セキュアベース、外部CISO「CISOaaS」がAIによるサイバーリスク評価の品質を“自社の専門家の判断”で継続検証する仕組みを構築―― AIに任せきりにしない品質ガバナンスへ

AIの評価結果を“自社の実成果”で検証、モデルが変わっても専門性は揺らがない仕組みを構築

株式会社セキュアベース

2026年6月22日 10時00分

株式会社セキュアベース（本社：東京都目黒区、代表取締役：阿部実洋）が提供するサイバーリスクガバナンスプラットフォーム「CISOaaS」は、AIによるセキュリティ評価の品質を、外部の汎用ベンチマークではなく“自社のセキュリティ専門家による実際の判断”に照らして継続的に検証する仕組みを構築しました。AIによるコスト効率の高い網羅的な評価を活かしつつも、その結論を鵜呑みにすることなく、お客様が安心して経営判断の土台としてご利用いただける品質を提供します。

AIによるセキュリティ評価が広がるいま、「その評価をどこまで信用してよいのか」という不安は、重い意思決定を預ける企業ほど切実なものとなります。そこでこの度、CISOaaS では、AIの品質を“自社にとって本当に重要な成果”＝専門家が実際に下した判断に照らして測り続けることを品質保証の中心に据え、運用とともに高め続ける“学習ループ”として設計致しました。

■ 1. 専門家（人）が、最後に責任を持つ ―― AI任せにしない実装

重要なセキュリティ判断を、AI任せにしてしまってよいのか？

CISOaaS の専門家レビューでは、豊富なサイバーリスク対策支援経験を有するセキュリティ人材が、AIの評価を添削し、AI自身も判定の確信度を自己申告する仕組みを構築することで、AIと人の専門家による二段構えで、評価の信頼性を担保します。AIはあくまで一次案を出す存在であり、最終的な確からしさには人の目が入る設計を崩しません。そして、この“専門家が実際に下した判断”が、次に述べるAI品質検証の土台にもなります。

■ 2. AIの品質を“専門家の判断基準”で測る

AIの評価品質は本当に信頼できるのか？

この課題に対し、CISOaaSでは、専門家が確定した評価結果とAIの評価結果を継続的に比較・検証しています。具体的には、評価結果の一致度や、AIが自己申告した確信度の妥当性、修正や差戻しが発生しやすい領域などを継続的に計測し、AI品質の改善に活用しています。重要なのは、フレームワークとのフィット＆ギャップだけではなく、実際に専門家が行った評価判断を基準として品質を検証している点です。これにより、AIの評価を安心して経営判断の土台として活用できる品質を継続的に担保します。

なお、本取り組みは社内の品質保証を目的としたものであり、お客様のデータをAIの学習に利用するものではありません。

■ 3. AIモデルが変わっても、専門性は揺らがない ―― モデル主権

裏側のAIモデルが変われば、評価の質や一貫性まで変わってしまうのではないか？

CISOaaS は、用途ごとのAIモデルを一元管理し差し替え可能な設計としたうえで、「モデルを差し替えても、自社基準の評価品質が許容範囲に収まるか」を同じ品質検証の仕組みで確かめられるようにしました。専門性は特定のAIモデルそのものではなく、CISOaaS が積み上げてきた評価の枠組み（評価設計・専門家の知見）に宿るという原則です。そのため特定モデルへのロックインに左右されず、長期にわたって評価の一貫性を保ちやすくなります。

■ 今後の展望

CISOaaS は、この"学習ループ"をさらに先へと進めています。専門家の判断の積み重ねを評価そのものの質の向上へと継続的に活かし、各企業の運用のなかで培われた知見が、その企業ならではの強みとして根づいていく――。AIと人の協働が時間とともに価値を増していく、そんな外部CISOの姿を目指して研究・開発を続けています。具体的な内容は、準備が整いしだい順次お知らせします。

■ サービス概要：CISOaaS

CISOaaS は、専任のCISOを置くことが難しい企業に向けたサイバーリスクガバナンスプラットフォーム（外部CISOサービス）です。AIによるヒアリングでセキュリティ対策の現状を評価し、リスク分析・投資対効果（ROI）の算出・経営報告書の生成までを一気通貫で担います。評価を起点に、改善のサイクルを継続的に回していくことを支えます。

https://cisoaas.jp