GMOインターネットグループで、サイバーセキュリティ関連事業を展開する GMO Flatt Securityのはるたんです。

2025年3月24日、日本初のセキュリティ診断AIエージェント「Takumi byGMO」(以下、Takumi) をリリースしました。

日本初のセキュリティ診断AIエージェント「Takumi byGMO」

GMO Flatt Securityでは、実は現在プロダクトデザイナーは僕1名で、AIを活用したプロダクト開発ワークフローの改善にも積極的に取り組んできました。

今回は、さらに踏み込んで、生産性の向上にとどまらない、プロダクトの体験を抜本的に変えていくAI活用の魅力について、「Takumi」の体験づくりを例にまとめてみます。

GMO Flatt Securityは、「エンジニアの背中を預かる」というミッションを掲げ、多数のセキュリティエンジニアを抱え、脆弱性の発見からその改善のためのアドバイスまでを一貫して行なっている会社です。

約70名の社員の約半数がセキュリティエンジニアで構成されており、これまでも多数の著名ソフトウェアに脆弱性を報告するなど、業界に向けた貢献を続けてきています。

約70名の社員の約半数がセキュリティエンジニアで構成
多数の著名ソフトウェアに脆弱性を報告するなど、業界に向けた貢献を続けてきている、サイバーセキュリティ領域のスタートアップ

世の中にはまだまだ社内にセキュリティに詳しい人がいない会社も多く、セキュリティ診断によって脆弱性が見つかるだけでは問題点が解決できない場合もあります。

僕たちは、脆弱性を見つけて終わりではなく、診断結果を踏まえてお客様のプロダクトをよりセキュアにしていくことこそが、現場の開発組織から本当に求められていることだと考えています。

そのためGMO Flatt Securityでは、真に「エンジニアの背中を預かる」ために、プロダクトや会社の文脈に沿った手動の脆弱性診断・ペネトレーションテスト、さらには、診断で終わらせず、開発者が意思決定しやすいように細かく事業に合わせたレポートを出すところまで支援してきました。

一方で、手動の診断は、大きな費用がかかるために何度も実施することが難しいという課題もあります。

そこを解決するのが「AIエージェントによる診断」という選択肢です。これまで手動でしか見つけられないと考えられていた、プロダクトや会社の文脈を踏まえた脆弱性をAIエージェントによる診断で頻度高く発見できるようになれば、「手動診断」も本当に必要な箇所に集中させていくことができるはずです。

「AIエージェントによる診断」という選択肢があれば、より最適なセキュリティ診断の形を提供できる

もっと言うと、AIとサイバーセキュリティは必ず交わる領域であると考えていました。

例えば、セキュリティ精度を高めるための開発にAIが活用されていくことは容易に想像できます。逆に、悪意のある人がAIを活用して攻撃を仕掛けていくようなことも起こりうると考えられます。

この現状を踏まえ、セキュリティ業界に対してGMO Flatt Securityができることは、「悪意のある人より先に、AIを活用してセキュリティを守れる仕組みをつくる」ことだと思っています。

「AIがサイバー攻撃に活用される未来」より先に、「AIをサイバーセキュリティに活用される未来をつくる」ことで、セキュリティ業界に貢献する

また、世界を見渡しても、まだセキュリティ領域のAIエージェントは多くはありません。2025年2月段階では、国内に「Takumi」と同じようなセキュリティ診断AIエージェントサービスはありませんでした。

さらに、セキュリティ領域に限らず、AI活用を進めたプロダクト開発に取り組めている企業は、国内にまだまだ多くありません。

GMO Flatt Securityが率先してAI活用に取り組む「リーディングカンパニー」のような存在になることができれば、安心してセキュリティ業務、ひいてはプロダクト開発業務にAIを活用していけるようになるはず。そうすれば、悪意を持った人がAIを活用したサイバー攻撃を行うような未来を防ぐことにつながります。

このような使命感から、GMO Flatt Securityは、AIを活用したプロダクト開発の領域を推し進める先駆者になるべきだと考えています。

AIエージェントを活用したセキュリティ診断を提供する構想は、以前から社内でも「やれたら良いよね」と考えられてはいましたが、過去のLLMのモデルでは「結局うまくいかないだろう」と、これまで本格的に注力することはありませんでした。

世の中に新しいモデルが登場する度に、社内でCTOをはじめとしたメンバーが技術検証を行ってみる試行錯誤の時期が続いていた程度です。

この状況が大きく変わったのは、2025年2月でした。とあるモデルのリリースを受けて社内でも実験を開始してみると、これまでは人でしか見つけられていなかった脆弱性の発見ができました。

「この技術なら、AIエージェントによるセキュリティ診断を実装できるのでは?」という雰囲気が社内に漂い始めます。

モデルの進化を受け「セキュリティ診断AIエージェント」の実装に本格注力することを意思決定

ここで、スピード感を持って「セキュリティ診断AIエージェント」の開発が、全社の最注力領域だと定義されます。

2025年2月末に開発が意思決定され、3月中には公開をしていくことが決まりました。つまり約1ヶ月でリリースまで持っていくということです。

この速度で公開する必要があると考えたのは、前述のように、この領域に取り組んでいる事業者は国内に存在しておらず、セキュリティの未来を考えても最速でやらなければいけないためだと判断していたからです。

