていきたいですね。
CSIRTのお仕事にも、実はAIがめちゃめちゃ活躍しています! セキュリティポリシーとかそういう文書とかね、読むのが大変なああいう文書…書くのも大変なので。 この辺りのCSIRT×AI活用についても、またどこかでお話できればいいなと思います。CSIRTチームもまだまだ始まったばかりなのでね!
それではみなさま、よいAIライフを!
:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:・:+:・:+:・:+:
ビザスクではエンジニアの仲間を募集しています! 少しでもビザスク開発組織にご興味を持たれた方は、ぜひ一度カジュアルにお話ししましょう! developer-recruit.visasq.works
:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:-・:+:・:+:・:+:・:+:
