「脆弱性診断がなくなる世界」を目指す逆説――KDL松田氏が語る、開発者目線のAIセキュリティ
会員800社超を擁し創立40周年を迎えた一般社団法人ソフトウェア協会(SAJ)は、記念特集「わが社の○○」において、会員企業・株式会社神戸デジタル・ラボ(以下、KDL、本社:兵庫県神戸市、代表取締役:玉置慎一)の取り組みを紹介します。KDLは、2025年11月、LLM(大規模言語モデル)を活用したAIアプリケーション特有のリスクを検査・分析する「AIシステムのセキュリティ診断サービス」の提供を開始しました。
プロンプトインジェクション・機密情報漏洩・不正利用といった生成AI固有の脅威に対し、開発実績と診断実績の両軸を持つKDLならではのアプローチで、企業のAI活用を支援します。
背景として ― 生成AIの急速普及が生む「新型セキュリティリスク」の深刻化
企業のAI活用が急速に拡大する一方、従来のWebアプリケーション向け診断だけでは対応しきれない脅威が増加しています。具体的には、ユーザーの入力を悪用してAIの動作を意図的に変える「プロンプトインジェクション」、AIの応答に内部設定・機密情報が含まれてしまう「システムプロンプト漏洩」、誤った回答や不正利用による「業務影響・ブランド毀損」の3つが主要リスクとして指摘されています。
こうした背景のもと、KDLが新たに提供を開始した「AIシステムのセキュリティ診断サービス」は、LLMとの対話機能を組み込んだWebアプリケーションを対象に、AI特有の4つの診断項目(プロンプトインジェクション・機密情報漏洩・コード実行誘発・外部連携機能の悪用)を網羅的に検査するものです。
KDL独自の強み ― 「開発×AI×セキュリティ」の三要素を兼ね備えた唯一無二の体制
一般的なセキュリティベンダーが診断に特化するなか、KDLは開発会社としてのアイデンティティを保持しつつセキュリティサービスを展開しているという点で一線を画しています。このサービスの核心を語るのが、セキュリティチームオーナー(マネージャー)の松田康司氏です。
「メインの脆弱性診断サービスにおいて、私たちが最も大切にしているのは開発現場との距離の近さです。診断チームのすぐ隣に開発チームがいて、日常的に最新の手法やフレームワークを吸収できる。診断員の中にも開発経験者が多いため、開発側の都合や苦労を理解した、実践的なアドバイスができるんです」(松田氏)。
この「開発者の苦労がわかる」という姿勢が、驚異的なリピート率を生んでいます。「2回、3回と継続してご依頼いただくケースが非常に多く、リピーター様のご依頼で枠が埋まってしまい、新規の受付を調整しなければならないほど」(松田氏)という状況は、KDLの診断品質への市場の高い評価を裏付けています。
KDLでは、生成AIを組み込んだシステムや業務支援アプリケーションの開発も数多く手がけており、セキュリティの専門知識と開発現場のAIノウハウを組み合わせた改善提案が可能です。2008年頃からWebアプリケーション・プラットフォームなど多岐にわたる診断サービスを実施してきた豊富な実績も、今回の新サービスの信頼性を支えています。
「脆弱性診断がなくなる世界」を目指す逆説的ビジョン
セキュリティチームを率いる立場でありながら、松田氏が掲げる理想は意外なものです。それは「脆弱性診断という存在自体が、世の中からなくなること」だといいます。
「開発チームがテストすれば、それだけで十分に品質が高いというのが理想的。本来、開発者がセキュリティの心配をしなければならない時間は、ユーザーの使いやすさやビジネスの成功に貢献する仕事から見れば、無駄な時間だと思うんです」
こうした理念を体現する取り組みとして、松田氏の提案により「セキュア開発トレーニング」が5年ほど前から全社的に実施されています。加えて、開発チームのメンバーを診断チームに出張させ、実際の診断を経験させるユニークなプログラムも進行中です。「開発者からも『知識がついた』という良いフィードバックをもらっています。セキュリティの知識を肌で感じた開発者が増えることで、自然とセキュアな設計ができる文化を広めていきたい」。