2025年2月から3月の1ヶ月で、最速でリリースすることが意思決定された

ここからは、セキュリティ診断AIエージェント「Takumi byGMO」の開発のために、プロダクトデザイナーとして取り組んだことを中心にプロセスをまとめてみます。

まずは、AIエージェントによるセキュリティ診断が「どのようなポイントで活用できるのか?」を明確にしていきました。

従来の手動診断や、自動診断とは抜本的に体験が変わっていくものなので、これまでGMO Faltt Securityのサービスを活用してくれていたお客さま以外にもインタビューを実施しました。

このインタビューを踏まえて、セキュリティ業務のカスタマージャーニーを整理し、どこがAIエージェントでカバーできそうかを整理しています。

カスタマージャーニーと、AIエージェントによるカバー可能な範囲の整理

調査の過程で

  • セキュリティの専任者が複数いる場合

  • セキュリティの専任者が1人だけいる場合

  • セキュリティの専任者がいない場合

でそれぞれワークフローや、AIエージェントの活用範囲が変わりそうなことが分かってきたので、これらに応じて体験の想定をまとめました。

業務フローの差分があるユーザーセグメントごとに、体験の想定を進める

具体的な体験としては、AIエージェントだけで全てをカバーしないことに決めました。

お客さまにとって最も重要なのは「セキュアなサービスを安心して世に出していくこと」です。そのために、私たちは単に診断結果を提示するのではなく、開発者が正しく判断できるよう、必要な情報を的確に届けることに注力しています。

そのために診断サービスとしては下記の体験が必要だと考えています。これは自動診断、手動診断、AIエージェントによる診断のどの選択肢であっても変わりません。

  • サービスの提供者や利用者に悪影響を及ぼすリスクがわかる

  • セキュアなサービスを実現していくためのアプローチがわかる

  • リスクの洗い出しを低コストで実施できる

どのセキュリティ診断手段でも、必要な体験は変わらない

その上で診断の手法によって「見つけられる脆弱性」と「嘘の脆弱性を報告しない確度の高さ」が変わってきます。

現状では「手動診断でしか見つけられない脆弱性がある」「手動診断だから正確な報告ができる」ということも事実です。

一方で、もしAIエージェントの診断によって、手動診断で見つけてきた脆弱性を50%でも発見できるようになったとしたら、高頻度でリスクを削減できているかつ、手動に比べると低コストで実現できているため、お客様にとってAIエージェントを使うメリットが生まれます。

つまり、手動とAIエージェントを併用することで、普段はAIエージェントで定期的にセキュリティリスクを未然に防ぎつつ、年に1回程度の手動診断で人でしか見つけられないようなセキュリティリスクを解消するという網羅的な診断ができるようになるということです。

このように、複数のセキュリティ診断手法を組み合わせられる状態にすることが、理想的な体験だと考えました。

複数のセキュリティ診断手法を組み合わせられる状態にすることが、理想的な体験

AIエージェントだけで全てを完結させるのではなく、適切な範囲に「人」の介入を想定して体験を設計する

ここで、お客さまの組織状況に応じて、GMO Flatt Securityとして提供すべきサービスは変わってきます。

  • セキュリティのエキスパートが在籍している会社では、AIエージェントのおかげで人が本来集中すべきイシューに取り組みやすくなる

  • 逆にセキュリティのエキスパートがいない会社では、AIエージェントとともに脆弱性の修正まで行えるようになりつつ、判断が難しい部分などは詳しい専門家である私たちと協業しながら解決していけるようにする

これらを場合分けしつつ、AIエージェントによるセキュリティ診断でカバーすべき体験や機能を明確にしていきました。

お客さまのセキュリティ専任体制に応じて、提供するサービスの想定をつける

また、体験づくりに「人」が関わるという点でいうと、社内の体制でも工夫している点があります。

このプロダクトの肝は「AIエージェントが正しい診断が行えるか」「診断結果を正しいものと認識してもらえるか」という2点だと思っています。

専任のセキュリティエンジニアがいないような組織でも、AIエージェントが機能するためには、正しいセキュリティ診断結果を出す必要があります。

そのための診断結果の精度を上げるために、GMO Flatt Securityに所属する世界でも有数のセキュリティエンジニアたちが検証に注力していくようにしています。

このように、AIエージェントの裏側に信頼できる「人」の検証があることが伝わることで、お客さまに「このAIエージェントの診断結果は正しいものだ (なぜなら、GMO Flatt Securityのセキュリティエンジニアがつくっているから)」という信頼を持っていただけると考えています。

「AIエージェントによるセキュリティ診断」という新しい体験を自然と業務に馴染ませるためにリリースの方法にもこだわりました。

具体的には「Slack上でも使えるAIエージェント」という形でサービス提供を開始しています。

これは、セキュリティ診断の結果は社内のエンジニアだけで確認するものでもなく、「事業責任者やPdMなど、社内全体でコミュニケーション」しながら対応するかどうかを決めていくものなので、業務コミュニケーションの中心地に置いていくべきだと考えたためです。

