2025/6/11 - 読み終える時間: 5 分

3 Strategies For Mitigating Cybersecurity Threatsの翻訳版です。

2025年6月6日
Robert Leong
Senior Director and Head of Product Management

サイバー犯罪は制御不能な状況に陥っていますが、その犯人は間違っているかもしれません。

サイバーセキュリティに関する報道を見ると、これらはすべて、ハッカーが斬新なゼロデイ攻撃を考案し、システムを侵害し、ひどいことをした結果だと考えがちです。それは、業界誌で報じられる内容であり、読者に面白さを提供するためです。

2024 年に発生した主な情報漏えい事件をいくつか見てみましょう。

• 国家公共データ漏洩事件では、約29億人の個人情報が漏洩し、社会保障番号や電話番号が含まれていました。これは2024年最大のデータ漏洩事件であり、おそらく重大な事件の一つです。
• 米国財務省は、APT27によってリモートサポートシステム経由で攻撃を受けました。
• Change Healthcareは、今年最大の医療関連データ漏洩事件を起こし、1億件を超える顧客記録が漏洩しました。これにより、史上最大の医療関連データ漏洩事件となる可能性があります。
• 2024年2月、TechCrunchはUnitedHealthでのデータ漏洩事件を報じ、1億人の顧客に影響を与える可能性があると指摘しました。もしこの数字が正確であれば、これは米国史上最大の機密データ漏洩事件となるでしょう。
• Ticketmasterは、4,000万人の顧客データがハッキングにより抽出されたと報告し、これによりエンターテインメント業界で最も大規模なデータ漏洩事件の一つとなりました。
• 通信大手のAT&Tは、1億1,000万件と7,300万件の記録が漏洩する2件の重大な漏洩事件を経験しました。

これらの攻撃を分析し、攻撃の手口について読めば、ゼロデイ脆弱性の大量発生や、報道される攻撃が相次いでいるように思えるかもしれません…

しかし、実際のところ、ほとんどの成功したデータ漏洩は既知の脆弱性によるものです…攻撃者が利用する既知の脆弱性です。

私たちはそれらをデータベース化しています。例えば、CISAの「既知の悪用可能な脆弱性データベース」などです。もう一つは、構造的な失敗や、攻撃者が破損したコミュニケーションや組織構造を悪用することでデータ漏洩が発生する点です。

したがって、私の前提は、これらを修正する必要があるということです——サイロ化、壊れたコミュニケーション、そして既知の脆弱性。実践的な方法でこれらを修正することで、セキュリティ態勢を強化できます。そして、ゼロデイ攻撃や新たな攻撃手法を心配することなく、より予測可能な方法で実現できます。

サイバーセキュリティに記録的な金額を費やしています。しかし、効果は出ているのでしょうか？

解決策に飛び込む前に、問題の規模を確認し、2025年現在の状況を評価しましょう。

2024年、企業はサイバーセキュリティに約$185億を費やし、2029年までに$300億に達する可能性があります。

しかし、衝撃的なのは、2024年のサイバー犯罪による損失が$9.22兆ドルに達し、2029年までに$15.63兆ドルに達する見込みである点です。これはタイプミスではありません。損失額はサイバーセキュリティ支出の50倍に上ります。

金銭がすべて：サイバー攻撃の動機変化

脅威の目的とプロファイルも明らかになっています。サイバー攻撃者のプロファイルは主に組織犯罪です。10年前は主に国家が関与していました。組織犯罪団体の目的は主に金銭的利益であり、以前は知的財産の窃盗が目的でした。

2015年に初めて登場したランサムウェア・アズ・ア・サービス（RaaS）は現在一般的になっています。ポイントは、スクリプトキディが攻撃に成功するのを助ける企業があることです。現在、ランサムウェアのフランチャイズが存在します。平均的なランサムウェアの支払額は現在$800,000です！これは前年比12.7%の増加です。

恐喝が脅威の風景を支配し続けています。

2018 年には、ランサムウェアによる収益化に関与した侵害は 5% 未満でした。今日、恐喝は 33% にまで成長しています。これは、92% の業界で 3 大脅威のうちの 1 つとなっています。

「ロバーツ！ランサムウェアと言っていたのに、恐喝と言ったね。なぜ変更したんだ？」と疑問に思うかもしれません。それは、犯罪者が手法を変えたからです。

ランサムウェアは恐喝ですが、人々は、敵は善人、つまり防御者たちが適切な回復メカニズムを持っていると考えていることに気づいています。

そのため、敵は現場での暗号化ではなく、機密性の高い知的財産を遠隔測定し、それを闇市場で販売したり、誰もが閲覧および/または使用できるように公開すると脅迫するのです。これは依然として恐喝ですが、その形態は変化しています。

基本に戻ろう：敵対者がどのように侵入しているか

では、この点を考える際、基本に焦点を当てましょう。彼らがどのように侵入しているのかを見てみましょう。あなたのコンピューティング環境へどのように侵入しているのでしょうか？

このチャートを見ると、盗まれた資格情報が最も多く、次にフィッシング、その次に悪用可能な脆弱性が続いています。しかし、右側のトレンドチャートを見ると、既知の悪用された脆弱性は増加傾向にあるのに対し、他の種類の侵害は横ばいまたは減少傾向にあります。

これは私たちを警戒させるべきです。なぜなら、システムへの主要な3つの侵入経路のうち、既知の悪用可能な脆弱性の管理は100%私たちのコントロール下にあるべきだからです！

考えてみてください。公開されたCVEがあります。そして、既知の悪用可能な脆弱性のデータベースがあります。

CISAの既知の悪用された脆弱性データベースに掲載されるためには、以下の条件が必ず満たされている必要があります。1つ目は、攻撃に利用されたことが確認されていること。2つ目は、有効な対策が存在すること（通常はベンダーのパッチ）。3つ目は、米国政府機関向けの期限が設定されていること。

