生成AI SaaS「GaiXer」官公庁・公共分野への展開を加速
株式会社FIXER(東証グロース上場)
Corporate IT Manager, FIXER Cyber Security Center 神守 �広介 様
Cloud Solutions Engineer, DX Consultant 萩原 広揮 様
エンタープライズ企業や組織のデジタルトランスフォーメーション(DX)を支援するクラウドインテグレーターとして、Microsoft社との強力なパートナーシップを武器に実績を積み重ねる株式会社FIXER。AzureやAWSを基盤としたクラウドシステムの設計・開発や既存システムのクラウド移行、マネージドサービス(保守・運用・エンハンス開発)の提供など、一気通貫のサービスを展開し、急速に進むクラウドネイティブ時代を牽引しています。
さらに近年では、生成AIの潜在力を企業の現場に届ける独自SaaS「GaiXer(ガイザー)」をリリースし、官民問わず多様な領域から注目を集めています。今回は、FIXER様に「GaiXer」の特別措置サービスリスト登録におけるポイントや具体的な取り組みについて、詳しく伺いました。
公共分野進出のために求められた一歩
ーまずはじめに、ISMAPへの参画を考え始めたきっかけを教えてください。
神守様
現在、弊社のSaaSビジネスとして生成AIを活用したサービス「GaiXer」を提供しているのですが、官公庁や公共機関からのお問い合わせが増える中で、「ISMAP登録はされていますか?」といった質問をよくいただくようになり、セキュリティ要件が厳格な政府系のお客様へサービスを展開するには、ISMAP登録が必要不可欠だという認識に至りました。
実は、この取り組みの発端となったのは弊社の松岡社長の強い意向でもあります。公共領域へのSaaS提供に際しては、セキュリティ面でしっかりした準備を整えたうえで、お客様に安心してサービスを利用していただくことが大事だと、トップが強くリードしてくれました。
ーISMAP登録を目指すにあたって、感じていた課題はどのような部分でしたか?
神守様
1,000項目超のセキュリティ要件を満たし、毎年アップデートしていく必要があるというのはやはりハードルが高いという印象でした。そのため、今回のプロジェクトにおいてはISMAP制度の理解も当然として、予算や体制などもしっかり検討しながら取り組む必要があると考えました。
また、AIを活用したクラウドサービスのISMAPクラウドサービスリストへの登録については過去事例も少ないことから、取り組むうえでどのような課題があるのかが当初見えなかって点に関しても懸念点となっておりました。
萩原様
実際にプロジェクトが動き出してから感じた課題としては、サービス自体をブラッシュアップしている最中ということもあり、社内調整やリソース確保を課題として感じていました。ISMAP-LIU登録を進めていくにあたって、引き続き課題になる点だと理解している��ので、社内で「これは“GaiXer”をより良いサービスにするために必要なんだ」と周知し、これからもメンバーを巻き込みつつ、次のステップに進めていきたいと思っています。
特別措置という出発点:攻めのISMAP戦略と広がる生成AIの可能性
ー今回、ISMAP本体ではなく、ISMAP-LIUおよび特別措置を選ばれたのには、どういった理由がありましたでしょうか?
神守様
ISMAP本体を取得するには膨大な管理策をクリアし、かつ毎年の監査も必要なので、企業規模やタイミングによっては大きな負担だと感じていました。そこに対してISMAP-LIUという「セキュリティ上のリスクの小さい業務・情報の処理に用いるSaaS」を対象とした制度が登場し、さらにはISMAP-LIU登録促進のための取組み(特別措置)がデジタル庁から発表されたことを受けて、まずはそこからスタートするという進め方が現実的でした。
ーISMAP特有の管理策として、利用者による暗号鍵管理の仕組みが挙げられます。こちらの対応はスムーズに進みましたか?
神守様
ISMAPはISO/IEC27001やNIST SP 800-53の基準をベースとされておりますが、暗号鍵の管理は独自色が強く感じました。特にBYOK(Bring Your Own Key)の要素を取り込んだ管理基準については、「生成AIサービスではどう実装すべきなのか」という戸惑いがありました。
特別措置サービスリスト登録への取り組みの中で、現実的な対応を実施できたので、将来的に機密性の高い案件へ対応するならばBYOKの選択肢を含めて柔軟に運用できることとなったのは大きなアドバンテージになると考えています。
ー当社の支援で、特に「ここが助かった」というポイントがあれば教えてください。
神守様
私自身様々なタイミング、業務において、コンサルタントの方々と 一緒にお仕事をする機会があるのですが、ここまで力強く伴走支援をいただいたのは初めてだったので、プロジェクトを進行する上でとても心強く、非常に助かりました。
さらに、最初は“どのようにアウトプットしていけばいいのか”手探り状態だったのですが、そこを一緒に検討しながら具体的な形に落とし込むところまでフォローしていただけました。加えて、他社の事例や最新のニュースといった情報共有もしてくださるので、常に最新動向を踏まえて検討を進められたのも大きかったです。
萩原様
ISMAPの要件は非常に広範囲かつ詳細で、管理策をビジネス要件と整合させながら効率的に対応するには専門的な知見が必要でした。コンサルタントの 方々から体系的なアプローチ方法や実践的なフォーマットをご提供いただいたことで、見通しが立てやすくなりました。
また、必要な工数や期間、体制規模といった現実的な見通しを提示していただいたおかげで、具体的なスケジュールを組みやすくなりました。定例ミーティングを通じたブラッシュアップやISMAP全般のアドバイスなどざっくばらんに相談させていただき、単なる書類作成支援を超えた包括的なサポートをいただけたので非常に心強く感じました。
ー特別措置サービス登録を果たしたことによる変化や、今後の展望について教えてください。
萩原様
営業面では「特別措置サービスリストに登録している」という一言で、セキュリティへの不安をある程度払拭できるケースが増えたと伺っています。地方自治体や公共機関だけでなく、いわゆる“��堅い業界”のお客様にも安心してご検討いただきやすくなったのではないかと感じています。
社内的にも「官公庁クラスの水準で認められるサービスづくり」をしているという誇りが生まれて、エンジニアのモチベーションアップや、開発サイクルのセキュリティ意識向上につながっています。
神守様
そうですね。「GaiXer」自体をより強固なセキュリティ基盤で運用しつつ、官公庁や公共機関だけでなく金融や医療など民間企業においてもハイレベルなセキュリティを必要とする業界にも広げたいという方針があります。
また、生成AI基盤はAzureだけでなく、AWSのBedrockなど、次々と選択肢が増えています。今後はそれらも含めた総合的なクラウドサービスとして成長させていくうえで、ISMAPの要件を満たす経験とノウハウは大きな強みになると感じています。
―本日は、本当に貴重なお話をありがとうございました。
神守様
ありがとうございました。弊社としては今後、プロジェクトが本格化していくにあたり、初期段階で押さえるべき落とし穴や、実際の監査で求められるアウトプットのイメージなど、まだ手探りの部分が多いのが実情です。監査には独自のプロセスや専門的な表現が伴うため、エンジニア含む社内メンバーに共有し、全体の意識合わせを進めていくうえでも、引き続きX-Regulation様からの情報提供やアドバイスをいただけると助かります。
インタビュー時期:
2025年3月26日
文中の会社名・役職等は取材当時のものです。
写真左から、萩原様(FIXER)、神守様(FIXER)、
東海林(X-Regulation)
会社名称:株式会社FIXER