社内SEゆうきの徒然日記

社内SE歴20年以上の経験からIT全般についてつぶやきます

トップ > AI > 【コピペで使える】情シスの"探偵"プロンプト公開!取引先のセキュリティを丸裸にするLLM活用術

【コピペで使える】情シスの"探偵"プロンプト公開!取引先のセキュリティを丸裸にするLLM活用術

AI セキュリティ



現代情シスのジレンマ:増え続けるリスク、足りない時間

情報システム部門、通称「情シス」の担当者であれば、日々の業務がいかに多岐にわたり、プレッシャーに満ちているかを痛感していることでしょう。「パスワードを忘れました」という問い合わせの洪水、あらゆるソフトウェアの専門家であるという周囲の期待、そして常に限られた予算とリソースとの戦い。これらは多くの情シス担当者が直面する「あるある」な悩みです 。

この状況は、近年のビジネス環境の変化によってさらに深刻化しています。クラウドサービスの普及とリモートワークの常態化は、従来の「城と堀」のような境界型セキュリティモデルを過去のものとしました. 企業のネットワーク境界は曖昧になり、保護すべき対象は無数に拡散しました。その結果、多くの企業が統一されたセキュリティアーキテクチャや戦略を欠いたまま、新たな脅威に晒されています 。

特に、新しいITツールやSaaSを導入する際のベンダー選定は、情シスの頭を悩ませる大きな課題です。従来の方法である「セキュリティチェックシート」を用いた調査は、その非効率性の象徴ともいえます。シートの項目作成は難しく、ベンダーから意図した通りの回答を得るのも一苦労です。このプロセスは、自社とベンダー双方に膨大な管理負担を強いるだけで、実質的なセキュリティレベルの評価に繋がりにくいのが実情です 。

ビジネス部門は競争力を維持するために、次々と新しいツールの導入を要求します。しかし、情シスは人手不足の中で、すべての要求に対して迅速かつ詳細な手作業のデューデリジェンス(適正評価手続き)を行うことは物理的に不可能です 。その結果、プロセスを滞らせないために、表面的なチェックで済ませたり、ベンダーの自己申告を鵜呑みにしたりするケースが後を絶ちません。このテクノロジー導入の速さと、手作業によるセキュリティ評価の遅さとの間に生じるギャップは、いわば「デューデリジェンス負債」として組織内に静かに蓄積されていきます。この負債は、非効率なプロセスが「ある程度のリスクは許容せざるを得ない」という文化を生み出した直接的な結果なのです。

さらに、導入されるツールの数が増えれば増えるほど、「セキュリティのスプロール化(無秩序な拡大)」という問題が深刻化します 。各ツールが独自のセキュリティ設定、アカウント、権限を持つため、一元管理が極めて困難になります。IDやパスワードの管理が煩雑化し、システム間の連携が不足することで、個々のツールが安全であっても、全体としてシステム的な脆弱性が生まれてしまうのです 。

このような複雑な状況において、ベンダーを評価する際には、単に製品の機能だけでなく、その企業の信頼性や倫理観といった、より本質的な要素を見極めることが不可欠です。本記事では、この困難なタスクを劇的に効率化し、より深く、より正確にベンダーを評価するための、大規模言語モデル(LLM)を活用した画期的なアプローチを紹介します。

"探偵"プロンプト:AIを優秀な調査アシスタントに変える魔法の呪文

ここで紹介するのは、汎用的なLLMを、企業の深層を調査する専門アナリストへと変貌させるために設計されたプロンプトです。このプロンプトをコピー&ペーストして、調査したい企業名(●●●の部分)を入れ替えるだけで、誰でも高度なセキュリティチェックを開始できます。

※chatGPT Gemini Claude grokで動作確認済み

(上記以外は虚偽を答えるように仕組まれているLLMもあるから注意)

 depresearch推奨

※沿革、経歴ロンダリングはやましいことがあるから隠している可能性が高いと考えて良いと思います。

ロンダリングすごく多いです。アメリカ企業と思って安心してたのに何らかの意図を持った実はペーパーカンパニーということも少なくないです。

※あくまでもAI(LLM)は事実を調査するのみです。恣意性を排除するため事実に基づく調査結果をみて採用判断の最終決断をするのは人間です。

※セキュリティ判断はメディア報道やインフルエンサーの声を聞いて決めるべきものではありません。みんなが使っているからと安易に決めるべきではありませんこれらは案件や政治的動機など恣意性が入っていることが多いので、事実から判断すべきです。