しかし、このプロセスが単純に聞こえるにもかかわらず、私たちは十分な対応ができていません。以下のデータをご覧ください：CISA KEVカタログの半数を是正するのに、私たちには55日かかります。一方、悪意のある攻撃者は、CISA KEVカタログにCVEが掲載されると、わずか5日でその脆弱性を悪用し始めます。私たちは悪意のある攻撃者よりも10倍も遅いのです！

HCL BigFix製品管理研究からのグラフです。

年間で発見され公開されるユニークな脆弱性の数の急増をご覧ください。2019年から2020年にかけて急激に増加し、その後も増加し続けています。何が起きたのでしょうか？

私たちは数百万人の従業員をリモートワークに切り替え、そのために大量の新規コードを書きました。しかし、コーディングにおいて多くのミスを犯しました。これが、私たちのコンピューティング環境におけるすべての脆弱性をゼロに削減できない主な理由です。脆弱性が多すぎるとともに、AIコーディング手法が状況を悪化させています。

AIが状況を悪化させる理由は、AIが自分が何をしているのか理解していないからです。単に、あなたのコーディング要求に対して統計的に最も良い回答を提供しているだけです。しかし、その回答は学習モデルに保存されたコードを使用しており、そのモデル自体にも脆弱性が埋め込まれているのです！

要点は、このグラフが近いうちに下降傾向を示すことはないということです。

さらに積み重ねましょう！

状況は現在、取締役がサイバーセキュリティを純粋な技術的問題として扱わなくなったほど深刻です。彼らはビジネスリーダーにその解決を責任転嫁しています。大きな問題の一つは、ビジネスリーダーがサイバーリスクを測定し管理するためのツールを欠いていることです。

この問題の解決策は何でしょうか？

まず、問題の根本原因を理解する必要があります。

大きな問題の一つは、私たちは皆、コンウェイの法則の被害者であることです。1967年にメルヴィン・コンウェイは、組織が設計するシステムは、その組織のコミュニケーション構造のコピーになることを観察しました。

左の画像はこれをユーモアを交えて説明しています。私たちはこれらの企業に馴染みがあり、図解が面白いのは、企業がどのように組織され、相互にコミュニケーションを取っているかを反映しているからです。

私たちも同じ状況です。

防御チームは存在します。彼らは互いにコミュニケーションを取っていますか？大多数は、ほとんどまたは全く定期的にコミュニケーションを取っていません。

2024年に発表された24,000件のCVEsのうち、33%が緊急と分類されたことをご存知ですか？

しかし、攻撃に利用されたCVEsは、中程度や低優先度のカテゴリーを含めても、全体の9%に過ぎませんでした。

つまり、私たちはこれらの脅威について間違った方法でコミュニケーションを取っています。これがコンウェイの法則です。敵対者がどのように働くかと比較してみましょう。

敵対者は目標に焦点を当てます。彼らは目標の達成に焦点を当てます。彼らは経路、パターン、メカニズムという観点で考えます。モサドのポケベル攻撃の例を思い出してください。彼らは脆弱性を活用する方法について考えました。脆弱性が小さくても、目標達成に結びつくなら、計画に組み込む価値があります。

私たちもこのように考える必要があります。

痛点に基づく効果的な戦略

これらを考慮し分析すると、以下のことがわかります：

1. チームは過負荷状態です。
2. ステークホルダーは一致していません。
3. ツールとプロセスは断片化しています。
4. コンウェイの法則が働いています。

したがって、以下の戦略を採用すべきです。

過負荷、不一致、断片化が存在するなら、加速、協業、統合を推進すべきです。

これが私の意味するところです。

• 加速： これは、追加の努力や検討を要せずに実施できるサイバーセキュリティの取り組みを拡大することを意味します。
• 協働： これは、セキュリティ、IT、経営陣（C-Suite）間のギャップを埋める方法を見つける必要があります。ビジネス判断、ツール、プロセスを活用してサイバーリスクを測定し、セキュリティ成果を管理する方法を模索する必要があります。
• 統合： 私たちは敵対者の視点で考える必要があります。統一されたパターンと経路を念頭に置いて考えます。これらの経路とパターンを防御するために、チーム、ツール、プロセスを統合する方法を模索する必要があります。サイロを打破します。

これらの3つの戦略により、私たちのコンピューティング環境を防御する上で、望ましい目標を達成できると確信しています。

2025/6/10 - 読み終える時間: 3 分

Transforming Data into Dialogueの翻訳版です。

2025年4月24日
Rob Meyer
グローバル バイスプレジデント Business & Industry Applications

顧客は、メールの冒頭にファーストネームを差し込むだけでは、もはや響きません。現代の消費者は、自分のニーズを本当に理解してくれるブランドを求めています。
そこで重要になるのが「ハイパーパーソナライゼーション」です。
ハイパーパーソナライゼーションとは、過去の行動履歴や顧客セグメントに留まらず、リアルタイムデータを活用して個人レベルでメッセージを最適化します。
行動分析、CDP（顧客データプラットフォーム）、AIアルゴリズムといった先進ソリューションを活用することで、顧客の“意図”に即したエンゲージメントの高い対話を実現できます。

ハイパーパーソナライゼーションとは？

Deloitteでは、「ハイパーパーソナライゼーション」を「データ、アナリティクス、AI、オートメーションの活用による、カスタムでターゲットを絞った体験の創造」と定義しています。
つまり、適切なメッセージを「適切な顧客」に、「適切なタイミング」で、「毎回届ける」ということです。
従来のパーソナライゼーションは、過去の静的なデータを顧客セグメントに適用していました。
一方、ハイパーパーソナライゼーションは、過去とリアルタイムのデータに基づいてコミュニケーションを構築し、AI駆動型モデルが個々の顧客レベルで詳細かつ動的な顧客プロファイルを生成します。
この例を考えてみよう：ある銀行が、特定の所得層の全顧客に向けてプレミアムカードを案内するのは従来の手法です。
一方、AIを用いて顧客のリアルタイムな購買傾向やデジタル上の行動データを分析し、頻繁にフライトを予約する顧客には旅行特典付きのクレジットカードカードを提案することはハイパーパーソナライゼーションを達成したことになります。

