「やりたくない仕事」からAI化せよ ――NEC CISOが語る、生成AIでセキュリティ防御を変えるための組織の作法：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

SecurityWeek 2026 冬の基調講演に、NECのCISO淵上真一氏が登壇。生成AI時代の防御術として「やりたくない仕事」をAIに置換する逆転の発想を披露した。訓練メールや報告書作成を最大9割効率化した自社の実践を通じ、削減した時間を高度な業務へ再配分する、実利的なAI活用の要諦を説く。

[周藤瞳美，ITmedia]

　生成AIの登場は、攻撃者にとって"悪用の戦果の刈り取り時期"をもたらした。守る側はこの技術をどう活かすべきか。従業員約11万人、端末約26万台を擁するNECグループ全体のCISOとしてサイバー防御を統括する淵上真一氏は、「『AIで何ができるか』から発想するのではなく、『自分たちがやりたくない仕事』から置き換えるべき」と強調する。試行錯誤の最前線から語られた、組織へのAI浸透の具体策と、守りの現在地とは。

攻撃者は儲かるビジネスモデルを探し始めた

　淵上氏はまず、生成AIを取り巻く環境の変化を整理した。AIは特化型の予測AIから生成AI、そしてAIエージェントへと進化してきた。守る側にとっては、ノウハウがツール化・プラットフォーム化され、複雑な問題を柔軟に解決してくれる恩恵が見え始めた時代でもある。だが、同じ技術は攻撃者の手にも渡っている。淵上氏は、「攻撃側にとって現在は、悪用の戦果の刈り取り時期に入っています」と指摘する。

　「攻撃者は、今まで蓄えていたノウハウを、生成AIを使って増幅しています。AIエージェントの登場により、効率よく攻撃できる、儲かるビジネスモデルを探索する時代に入りました」（淵上氏）

　そのうえで淵上氏は、現在の企業におけるAI活用を「ビジネスプロセスの高度化」と「効率化」という2つの大きな潮流に整理した。

　「高度化」とは、従来人間が行っていた業務の質をAIで引き上げるアプローチだ。セキュリティ領域においては、金融システムでの不正取引検知をよりきめ細かく行ったり、産業制御システムで従来は見逃されていた異常を検知したりといった事例が生まれている。膨大なデータから自社に必要な情報を抽出する脅威インテリジェンスの生成も、この高度化に含まれる。

　一方の「効率化」は、圧倒的な生産性向上を目指す動きだ。コンテンツ作成やカスタマーサポートの自動化はもとより、ソフトウェア開発ではコード生成AIの台頭により「コードを書くこと自体の価値が問い直されている」と淵上氏は指摘する。教育やデータ分析など、幅広い領域で業務コストの圧縮が進んでいる。

　NECは、この「高度化」と「効率化」の両輪を、自社のビジネスプロセス全体、そしてセキュリティ防御の現場に組み込もうとしている。

「やりたくない仕事ランキング」から始まった、NECのAIセキュリティ変革

　NECではAIの利活用を「AIトランスフォーメーション」と位置づけ、組織的に推進してきた。自社開発のAIコア技術「cotomi」を中心に据えつつ、さまざまなLLMを安全に利用できるフロントエンドの仕組みを構築。経営・営業・BPO・SI・IT運用・リスク・セキュリティの7領域に分けて、それぞれの担当部門がAI活用を推進している。

　だが、仕組みを作れば自動的に全員がAIを使い始めるわけではない。社内浸透の壁を越えるためにNECのセキュリティ部門が取ったアプローチは、意外なものだった。

　「AIを使って何ができるかを先に考えると、なかなか発想が膨らまない。そこで我々は『やりたくない仕事ランキング』を作りました。とにかく自分たちがやりたくない仕事をどんどん挙げていき、そのランキング上位の業務からAIに置き換えていったのです」（淵上氏）

　「AIで何ができるか」ではなく、「自分たちがやりたくないこと」から出発する。この逆転の発想が、セキュリティ部門でのAI活用を加速させた。加えて、活用コンテストやナレッジ共有、他の担当者が作ったAIエージェントを利用できるマーケットプレイスの整備など、AI活用を文化として定着させる仕掛けを多数講じている。

訓練メール文面作成90％削減、実際の攻撃に近い訓練に質を向上

NECがセキュリティ領域でAIを考える際のフレームワークは、「Red Team + AI」と「Blue Team + AI」の2軸だ。攻撃的な視点と守りの視点の双方から、具体的な取り組みが進んでいる。

　Red Team側の代表的な事例が、標的型メール訓練への生成AI活用だ。NECでは従来、役職ごとに異なる訓練メールを人手で作成しており、膨大な工数がかかっていた。そこで、cotomiを用い、社内報告書や法令、プレスリリースなどのOSINT情報を取り込んだうえで文面を生成することで、作成工数90％削減を達成。きめ細かな文面の作り分けが可能になったことで、訓練の実践性も向上した。

　「攻撃の多くは海外からになります。攻撃者の生成AIの利用方法を想定して、英語のプロンプトを用いて日本語の文面を作成するなど、訓練としては、より実践的で非常に質の高いものができるようになったといえます」（淵上氏）

　また、受信側では不審メールを生成AIで判定する機能も開発し、使用率は約35％に達している。

　もう1つの注目事例が、セキュリティ特化型LLMによるペネトレーションテスト（侵入テスト）の自動化だ。ポートスキャン、脆弱性情報収集、エクスプロイトコード探索など、テストの各工程をタスク特化型LLMに割り振り、統合LLMが全体を制御するアーキテクチャを採用している。

　背景には、海外約60拠点への侵入テストをすべて手動で行うにはリソースが足りないという切実な課題があった。現地に人を送らなければできなかったテストを、自動化によって全拠点をより高頻度でカバーできるようになる。「これが、やりたかったけれどできなかったことの典型」と、淵上氏は説明する。