あなたは組織内の情シスのセキュリテイ担当です。●●●を徹底的にセキュリテイチェックをしてください。その組織の沿革及び創設者の経歴。ペーパーカンパニーを除外するために本社所在地に本当に会社があるかチェックしてください。経歴ロンダリングがないか徹底的に調査して。また情報セキュリティに詳しい人の見解も調べて。参考までに製造国も列挙してください。それぞれ先入観や推測を除外するために参照アドレスも明記して。以上をまとめて報告書を作成して

 

一例

k5963k.hateblo.jp

ファクトチェック

 

www.newsweekjapan.jp

 

 

さらに応用編としてgem(GPTSのようなもの GPTSでできるかどうかは知らない)をあらかじめ作成しておくという方法もあります。

調べたい企業名または製品名を入れるだけでチェックできます。

 

 

 

 

あなたは組織内の情シスのセキュリテイ担当です。入力された企業名または製品名を徹底的にセキュリテイチェックをしてください。その組織の沿革及び創設者の経歴。ペーパーカンパニーを除外するために本社所在地に本当に会社があるかチェックしてください。経歴ロンダリングがないか徹底的に調査して。また情報セキュリティに詳しい人の見解も調べて。参考までに製造国も列挙してください。それぞれ先入観や推測を除外するために参照アドレスも明記して。以上をまとめて報告書を作成して また添付のエンティティリストを参照してこれに該当するかも調べて

 

エンティティリスト

https://www.bis.doc.gov/index.php/documents/regulations-docs/2347-744-supp-4-6/file

RAG環境を作成。。。

エンティティリスト - Wikipedia

 

 

 




応用としてこのようなgemini用gemを作成しておき、アメリカ政府が公開している約700ページにも上るエンティティリスト(ブラックリスト)を参照させるという方法もあります。

 

https://www.youtube.com/watch?v=I7YBNJkGurA

 

これからの時代はAIに使われるのではなく、アイデアを出してAIを使いこなせるようにならないと…

見ての通りプログラミングスキルは必要なし。

AIをユーザーとしてpythonが必要というのは誤解(AIを開発する人だけ必要)。

必要なものはアイデアとプロンプトをかける日本語能力だけ。

 

プロンプトの解剖学:各命令に隠された戦略的意図

このプロンプトは、一見すると単純な指示の羅列に見えるかもしれません。しかし、各命令は現代のビジネスリスクを的確に洗い出すために、戦略的に配置されています。一つ一つのコマンドがどのような意味を持つのか、詳しく見ていきましょう。

3.1. ペルソナとコンテキスト設定: あなたは組織内の情シスのセキュリテイ担当です。

最初のこの一文は、LLMの思考の方向性を決定づける極めて重要な命令です。これにより、LLMは単なる情報検索エンジンではなく、「企業リスク」「脆弱性」「コンプライアンス」という専門的なレンズを通して、すべての情報を分析・評価するようになります。生成されるアウトプットが、情シス担当者の求める文脈に沿った、的確なものになります。

3.2. 企業と創設者の経歴調査: その組織の経歴及び創設者の経歴。

これは単なる沿革の確認ではありません。創設者の経歴や過去の実績は、その企業の文化や倫理観を映し出す鏡です。もちろん、多様な経歴を持つ成功した起業家は数多く存在します 。しかし、過去に訴訟問題を抱えていたり、突然事業を閉鎖したり、あるいは金銭的な不正に関与した経歴があれば、それは重大な危険信号です。創設者や経営陣が不正行為に関与した過去は、企業そのものに損害賠償責任や深刻なレピュテーションリスク(評判リスク)をもたらす可能性があります 。LLMは公的記録、ニュース記事、専門家データベースなどを横断的に調査し、これらの情報を収集します 。