なぜ今、ハイパーパーソナライゼーションが重要なのか

消費者は、あらゆる方向から押し寄せるほとんどのマーケティングメッセージを無視しています。消従来のパーソナライゼーションではもはや不十分です。
顧客は、自らの行動の背後にある意図を理解し、ニーズを予測し、意味のあるエンゲージメントを期待しています。
ハイパーパーソナライゼーションは、より強固な関係を築き、コンバージョンを促進するための重要な差別化要因となります。
ブランドがこのシフトを受け入れることが急務となっている主な要因は以下の通りです。

• 顧客期待の高まり：顧客がデータを提供する際、賢明に利用されることを期待する。7消費者の約4分の3（71%）がブランドからのパーソナライズされた体験を望んでおり、この期待に応えるブランドには37%多く支出する
  
• データの可用性とAI：顧客データの爆発的な増加とAIの台頭は、ブランドが価値創造に使用される意味のある意図的な洞察を抽出するために、この2つを組み合わせる必要があることを意味する
  
• 競争圧力: ブランドは、デジタルノイズの中で、より魅力的な顧客体験で際立つ必要がある。ハイパーパーソナライズされたインタラクションは、価値、楽しさ、利便性を提供し、これらすべては米国消費者に好意的に評価されている購買体験であり、これらによって差別化を図ることが可能
  ハイパーパーソナライゼーションを機能させるためには、各顧客の全体像を把握する必要があります。複数の情報源からの情報を連携させ、統合することで、包括的な顧客プロファイルを構築できます。
  次のステップは、データソースとアイデンティティ解決をマスターし、あらゆるエンゲージメントに関連性があり、チャネル間で統合されていることを確認することです。
  

データの基盤構築がすべての出発点

ハイパーパーソナライゼーションを成功に導くには、信頼できるデータ基盤が不可欠です。
以下のような多様なデータを収集・統合し、単一の顧客ビューを構築する必要があります

• ゼロパーティデータ：顧客が明示的に提供した情報
• ファーストパーティデータ：行動、購買、エンゲージメントに基づく自社保有データ
• セカンドパーティデータ：信頼できるパートナー企業から共有されたデータ
• サードパーティデータ：外部ソースから収集された匿名データ これらの各データタイプは、顧客の完全な全体像を形成する上で役割を果たす。 しかし、データを収集するだけでは十分ではなく、個々の顧客をエンゲージメント全体で認識するには、データを統合する必要があります。
  顧客データプラットフォームが可能にするアイデンティティの解決は、断片化されたデータを結び付け、幅広い顧客セグメントではなく、各顧客の単一の正確なビューを保証します。
  顧客データプラットフォーム（CDP）は、HCL UnicaのようなAIやマーケティングオートメーションツールと連携し、体験をカスタマイズすることで、リアルタイムのパーソナライゼーションにおいて重要な役割を果たします。
  適切なデータを保有していることは始まりに過ぎません。顧客と意味のあるエンゲージメントを行うためには、顧客の「デジタルボディランゲージ」を読み解く力です。
  

デジタルボディランゲージ：顧客対話における見落とされがちな要素

デジタルボディランゲージは、顧客のあらゆるデジタル上の行動から、リアルタイムにその意図やコンテキストを明らかにします。
この情報により、企業は顧客体験を深く理解し、コミュニケーションの質を高めることができます。デジタルボディランゲージを通じて、ユーザーが困っているタイミングやスムーズに購買（コンバージョン）へ進んだ瞬間を特定することも可能です。
AIは、ブランドがデジタルボディランゲージを瞬時に解釈するのを支援します。カスタマー・データ・プラットフォーム（CDP）が行動シグナルを受け取ると、AIがリアルタイムと過去のデータを分析し、顧客の意図を特定します。
プラットフォームは、これらのインサイトを使用して、次の最適なアクションの推奨を提供します。
たとえば、あるユーザーが住宅ローンの金利を調べている際、CDPがその行動を感知し、必要書類のガイドを含むメールを自動で送信します。 これが、AI × デジタルボディランゲージの融合による実践例です。
こうした大規模なリアルタイムパーソナライゼーションをスケールさせるには、膨大なデータを瞬時に処理するAIの力が不可欠です。
AIの力があっても、ハイパーパーソナライズされたコミュニケーションには課題がないわけではありません。

ハイパーパーソナライゼーションの課題とその克服

顧客に響くハイパーパーソナライゼーションを達成するには、主に3つの課題があります。
これらの課題を理解することで、成果に支障をきたす前に対応策を策定することができます。

• データプライバシーと法令遵守 GDPRやCCPAなどのプライバシー規制はテクノロジーの進歩に合わせて変化し続けており、パーソナライズ施策にも法令対応の方針が必要
  
• 過度なパーソナライゼーションの回避 行き過ぎたパーソナライズは“監視されている感覚”を与える可能性がある。顧客に対し、データの収集と活用について透明性を持って説明し、適切な選択肢を提供することが信頼構築につながる
  
• データ品質の担保 AIは、処理するデータの品質と正確さによってのみ効果を発揮し、ハイパーパーソナライゼーションの目標を達成するためには、必要な顧客データのみを収集し、AIと機械学習エンジンに送り込む必要がある
  

