概要
https://zenn.dev/gatechnologies/articles/4327115bdc0358
詳細内容
## Geminiで要件・設計のセキュリティレビューを自動化し、工数を90%削減した話
https://zenn.dev/gatechnologies/articles/4327115bdc0358
GAテクノロジーズは、生成AIのGeminiを用い、要件・設計段階のセキュリティレビューを自動化することで、レビュー工数を90%削減し、セキュリティ担当者の業務を高度な分析へと転換させました。
**Content Type**: ⚙️ Tools
**Scores**: Signal:4/5 | Depth:4/5 | Unique:4/5 | Practical:5/5 | Anti-Hype:4/5
**Main Journal**: 86/100 | **Annex Potential**: 84/100 | **Overall**: 84/100
**Topics**: [[セキュリティレビュー自動化, Gemini活用, プロンプトエンジニアリング, シフトレフトセキュリティ, 業務効率化]]
GAテクノロジーズは、開発上流工程である要件・設計段階のセキュリティレビューにおいて、属人化と工数増大という課題を抱えていました。このボトルネックを解消するため、彼らはGoogle Workspaceで利用可能な生成AI、Gemini Proを活用した自動化アプローチを導入しました。重要な点は、Gemini Proが既存インフラで追加コストなしに利用でき、かつ機密情報がAI学習に利用されない点です。
この取り組みの核心は、徹底したプロンプトエンジニアリングにあります。初期の単純な指示では一般的な指摘しか得られなかったため、「経験豊富なセキュリティエンジニア」というペルソナ付与、STRIDE脅威分析やプライバシー関連法、社内ルールといった具体的なレビュー観点の指定、さらにRENOSYサービス固有の用語定義や社内コンプライアンス規則などの**組織固有のコンテキスト**を詳細にプロンプトに組み込むことで、AIの出力精度を劇的に向上させました。これにより、Geminiがより実用的な指摘事項を構造化された形式で提供可能になりました。また、複雑なプロンプトを再利用するためにGeminiの「Gem」機能を活用し、効率化を図っています。
結果として、これまで1件あたり2〜4時間を要していたレビュー工数が10分〜1時間にまで約90%削減されました。この自動化は、Zoom連携機能の設計レビューでSaaS固有のベストプラクティスをAIが推奨するなど、具体的な効果を発揮しました。セキュリティチームは調査・作業から解放され、AIによる一次分析結果の妥当性評価や、より高度な脅威分析といった専門的な業務に注力できるようになりました。これは、開発ライフサイクルのできるだけ早期にセキュリティを組み込む「シフトレフト」の強力な推進力となり、ウェブアプリケーション開発の効率と品質を両立させる上で極めて重要です。今後はGemini APIを用いたSlack Bot連携によるセルフサービス化も実現しており、開発者は自らレビューを実行できるようになっています。