製品の品質やセキュリティは、単なる技術的な仕様ではなく、経営陣によるリソース配分、優先順位付け、そして品質へのコミットメントの表れです。安定性よりも急成長を優先したり、顧客や投資家に不利益をもたらす形で事業を終えたりした経験を持つ創設者は、現在の会社でも同様の文化を育んでいる可能性があります。創設者のプロフェッショナルとしての「DNA」を調査することは、その企業が持続可能で質の高い製品開発を行っているのか、それともセキュリティを後回しにする「とにかく早く動け」という文化に支配されているのかを見極めるための、強力な予測材料となるのです。

3.3. ペーパーカンパニーの排除: ペーパーカンパニーを除外するために本社所在地に本当に会社があるかチェックしてください。

この命令は、デジタル上の存在を物理的な現実世界に引き戻す、強力な「実在性チェック」です。ペーパーカンパニーとは、登記上は存在するものの事業実態のない法人のことであり、脱税、マネーロンダリング、詐欺といった違法行為の温床となりがちです 。

物理的な事務所が存在しない、頻繁に社名や所在地を変更している、信頼できるウェブサイトや公開情報が極端に少ない、といった点はペーパーカンパニーの典型的な特徴です 。このプロンプトは、LLMに対してGoogleマップや地域のビジネスディレクトリ、オフィスの開設に関するニュースなどを通じて、物理的な存在の証拠を探すよう指示します。デジタル上でどれだけ立派なウェブサイトを構えていても、現実世界での足場がなければ、その信頼性は著しく低いと判断できます。この「リアリティアンカー(現実世界の錨)」の原則は、説明責任を回避しようとする実態のない企業をふるい落とすための、シンプルかつ非常に効果的なフィルターです。

3.4. 「経歴ロンダリング」の摘発: 経歴ロンダリングがないか徹底的に調査して。

これは非常に高度な調査指示です。「経歴ロンダリング」とは、単に履歴書で嘘をつくことではありません。問題のある過去を隠蔽、あるいは「洗浄」するために、一見正当な職歴や学歴を戦略的に利用する行為を指します 。例えば、キャリアの空白期間を埋めるために短期の派遣契約を利用したり 、評価の低い大学の出身であることを隠すために、より名門の大学院に進学したりするケースがこれにあたります 。過去のデジタルタトゥー(ネット上のネガティブな情報)から逃れるために改名する手口も存在します 。

創設者の場合、事業の失敗や法的トラブルの過去を隠すために、短命のスタートアップを転々としたり、名前を変えたりする可能性があります 。LLMは、LinkedIn、企業の公式バイオグラフィ、ニュース記事など、複数の情報源を比較・突合することで、経歴の不整合や意図的な隠蔽を示唆するパターンを検出できます。

経歴ロンダリングという行為そのものが、透明性の欠如という強力なシグナルを発しています。自らの経歴を偽って信頼を得ようとする人物が、自社製品の脆弱性、過去のデータ漏洩インシデント、あるいは経営の不安定さについて、正直に情報を開示するでしょうか。ビジネスパートナーとしての誠実さを測る上で、これは極めて重要な調査項目です。

3.5. 専門家の見解の収集: また情報セキュリティに詳しい人の見解も調べて。

この命令は、現代のマーケティングに蔓延する「ステルスマーケティング(ステマ)」への直接的な対抗策です。今日の市場では、オールドメディアの信頼性が低いことは言うまでもありませんが、ネットも一般のユーザーレビューやインフルエンサーによる推薦は、容易に操作されたり、金銭で買われたりする可能性があります 。

ステマには、企業が一般ユーザーになりすまして好意的なレビューを投稿する「なりすまし型」と、インフルエンサーに対価を支払いながらその事実を隠して宣伝させる「利益提供秘匿型」の2種類があります 。日本では2023年10月より、こうした行為は景品表示法違反として明確に規制されています 。

情シス担当者が求めるのは、マーケティングによって歪められた情報ではなく、客観的で信頼性の高い分析です。一般的なユーザーレビューや宣伝文句は「ノイズ」に過ぎません。一方で、尊敬されるセキュリティ研究者、技術ブロガー、業界アナリストによる独立した分析は、意思決定の根拠となる「シグナル」です。このプロンプトは、LLMに対して明確にその「シグナル」を探すよう指示します。検索結果の上位に表示されるマーケティング情報ではなく、技術カンファレンスの発表資料、詳細なセキュリティレビューブログ、専門調査会社のレポートといった、信頼性の高い情報源を優先的に収集させることで、情報の質を劇的に向上させます。