これらのリスクと向き合いながら、法令順守と高い顧客満足を両立させることが、持続可能なハイパーパーソナライゼーションの基盤となります。

顧客対話の未来──リアルタイムで、文脈を読み取る時代へ

AI、機械学習、オートメーションの進歩が進むにつれ、ブランドは顧客の意図をより深く理解できるようになるでしょう。
会話型AIとリアルタイム分析は、状況に応じたダイナミックな対話の基盤です。
技術の進化が加速する中で、変化する消費者の期待に合わせてパーソナライゼーション戦略を機敏に維持し、継続的に洗練していく必要があります。
しかし、真に顧客との信頼関係を築くには、AIによるパーソナライゼーションと同時に、データ活用に対する透明性と倫理的配慮が求められます。
顧客エンゲージメントの未来は、AIによるパーソナライゼーションと透明性・信頼性とのバランスを取ることができるブランドにあります。
顧客は、自身のデータを尊重し、それに見合う明確な価値を提供してくれるブランドとより積極的に関わろうとします。
リアルタイムの顧客インサイトを強力な関係性に変えるためには、それを支える信頼できるプラットフォームが必要です。
HCL Unicaのようなソリューションは、まさにそのためにあります。戦略の最適化から、持続的なロイヤルティ構築まで、AI主導のパーソナライズをビジネス成果へとつなげるでしょう。

参考文献

• Deloitte AIによるマーケティング戦略
• McKinseyによるパーソナライゼーションの将来
• Deloitte Digital調査レポート
• BCG：消費者が求めるパーソナライズとは

2025/6/9 - 読み終える時間: ~1 分

Introducing HCL AppScan API Security: A Smarter Approach to API Protectionの翻訳版です。

2025年4月23日
Adam Cave
HCL AppScan プロダクトマーケティングマネージャー

現代のデジタル変革において、アプリケーション間の連携やサービス統合を支える要として、API（アプリケーション・プログラミング・インターフェース）の活用は不可欠な存在となっています。
現在、Webトラフィック全体の50%以上をAPIが占めており、その利用拡大とともに、企業は新たなセキュリティ課題に直面しています。
サイバー犯罪者は驚くべき速度でAPIを標的にしており、可視性とガバナンスの欠如によって見過ごされがちな脆弱性を悪用しているのが現状です。
こうした状況を受け、HCLSoftwareはSalt Securityとの提携により、「HCL AppScan API Security」を発表しました。これは、組織のAPI資産を可視化・管理し、リスクを最小化することを目的とした、包括的なAPIセキュリティプログラムです。
AIを活用したディスカバリープラットフォームにより、継続的なAPIインベントリ作成、セキュリティポスチャガバナンス、そして高度な脆弱性テストを実現し、進化し続ける脅威に先回りして対処できます。

APIセキュリティ対策は、もはやビジネスの必須要件

Salt Securityが発表した「2024年版 APIセキュリティレポート」によると、回答企業のうち37%がAPIに関連するセキュリティインシデントを経験しており、これは前年比で100%の増加となっています。
こうしたインシデントは、SNS、ECサイト、テクノロジープロバイダーなどにおける大規模な情報漏えいを招き、世界中の数百万人単位のユーザーに深刻な影響を与えています。APIの急速な普及は変革をもたらしましたが、それがもたらすリスクは今や明確になっています。
セキュリティは可視性から始まります。多くの企業がいま、ある重要な事実に気づき始めています。それは「自社でどれほど多くのAPIが使われているのか、実は正確に把握できていない」という現実です。
特に中堅から大企業にかけては、部門横断的な業務連携やサードパーティとの統合などにより、使用されているAPIの数が数百、時には数千にのぼることも珍しくありません。
このような状況下で、最新のAPIインベントリ（資産台帳）を把握・更新していない場合、セキュリティチームは重大な「死角（ブラインドスポット）」を抱えることになります。
結果として、脆弱性の検出、ガバナンスポリシーの適用、脅威への迅速な対応が非常に困難になります。
企業がAPI活用を加速する今だからこそ、まずは“どこに何があるか”という基本に立ち返ることが、持続的なセキュリティ体制の構築において不可欠です。

APIセキュリティにおける“スマートな解決策”を

HCL AppScan API Securityは、以下の機能を提供することで、これらの課題に正面から取り組むように設計されています。

• 継続的なAPIディスカバリー AIを活用し、文書化されていないシャドーAPIやゾンビAPIを含むすべてのAPIを特定・インベントリ化し、組織のAPIエコシステム全体を可視化する
• セキュリティ体制の管理 AI駆動によるリスク評価、事前に構築されたポリシーテンプレート、および包括的なAPIセキュリティポリシーライブラリにより、企業のAPIセキュリティ基準を策定・適用可能にする。
• 高度なAPI脆弱性テスト 動的アプリケーションセキュリティテスト（DAST）と連携し、精度の高い脆弱性検出を実現。OWASP API Security Top 10を100%カバーする
• 規制コンプライアンス保証 機密データの露出を特定し、適切なセキュリティポリシーを適用することで、GDPR、HIPAA、PCI DSSなどの主要なコンプライアンス標準を満たすのに役立つ
• リスクベースの優先順位付け ビジネスインパクトに基づくAIによるAPIリスクを評価し、優先順位を付けることで、セキュリティチームが最も重要な脅威に集中して対応可能

APIセキュリティの未来は今、始まる！

サイバー脅威がかつてないスピードで進化する今、APIのセキュリティ確保はもはや「オプション」ではなく、「必須」です。
HCL AppScan API Security は、組織が自社のAPIエコシステムを完全に可視化・制御し、脆弱性を先回りして検知・修正することで、リスクを伴うことなくAPIのビジネス価値を最大化し、推進し続けることを可能にします。