「自由」に惹かれて二度目の入社、出戻りが生む組織の強さ
松田氏のキャリアは、2007年の携帯コンテンツ制作会社でのスタートに始まります。PC周辺機器メーカーを経てKDLへ入社後、一度退職を経験するも、同社の自由な社風に惹かれて再入社。現在は通算10年在籍しています。
「(出戻った理由は)一言で言えば『自由』であることです。個人に任せてもらえる裁量が非常に大きく、自分が良いと思ったものを提案すれば、積極的に挑戦させてもらえる。この働き方は他社ではなかなか経験できないものなので、再びここで働くことを決めました」。
セキュア開発トレーニングの立案・実施も、この自由な風土があってこそ実現したといいます。現在は業務の半分以上がオンライン・在宅ワークで、「オンラインの方が、自分のペースで仕事が進められる」と松田氏は語ります。困難な局面を乗り越える原動力は「最後は『気合い』かな(笑)」という飾らない言葉に、チームの熱量と誠実さが滲みます。
仕事の合間に欠かさないのが、3年ほど前から始めたロードバイクです。勾配10%を超える坂道を昼休憩のわずか30分で駆け上がり、「仕事では常に人と関わり、ずっと思考を巡らせていますが、自転車に乗っている間だけは『無』になれる」と語る松田氏。その一人になれる時間が、チームを牽引するリーダーシップのエネルギー源となっています。
SAJとともに歩む、これからの40年
KDLの代表・玉置氏がSAJで重要な役割を担うなか、松田氏自身もサイバーセキュリティ委員会に参加し、業界の動向を注視しています。
「他社様の動向を学ばせていただく機会は非常に貴重です。今後は、当社の強みである『開発とセキュリティの融合』の知見を共有しつつ、会員企業様同士で情報を交換しながら、日本のソフトウェア開発全体がよりセキュアなものになるよう貢献していきたい。私たちのようなエンジニアがもっと増え、業界全体が盛り上がっていくことを願っています」(松田氏)。
SAJ設立40周年の節目に、「開発とセキュリティの融合」という実践知を業界全体へ還元しようとするKDLの姿勢は、日本のソフトウェア産業の次の40年を見据えた一つの指針となるでしょう。
【プロフィール】
松田 康司(まつだ こうじ)
株式会社神戸デジタル・ラボ セキュリティチーム オーナー(マネージャー)。滋賀県出身。2007年、携帯コンテンツ制作会社にてキャリアをスタート。その後、PC周辺機器メーカーを経て、神戸デジタル・ラボへ入社。一度退職を経験するも、同社の自由な社風に惹かれ再入社。現在はセキュリティサービスの責任者として、開発者目線のセキュリティ教育や組織づくりを牽引している。
【一般社団法人ソフトウェア協会(SAJ)】
一般社団法人ソフトウェア協会(略称:SAJ)は、ソフトウェアに関わるあらゆる企業、団体、個人を繋ぎ、デジタル社会の実現を推進する業界団体です。800社以上にご加入いただき、創立40周年を迎えました。これからもソフトウェアの未来を創造し、国内外のデジタル化推進に貢献してまいります。
入会お問い合わせ・詳細は以下よりご連絡ください。
SAJ事務局お問い合わせページ:https://www.saj.or.jp/contact/
【関連リンク】
インタビュー記事全文:https://www.saj.or.jp/40th_branding/heroes_kdl
本企画のインタビュー記事一覧:https://www.saj.or.jp/40th_branding
SAJ 40周年記念サイト:https://40th.saj.or.jp/
一般社団法人ソフトウェア協会(SAJ):https://www.saj.or.jp/
株式会社神戸デジタル・ラボ 公式サイト:https://www.kdl.co.jp/
情報セキュリティサービス【Proactive Defense】専用サイト:https://www.proactivedefense.jp/
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