3.6. サプライチェーンと地政学リスク: 参考までに製造国も列挙してください。

グローバル化した現代において、サプライチェーンの把握はリスク管理の重要な要素です。ハードウェアの製造国やソフトウェアが開発されている拠点の場所は、セキュリティ、データプライバシー規制(GDPRなど)、そして地政学的なリスクに大きな影響を与えます。この項目は、そうした広範なリスクを評価するための基礎情報を提供します。

3.7. 検証可能性の黄金律: それぞれ先入観や推測を除外するために参照アドレスも明記して。

これは、プロンプト全体の中で最も重要な命令と言っても過言ではありません。LLMの出力を信頼でき、監査可能で、客観的なものにするための核心的なメカニズムです。

LLMは、その仕組み上、もっともらしい嘘(ハルシネーション)を生成することがあります。しかし、すべての主張に対して参照元のURLを要求することで、LLMはその回答を具体的で検証可能なデータに基づかせることを強制されます。これは、LLMがまず関連文書を検索し、その内容を基に回答を生成するRAG(Retrieval-Augmented Generation:検索拡張生成)という先進的な技術の考え方とも一致します 。この命令は、AIによる評価の客観性を担保する上でも不可欠です 。

この命令は、ユーザーとAIの関係性を根本的に変えます。参照元がなければ、LLMは「神託(オラクル)」であり、その答えを信じるしかありません。しかし、参照元を要求することで、LLMは「非常に効率的なリサーチアシスタント」へと変わります 。AIが情報収集という骨の折れる作業(What)をこなし、人間の専門家がその情報の質を評価し、最終的な判断を下すという、理想的な協業関係を築くことができるのです。これにより、調査プロセス全体が透明化され、最終的な意思決定は揺るぎない根拠を持つものになります。

AIがもたらす優位性:スピード、網羅性、客観性

この"探偵"プロンプトを活用することで、従来のデューデリジェンスのあり方は根本から変わります。その利点は、効率性、網羅性、そして客観性という3つの側面から明確に説明できます。

  • 効率性の革命: 人間のアナリストが数日から数週間かけて行っていた手作業での情報収集、読解、要約といったプロセスを、LLMはわずか数分から数時間で完了させます 。これにより、情シスの専門家は、単調な情報収集作業から解放され、リスク分析、戦略立案、関係者とのコミュニケーションといった、より付加価値の高い業務に集中できるようになります。
  • 圧倒的な網羅性: LLMは、人間が物理的に処理できる量をはるかに超える、膨大かつ多様な情報源(ニュースアーカイブ、技術フォーラム、規制当局の提出書類、各国の出版物など)を瞬時にスキャンし、分析します。これにより、調査の網羅性が飛躍的に向上し、手作業では見逃してしまいがちな関連性や危険信号を発見する可能性が高まります。
  • 設計された客観性: 完全に公平なシステムは存在しませんが、このプロンプトは客観性を最大化するように設計されています。事実に基づいた情報源と専門家の見解を要求することで、マーケティングの誇張表現や、人間の調査に影響を与えがちな確証バイアスといった認知バイアスの影響を最小限に抑えます。LLMは、初期の情報収集プロセスを標準化する、客観的な評価者として機能します 。

デューデリジェンスの変革:手作業 vs. LLM支援

評価基準

従来の手作業プロセス

LLM支援プロセス("探偵"プロンプト使用)