2025/6/6 - 読み終える時間: 2 分

How Agentic AI is Shifting MSPs from Reactive to Proactive ITSMの翻訳版です。

2025年3月12日
Suparna Barman
プロダクトマーケティング

新しい世代の労働者層が現れ、ハイブリッドワークモデルが定着する中で、顧客は常時利用可能で、アクセスしやすく、パーソナライズされたサービス体験を強く求めるようになっています。
一方で、企業がこうした変化に適応していく中、IT部門は、複雑かつ変化の激しい技術環境を管理しながら、シームレスなデジタル体験を提供するという継続的なプレッシャーにさらされています。
ITのダウンタイムやサービス中断は、ハイブリッド時代における大きな問題の一つです。調査によると、ハイブリッドで働く従業員の61%がITの問題解決に時間を費やしており、予防的かつAI駆動型のサポート体制の必要性が浮き彫りになっているといえるでしょう。
こうした潮流を受けて、企業はITサポートの高度化を目指し、AIの導入を加速させています。
実際、全体の71%の組織が、チケット件数の削減や効率性およびサービス品質向上のために、AIベースのITサービスマネジメント（ITSM）ソリューションを積極的に模索しています。
AIによる自動化への移行は今後さらに加速し、2028年までには企業向けアプリケーションの33%にAgentic AIが組み込まれると予測されています。
これは、2024年時エージェント型での導入率1%未満からの大幅な成長です。
企業は、より迅速かつインテリジェントで能動的なITサービスを求めています。
このような傾向から、Agentic AIはもはや遠い話ではないことを示唆しています。特に大規模なITサポートを担うマネージドサービスプロバイダー（MSP）にとっては、受動的なトラブルシューティングから能動的・予測的なIT支援への転換が極めて重要です。
MSPは、AIを活用したサービス管理で時代の先端を行く必要があり、それは効率性を高めるためだけでなく、将来にわたって競争力を維持するための体制強化が求められています。

MSP業務における人間主導のITサポートの隠れたコスト

現在、多くのMSPは人間主導の手作業プロセスに大きく依存しており、ITサポートは非効率的でコスト高になっています。
AIを活用した自動化が進んでいないMSPでは、大規模な人員確保・育成・オフショアリングが必要となり、人材確保の問題に直面します。
また、L1〜L3といったレベル構造に基づく従来型のサポートモデルは、プロセスのボトルネックを生み出しやすく、ベテラン社員の「属人化された知識」への依存は、離職時のサービス中断リスクを引き起こします。
AIが導入されていない場合、対応は依然として手動による修復が一般的であり、平均解決時間（MTTR）の長期化やトラブル対応の遅延が頻発します。
標準化、リアルタイムレポートやプロセス自動化の欠如は、一貫性のないサービス品質やコンプライアンスリスクを招く原因ともなります。
最終的にMSPは、イノベーションよりも運用に多くの費用を費やし、知的財産（IP）やAI駆動型ソフトウェアソリューションを開発する能力を制限しています。

インテリジェントな可用性管理

MSP（マネージドサービスプロバイダー）にとってサービスの可用性は極めて重要であり、突発的な障害は、顧客満足度の低下や売上損失に直結します。
Agentic AIによるリアルタイムの可用性モニタリングは、異常や通常と異なる挙動を障害発生前に検知します。AIによる障害予測は、潜在的なリスクを評価し、そのビジネスへの影響度に応じて優先順位を付けます。
問題が検出されると、自動化された根本原因分析により、問題の原因が迅速に特定され、修正措置が推奨されるため、解決までの時間が大幅に短縮されるでしょう。
修正措置は、事前承認済みの対応策をAIが自律的に実行し、サービス中断を最小限に抑制。復旧後もAIが改善状況を継続的に検証し、予測モデルを強化して将来のリスクを低減に繋げられます。

インテリジェントなキャパシティ管理

Agentic AIは、リアルタイムのキャパシティ監視が可能となり、サービスパフォーマンスに影響を及ぼす前にボトルネックや異常を検知可能です。
過去の傾向や外的要因をもとに将来のリソース需要を予測するAI主導の予測機能により、プロアクティブな計画立案ができるようになります。
AIは、キャパシティを最大化するために、インフラの増強、ワークロードの再配置、リソースの再調整など、需要に適切に対応するための最適なリソース変更を提案します。
また、あらかじめ承認されたスクリプトや外部システムとの連携を活用して、プロビジョニングや調整を自動で実行し、人的介入を最小限に抑えます。
さらに、AIは導入後のパフォーマンス向上を継続的に検証し、フィードバックループを通じてナレッジを蓄積し、キャパシティマネジメントの手法を継続的に改善していけるでしょう。
このようなAI主導のキャパシティ管理戦略により、MSPは運用コストの削減、キャパシティ関連の障害の回避、リソース活用の最大化の実現と安定したサービス提供を両立することができます。

動的なSLA管理

AIによるSLAリスク分析は、SLA違反の兆候や異常を早期に検知し、MSPは違反になる前に問題を解決するための事前対策を講じることがでます。AI主導のリソース最適化により、動的にリソースを再配分してリスクを軽減し、サービス停止を回避可能。また、AIによる自動通知がSLAの脅威や潜在的な違反、および必要なリソースの再調整について関係者にリアルタイムに伝達し、意思決定を迅速化します。
AIは、過去のSLAパフォーマンスを調査し、過去のパターンに基づいて継続的な改善を推奨することで、分析後に得られた教訓に関する洞察を提供します。

サービスデスク要員のスキル強化

L1（一次対応）エージェントのスキル不足は、サービスデスクの効率低下を招く要因です。
Agentic AIは、エージェントのパフォーマンスを継続的に分析し、繰り返し発生する課題やスキル不足を可視化出来るため、エージェントのスキルアップを完全に変革する可能性を秘めています。
AIは、エージェントが自身の専門分野外の問題に直面した際に、プロアクティブにギャップを特定し、個別のトレーニングプログラムを提案します。
学習の進捗状況はAI主導のメンターシップによって監視され、エージェントが必要な能力を順調に習得することを保証します。
トレーニング完了後は、習得内容を標準化された教育モデルとして他のL1エージェントにも展開可能となり、サービス全体の品質が底上げされます。
この仕組みにより、エスカレーション件数が減少し、一次解決率が向上し、MSPsがより有能で自律的なITサポートスタッフを育成するのに役立ちます。