また、Slackで使えるようにしたのは、「人」らしく働いてくれる体験を重視したためでもあります。

月7万円でセキュリティエンジニアを雇ってるような感覚で、Slackに話しかけるだけでどんどんプロダクトがセキュアになっていく——そんな体験を目指しました。(この認知をつくるため、英語版LPだとAI Security Engineerという書き方をしていたりします。)

実際のプロダクトでは以下のような機能を搭載しています。初期リリースなのでまずは「脆弱性の診断」というメインの業務のみを行えるようにしました。

Slack上でセキュリティ診断結果を読み取れる「Takumi」の機能イメージ

また、「AIエージェント」という情報をどこまで前面に出すかも、市場投入時の検討ポイントでした。

人によっては「AI」というキーワードが不安や懸念を生むこともありますが、私たちの主なお客さまであるエンジニア職種の方々はAI活用に対する抵抗感も低く、むしろ積極的に活用していきたい方が多くいらっしゃいます。

そこでGMO Flatt Securityでは「AIを活用した診断である」ことをあえて積極的に伝えることにしました。

「AIエージェント」という訴求は強めに行い、また、会社全体としても継続的にAIを活用したプロダクト開発の事例を発信していくようにしています。このようなコミュニケーションを繰り返すことで、「Takumiは、AI時代の理想的なプロダクトだ」と認識してもらえるはずだと考えています。

エンジニアを対象としているプロダクトなので、「AIエージェント」という情報は積極的に押し出す
会社としても「AI活用」の事例を積極的に公開することで、AI活用の最先端の企業だと認識してもらえるように
(2025年4月25日以降で、10本以上のAI関連のブログをリリースしている https://blog.flatt.tech/ )

このような流れで、1ヶ月未満という短い期間で、セキュリティ診断AIエージェント「Takumi byGMO」を無事リリースすることができました。

1ヶ月未満という期間で、セキュリティ診断AIエージェント「Takumi byGMO」を公開

リリースの際には、AIを活用してキャラクターも設計しました。

そもそもセキュリティという領域は「取っ付きづらい」「複雑そう」という印象を持たれることが多いため、愛されるキャラクターを置くことでプロダクトが市場に馴染みやすくなるだろうと考えたためです。

AIエージェントによるセキュリティ診断は、これまでよりも多くのお客さまを対象としています。セキュリティ診断をこれまで経験したことがないような方にまで届くように、ハードルを下げるコミュニケーションを繰り返す必要があります。

そこで「エンジニアの背中を預かる存在って?」という議論を行った上で、生成AIを活用しつつ、キャラクターのアイデア発散を行い、良さそうな方向性のものをデザイナーが調整して完成させました。

パンダ型AIパートナーロボット「Takumi」というキャラクターのアイデンティティを設計
生成AIを活用しつつ、キャラクターの方向性の発散を行った

リリース後も、プロダクトの改善を繰り返しています。

例えば、当初はAIによる診断結果の背景として、思考ログを全て表示するようにしていました。

しかし、コミュニケーションのしやすさを考えると、全ての思考ログを表示すると煩雑になり本来確認して欲しい情報が見づらくなってしまっていたため、「Slack上では直近数件の思考ログだけ表示しつつ、その他の思考ログは後ほど公開したWeb版のサービスでのみ見れるような設計」に改善しました。

コミュニケーションのしやすさを重視して、Slackには思考ログは一部のみ表示するように
Slackで表示された診断結果の思考ログをWeb版のサービスで確認できるように改善

引き続き、リリース後も体験のアップデートに取り組んでいきます。

冒頭でも述べたように、「AIがセキュリティ攻撃に悪用される可能性」への対処を急ぐため、まずはスピードを重視してリリースすることにこだわりました。理想的な体験の実現に向けて、プロダクトの価値を拡張していくのが「Takumi」の現在地です。

このプロジェクトを通して僕が思うのは、結局AI時代とはいえ、肝になるのは顧客が抱える問題を解決できているかどうかだということです。

これまでのプロダクトデザインと変わらず、顧客の業務を理解し、業務に溶け込むように体験を設計していくことが我々デザイナーの役割となります。

一方で、AI時代のプロダクト体験は、新しい体験であるからこそ「本当に正しいコンテンツが生成されるか」「お客さまに安心して使ってもらえるか」という2点が非常に大事になります。そのために生成結果の精度向上や、浸透のためのコミュニケーションに一層力をかけていくことが必要だと思います。

今回、率先的にAIネイティブなプロダクト体験を構築するチャレンジができたことは、個人的にもすごく良い経験となりました。GMO Flatt Securityだからこそできる、AIをフル活用した体験づくりに今後もこだわっていきたいと思います。


本事例に合わせて、僕のこれまでの経験や、GMO Flatt Security入社前からこれまでの取り組みについて掘り下げていただいたインタビューが公開されています。ぜひこちらも合わせて読んでみてください。

https://developers.gmo.jp/cultures/67657/

このデザイン組織をもっと知る