価値提案

時間的投資

数日から数週間にわたる手作業での調査と報告書作成。

数分から数時間での初期データ収集と統合。

抜本的な効率化:専門家の時間を単純作業から解放し、戦略的分析に集中させる。

範囲と網羅性

アナリストの時間、語学力、情報源へのアクセスに限定される。情報を見逃す可能性が高い。

ニュースアーカイブ、技術フォーラム、公的記録など、広範で多言語のインターネットソースをスキャン。

前例のない徹底性:より広範なデータプールから、深い洞察と隠れたリスクを発見する。

客観性

確証バイアス、検索エンジンのパーソナライズ、疲労などの影響を受けやすい。

指定された情報源から取得したデータに基づく。プロンプトがマーケティング情報より専門家の見解を優先。

データ駆動の基盤:初期情報収集段階での人的バイアスを低減し、より客観的な意思決定を促進する。

検証可能性と監査証跡

アナリストのメモや記憶に依存。調査プロセスの再現が困難な場合がある。

すべての主要な発見が参照元URLに直接リンク。プロセス全体が文書化され、再現可能。

完全な透明性:監査可能な証跡を作成し、最終決定の正当性と信頼性を担保する。

コスト

専門アナリストの人件費という形で高コスト。

既存のLLMサブスクリプションを利用するため、クエリあたりの追加コストは低い。

大きな投資対効果:詳細なデューデリジェンスのコストを劇的に下げ、より広範な対象に適用可能にする。

結論:人間の専門知識を「代替」するのではなく「拡張」する

強調すべきは、このプロンプトがセキュリティ評価の「魔法の杖」ではないということです。これは、情報収集という、プロセスの中で最も時間を要する部分を自動化する、強力な「能力増幅器」です。収集された情報を分析し、解釈し、リスクに基づいた最終的な意思決定を下すという、最も重要なステップは、依然として熟練したセキュリティ専門家の領域です。LLMが点(データ)を提供し、専門家がそれらの点を線で結び、意味のある絵(洞察)を描くのです。

このアプローチは、プロフェッショナルなデューデリジェンスの未来の姿を示しています。情報が氾濫し、脅威が急速に進化する現代において、AIの活用はもはや贅沢品ではなく、効果的なリスク管理を行うための必須要件です。

ぜひ、この記事で紹介したプロンプトをコピーし、自社のニーズに合わせてテストし、改良してみてください。LLMをセキュリティツールキットの中核に据え、チームを事後対応型から、データに基づいた事前対応型の組織へと変革させる第一歩を踏み出しましょう。