タスク管理の自動化

作業量と経験に基づいてタスクを自動的に追跡し、適切な担当者に割り当てることで、Agentic AIはタスク管理を簡素化します。
あらかじめ設定された指標に基づき、タスクの状態を継続的に把握し、遅延が発生しそうな場合は事前に通知。AI主導のプロアクティブな通知は、タスクの完了に予想以上の時間がかかる前にユーザーに警告を発し、納期遵守を支援します。
タスク完了後は、自動でクローズ処理を実行し、手動での追跡や確認作業を削減し業務効率が大幅に向上します。

L1サポート依存を減らし、カスタマーサービス品質を強化

現在、ユーザーは「常時対応・即時解決」のITサポートを当然のように求めています。
しかし、従来のL1サポートチームは、パスワード再発行、システムアクセス申請、ソフトウェアのインストールなど、繰り返し発生するチケット対応に追われがちです。
こうした典型的な問い合わせは、Agentic AIを搭載したバーチャルエージェントが即座に処理します。人的対応を不要とすることで、サポート体制の負荷を大幅に軽減可能。文脈認識型バーチャルアシスタントやAIチャットボットが個別に最適な対応を行い、ユーザー満足度を向上させます。
インテリジェントなチケットルーティングと優先度制御により、複雑な課題は速やかに適切な担当へエスカレーションされ対応遅延を防止できます。
MSPはこれにより、貴重なIT人材をより高度で付加価値の高いプロジェクトへシフトさせながら、優れたカスタマーサービスを維持できるでしょう。

Agentic AIによる競争優位の獲得

MSP（マネージドサービスプロバイダー）にとって、サービス品質の維持と運用コスト削減の両立は常に大きな課題です。
IT環境の複雑化と顧客要求の高度化が進むなか、従来型のリアクティブ（事後対応型）なITSM（ITサービスマネジメント）では、競争力を維持することがますます困難になっています。
こうした課題に対応するため、MSPはAgentic AIを活用して業務プロセスを自動化し、リソース配分を最適化、さらには障害の予兆を検知し未然に対処する能動的な体制を構築することで、ITサービスの品質と効率を同時に高めることが可能になります。
自己修復機能や予測保守を備えたAgentic AIを導入することで、サービスのエスカレーションやチケット数、IT資産の管理負荷を削減し、TCO（総所有コスト）を大幅に抑制。
結果として、MSPは費用対効果の高い、高品質なITサポートを提供しながら、収益性の向上も実現できます。
こうした先進的なAI主導型ITSMをいち早く導入することで、MSPは業界内でリーダーとしての地位を確立し、他社に先行する競争優位性を獲得することができます。
弊社のAI搭載サービスマネジメントプラットフォームにご興味をお持ちの方は、ぜひお気軽にお問い合わせください。

2025/6/3 - 読み終える時間: ~1 分

Notes/Domino 注目サポート技術情報 (2025年5月）を公開しました。バックナンバーも同ページに掲載しています。

「Notes/Domino 注目サポート技術情報」は、お客様からよく参照されている技術情報や、サポートからお客様にご参照いただきたい技術情報のリスト化したものです。

2025/5月/29 - 読み終える時間: 2 分

Shift-Left Security: A Proactive Strategy for Effective Risk Managementの翻訳版です。

現代のアプリケーション開発において、書かれるすべてのコードにはリスクが潜んでいます。そして、そのリスクに早期に対処することこそが、安全な開発の鍵となります。
アプリケーションの複雑化、サイバー脅威の高度化、さらには迅速なリリースが求められる中、ソフトウェア開発ライフサイクル（SDLC）全体にセキュリティを統合することが、これまで以上に重要になっています。
本記事では、開発初期段階からセキュリティを実装する「Shift-leftセキュリティ」の考え方と、その実践におけるHCL AppScanの役割についてご紹介します。

Shift-leftセキュリティとは？

Shift-leftセキュリティとは、ソフトウェア開発ライフサイクル（SDLC）の初期段階からアプリケーションセキュリティテストのセキュリティ対策を組み込む、プロアクティブなアプローチです。
従来のように開発終盤やリリース直前に脆弱性対応を行うのではなく、設計やコーディングのフェーズで脆弱性を検出・修正することで、後工程でのコストや手戻りを最小限に抑えることができます。
この「左（早期）」へのシフトするアプローチを採用することで、企業は以下のようなメリットを得られます。

• 脆弱性の早期発見、修正コストと工数を大幅削減
• 本番環境へ移行する前のリスク最小化
• 開発・運用・セキュリティチームの連携強化

現代の AppSec でShift-leftが重要視される理由

１． コスト効率の向上：開発後期またはリリース後に脆弱性を修正する場合、そのコストは設計・実装段階の最大100倍になるといわれています。
２． 市場投入までの時間短縮：初期段階で問題を解決することで、リリース遅延を回避し、スムーズなデリバリーを実現します。
３． チーム間の協業促進：セキュリティを開発者、セキュリティチーム、運用担当者が協力して共通課題として捉えることで、セキュアなアプリケーショ ンを構築することにつながります。
４． コンプライアンス遵守：セキュリティを初期から実装することで、より確実な法令順守を可能にします。

HCL AppScanによるShift-leftセキュリティの実現

HCL AppScanは、Shift-leftセキュリティをシームレスに実現するための機能を豊富に備えています。

• 開発者向けツール：Visual StudioやEclipseといった主要なIDEに直接統合し、開発者がワークフローの中で直接スキャンやインサイト取得の対応が可能。
• 包括的なテスト機能：静的アプリケーションセキュリティテスト（SAST）およびインタラクティブアプリケーションセキュリティテスト（IAST）テストなど、多様な手法での対応により、AppScanはSDLC全体にわたって脆弱性の検出を実現。
• 自動化とCI/CD統合：AppScanは自動化をサポートし、CI/CDパイプラインと統合することで、開発プロセスの一環として継続的なセキュリティテストを可能にします。
• AIによる優先度付きのレコメンド：AppScanは高度なAIを活用し、重要度の高い脆弱性から対応できるよう、効率的な問題解決を支援。

Shift-leftの成果：導入事例

ある世界的なEC企業では、HCL AppScanを活用したShift-leftの実践により、わずか6か月で脆弱性を60%削減し、リリースサイクルを25%短縮することに成功しました。初期段階でのテストと開発者の自律性強化が、セキュリティと生産性の両面で大きな成果をもたらしたのです。

Shift-left導入に向けたステップ

１． セキュリティを開発ツールとの統合：HCL AppScanのようなソリューションを、既存の開発環境にシームレスに統合できるソリューションを組み込みましょう。
２． テストの自動化：CI/CDパイプラインにおける静的・動的テストの自動化で、継続的なセキュリティ検証が可能になります。
３． チーム教育：開発者に対して、セキュアコーディングやツールの活用に関するトレーニングを実施しましょう。
４． 効果測定：脆弱性検出数、修正に要する時間、コンプライアンススコアなどで成果を可視化します。

セキュリティは「Shift-everywhere」へ

現代の開発において、Shift-leftはもはやトレンドではなく、必要不可欠な取り組みです。HCL AppScanはこの考えをさらに進化させ、「Shift-everywhere」、すなわちソフトウェアサプライチェーン全体を対象としたセキュリティ強化を提唱しています。
開発初期から運用後に至るまで、ソフトウェアライフサイクル全体のすべての工程でセキュリティを組み込むことが、組織とユーザーの未来を守る鍵となるのです。

より安全な開発体制に向けた第一歩として、HCL AppScanチームへご相談ください。より安全な開発プロセスへの道を共に歩みましょう。

2025/5月/27 - 読み終える時間: 7 分

Is Your Data AI-Ready? A 5-Step Strategy to Prepare Your Dataの翻訳版です。

2025年3月12日
Ryan Treichler
HCL Unica プロダクトマネジメント ディレクター

AI（人工知能）はもはやSFのようなの未来的なテクノロジーではありません。 すでに私たちのビジネスに深く根付き、業界構造を変革し、業務プロセスを自動化し、かつてない規模でビジネスモデルそのものを再定義しています。 しかし、その水面下では、依然として以下のような誤解が存在していることをご存知でしょうか？

• 誤解： 多くのマーケターや企業は、AIを導入すれば即座に価値ある洞察が得られる“即効性のある技術”と捉えがち
• 現実： AIは単一の技術ではありません。機械学習、生成AI、意思決定AI、深層学習、自然言語処理など、多岐にわたる技術領域で構成されている。これらを適切に機能させるには、構造化された高品質なデータが必要
  

多くの企業がAIの活用を急いでいますが、正しく活用するためにも「そのデータはAI対応になっているのか？」という根本的な課題に立ち返る必要があります。
ある調査では、企業の約80％が自社データはAI対応済みと認識していますが、実際には52％が導入時にデータの品質や分類に重大な課題を抱えています。
強固なデータ基盤がなければ、どれほど高性能なAIモデルであっても誤った予測やコンプライアンスリスク、業務効率の低下を招くおそれがあります。
AIの認識された準備状況と実際の有効性との間のこの矛盾は、AIの実装を成功させるために解消されなければなりません。
事実、AIはその土台となる「データの質」によって、その真価が決まります。
では、どのようにすれば「AIに最適化されたデータ基盤」を整備できるのでしょうか？ここでは、AI導入に向けて取り組むべき5つのステップをご紹介します。

1. データ品質の確保：信頼できるデータを保有していますか？

AI導入の過程で企業が遭遇する最大の課題の1つが、AIモデルが頻繁に期待通りのパフォーマンスを発揮しない、または不正確な結果を出すことです。
その根本的な原因の多くは「データ品質」にあります。
たとえば、社内データが断片的だったり、一貫性がなく更新されていなかったりすると、AIの予測精度は大きく低下します。
予測精度の低下を避けるという意味で、データ品質ガードレールが重要な役割を果たします。
ちなみに、ガードレールとは「人工知能（AI）、分析、意思決定システムなどの重要なアプリケーションで使用される前に、データが正確で一貫性があり、信頼できることを保証するため」に設計された、事前に定義されたルールと確認ツールです。
これらは、低品質のデータがビジネスのAI主導のプロセスを損なうのを避けるための防御施策と考えてください。

データ品質の主なガードレール

データの正確性（Data Accuracy）

データの正確性とは、データが現実世界の事象や対象をどれだけ正確に表現しているかを指します。
正確性を確保するための実践例として、

• 定期的な監査： データに誤りや矛盾がないかを定期的に見直し、分析や意思決定に影響を与える前に是正する
• データクレンジング： タイポや重複、古くなった情報を手動または自動で除去し、AI学習前に情報精度を高め、適切な状態に整える。

データの完全性（Data Completeness）

顧客行動を予測するAIモデルを構築しようとしても、購買履歴や属性情報などの重要なデータが欠落していては、結果に偏りが生じる可能性があります。
マーケティング領域においては、こうした不完全なデータがAIの精度や有効性を大きく損なう要因となります。