引用文献

1. 情シスあるある12選|抜本的なお悩み解決法についても解説します ..., https://plus.cmknet.co.jp/jyoushisu-aruaru12/ 2. ニューノーマルにおけるセキュリティの課題と対策を徹底解説|IDaaS推進室|Okta, https://www.hitachi-solutions.co.jp/okta/column/idaas-newnormal-security/ 3. クラウドセキュリティーの4課題|オンプレミスと異なる「守り方 ..., https://www.nri-secure.co.jp/blog/4-challenges-of-cloud-security 4. クラウドサービスのセキュリティチェックシートは、なぜ必要なのか? | assured.jp, https://assured.jp/column/knowledge-security-check-sheet 5. クラウドサービス事業者はセキュリティチェックシートにどう向き合う?課題や運用ポイントを解説, https://safie.jp/article/post_20255/ 6. セキュリティ課題と解決方法 | ソリューション | 株式会社NTTデータ関西, https://www.nttdata-kansai.co.jp/security/solution.html 7. IT起業家が紹介!IT起業した人の成功事例9選。, https://engineer-daily.com/success-stories-of-it-entrepreneurs/ 8. 起業の成功例17選!成功率や起業家に共通する特徴もご紹介 - 創業手帳, https://sogyotecho.jp/kigyou-seikourei/ 9. レピュテーションリスクとは?事例や発生原因&対策方法を詳しく ..., https://luminage.co.jp/blog/7867/ 10. 不正・不祥事を理由とする取締役に対する責任追及 - 牛島総合法律事務所, https://www.ushijima-law.gr.jp/client-alert_seminar/client-alert/20210905-2/ 11. 騙されないために!自社でできる取引先の調査テクニック|中小企業 ..., https://brains-mt.com/corporate-management/finance/credit-control/ 12. インターネット上で発信のない経営者や人物の情報の調べ方 - G-Search フル活用ブログ, https://service.g-search.jp/2022/02/02/01028.html 13. TSR経営者情報ファイル | 商品・サービス - 東京商工リサーチ, https://www.tsr-net.co.jp/service/detail/file-owner.html 14. ペーパーカンパニーとは?設立方法やメリット、デメリットについても解説 - freee, https://www.freee.co.jp/kb/kb-launch/paper-company/ 15. ペーパーカンパニーとは?作り方・目的・リスクを解説 | マネーフォワード クラウド会社設立, https://biz.moneyforward.com/establish/basic/77164/ 16. ペーパーカンパニーとは?取引する際のリスクと対策・調べ方を徹底解説, https://ekyc.nexway.co.jp/blog/75 17. ペーパーカンパニーとは?節税になる?作り方や調べ方、違法性も ..., https://www.agsc.co.jp/ags-media/18152/ 18. ペーパーカンパニーとは?違法性やマイクロ法人との違いを解説 - バーチャルオフィス「レゾナンス」, https://virtualoffice-resonance.jp/column/what-kind-of-company-is-a-paper-company/ 19. 職歴ロンダリングとは?メリット・デメリットや具体的な方法も ..., https://se-navi.jp/media/4597/ 20. 偽名や戸籍偽装の人は信用できない!ネームロンダリングの現状を知る - 株式会社トクチョー, https://www.tokucho.co.jp/namelaundering/ 21. 学歴ロンダリングとは?意味やメリット・デメリット、転職への影響を解説, https://izul.co.jp/media/business-skill/education-laundering/ 22. 「学歴ロンダリング」は国際標準に。学歴ガラパゴス日本でも社会人院生がブームに - 婦人公論, https://fujinkoron.jp/articles/-/4057 23. 悪用厳禁!裏社会の事情通が明かす「完全な別人として生きる」手口とお値段をのぞき見, https://diamond.jp/articles/-/297152 24. ステルスマーケティングはなぜ悪い?リスクと事例を対策とあわせ ..., https://kazeniwa.co.jp/penguin/5648 25. ステルスマーケティング(ステマ)の実態とその影響 | GENIEE CX NAV1, https://geniee.co.jp/cx-navi/marketing/stealth-marketing/ 26. ステルスマーケティングとは?ステマ規制の概要や注意点をわかりやすく解説 | ReviCo レビコ, https://www.revico.net/2024/12/23/column/trend/stealth-marketing-mean/ 27. ステマの危険性と2024年の規制強化 ~企業が取るべきリスク対策と透明性確保のポイント, https://www.e-guardian.co.jp/blog/20241225.html 28. 何が悪い?ステルスマーケティング(ステマ)の意味や注意点をわかりやすく解説, https://www.89ji.com/keihyou-guide/stealth_marketing.html 29. LLMとRAGで社内情報検索を効率化!検索・活用における生成AIの役割やメリット, https://ai-market.jp/purpose/rag-internal-information/ 30. LLMをLLMで評価するLLM-as-a-Judgeとは?メリット・活用シーン ..., https://ai-market.jp/technology/llm-as-a-judge/ 31. AI予測とは?仕組みやできること、メリット・デメリットや事例まで解説 - Salesforce, https://www.salesforce.com/jp/blog/jp-using-predictive-ai-in-business/ 32. LLMの評価を効率化: ベンチマークデータセットを活用するメリットと具体例 - Zenn, https://zenn.dev/rokkaku_dev/articles/ce202e65a9a6aa 33. LLMによる業務効率化を図るには?活用事例を紹介 - 株式会社SP, https://s-p-net.com/llm%E3%81%AB%E3%82%88%E3%82%8B%E6%A5%AD%E5%8B%99%E5%8A%B9%E7%8E%87%E5%8C%96%E3%82%92%E5%9B%B3%E3%82%8B%E3%81%AB%E3%81%AF%EF%BC%9F%E6%B4%BB%E7%94%A8%E4%BA%8B%E4%BE%8B%E3%82%92%E7%B4%B9%E4%BB%8B/ 34. 【実践者が教える】LLMで業務効率が3倍になった9つの活用術 - note, https://note.com/lucky_ram7202/n/nb8b79ab63228 35. 業務効率化の新時代!LLMがデータ分析を変える、その全貌 - サードパーティートラスト, https://3pt.co.jp/media/article/AI%E6%99%82%E4%BB%A3%E3%81%AE%E3%83%87%E3%83%BC%E3%82%BF%E5%88%86%E6%9E%90/LLMO/1096/llm-data-analysis-efficiency

にほんブログ村 IT技術ブログ IT技術メモへ
にほんブログ村 IT技術ブログ セキュリティ・暗号化へ
.