完全性を担保するための戦略：

• データ収集ポリシーの策定： どの情報を、どのように収集・記録すべきかを明確に定義したポリシーを策定し、関係者全体で徹底した共有を行う
• フィードバックメカニズムの導入： 入力漏れや不完全な情報が検知された際に即座に通知する仕組みを構築し、速やかに是正できる体制を整える。

また、定期的なデータ監査も完全性の維持に必要不可欠である

データの一貫性（Data Consistency）

データの一貫性とは、複数のシステムおよびデータセットにおいて、データが整合性を保ち、統一された形式で存在している状態を指します。
AIシステムは、構造化され標準化されたデータに基づいて傾向を予測します。そのため、部門ごとに異なる形式（例：「USA」と「United States」など）でデータが管理されていると、AIモデルはパターンを正しく認識できず、矛盾した洞察を生み出す可能性があります。
データの一貫性を確保するには、以下のような戦略とベストプラクティスが有効です。

• フォーマットの標準化： データ形式や命名規則の統一、各業務システム間での同期を徹底し、組織全体で整合性のあるデータ管理を実現
• CDP（カスタマーデータプラットフォーム）の活用： 重要な顧客データを一元的に管理する「唯一の信頼できる情報源（Single Source of Truth）」としてカスタマーデータプラットフォームを導入することで、すべてのシステムが共通のマスターデータを参照・更新可能にする

データの検証（Data Validation）

企業は、AIパイプラインにデータを取り込む前に、リアルタイムでのデータ検証を行う必要があります。これは、異常値や重複、矛盾のあるレコードを事前に検知・排除するプロセスです。
自動化されたデータ検証チェック機能を実装することで、AIモデルは高品質で信頼できるデータのみで学習されることが保証されます。
AIによってビジネスインパクトを最大化するためには、組織はAI導入の前後を問わず、すべての段階でこうしたデータ品質のガードレールを継続的に監視・強化していくことが不可欠次に取り上げるのは、AI向けデータ準備におけるもう一つの重要な要素、「データラベリングとセマンティックレイヤリング」です。

2. データラベリングとセマンティックレイヤー

「AIがデータの「意味」を正しく理解できていますか？文脈を持たないAIは、単なる自動化に過ぎません。文脈を持つAIこそが「知性」です。」
AIモデルが膨大な顧客データへアクセスできたとしても、それを「理解」できていなければ、的確なビジネス判断を導くことはできません。
どれほど高性能なAIでも、データに正確なラベルが付与されておらず、構造的にも意味づけが不十分であれば、有用な洞察を生み出すことは困難です。
この課題を解決する鍵が、「データラベリング」と「セマンティックレイヤー」です。両者は連携して、AIにとって意味のある形にデータを分類・構造化・文脈化し、ビジネス活用可能なデータへと導きます。

• データラベリング：テキスト、画像、動画、数値などのデータにタグ付けや注釈、分類を行うプロセスです。AIモデルが学習する上で必要となる「文脈」を提供。高品質なラベルは、生データに構造を与える役割を果たし、AIがパターンを認識し、情報を分類し、ビジネス活用に適した精度の高い予測を可能とする
• セマンティックレイヤー（意味論的レイヤー）： 単なるラベリングを超えて、エンタープライズデータアーキテクチャの中核を成す要素。複雑なデータストレージシステムとビジネスユーザー間のやり取りを簡素化し、生の入力を統一されたビジネスに適したフォーマットに変換する

セマンティックレイヤーは、部門間で異なる用語や定義を標準化し、AIが異なるデータセットでも一貫した意味で情報を解釈できるようにします。
たとえば、ある金融機関において「Q1」と「Quarter1」という表現が同一の意味を持つよう、AIが混乱なく理解できるようになることで、誤解を防ぎ、意思決定の精度を高めることができます。

効果的なデータラベリングとセマンティックレイヤー構築のためのポイント

• 明確なラベリングプロセスの確立： 構造化データ（例：「顧客離反 = 高リスク」）に対しては明確なラベルを、非構造化データ（例：テキストの感情のタグ付けや画像内のオブジェクトのラベリング）には正確な注釈を付ける体制を整える
• AI支援ツールの活用： ラベリング作業を効率化し、人的ミスを減らすために、AIベースの支援ツールを導入して自動化・標準化を図る
• ドメインの専門家を関与： ラベルや注釈のビジネス的妥当性・現実性を担保するため、専門領域の知識を持つ人員をラベリング工程に関与させる
• セマンティックレイヤーの設計と導入： 組織全体で共通認識を持てるよう、用語・データ構造を統一するセマンティックレイヤーを構築し、継続的に見直し・更新できる体制を整備
• セマンティックモデリングの統合： データ管理基盤にセマンティックモデリング機能を組み込むことで、AIが手動介入なしで文脈を理解し、意味のある洞察を導けるようにする
• 業界特有の文脈理解の訓練： AIモデルが業界固有の用語や関連性を正しく理解できるよう、「意味ベースのメタデータ（セマンティックタグ）」を活用し訓練する。これにより、AIはすべてのデータを一般的なものとして扱うのではなく、業界固有の用語を理解。例えばマーケティングでは「MQL（Marketing Qualified Lead）」というような専門用語を正しく識別・解釈できる状態にする

ただし、いかに高品質で文脈に即したデータを用意しても、それがAIシステムからアクセス可能でなければ意味がありません。
次は、「AIにとってアクセス可能なデータ」を実現するためのベストプラクティスについて掘り下げていきます。

3. データのアクセシビリティ：AIは必要なデータに簡単にアクセスできていますか？

AIの賢さは、「アクセスできるデータの質と量」に比例します。では、そのデータが部門ごとにサイロ化され、断片的に存在していたらどうなるでしょうか？
多くの企業では、いまだに異なるシステムやチャネルに分散したデータソースの統合に課題を抱えており、その結果、AIによる分析に遅延や非効率が生じ、顧客エンゲージメントやマーケティング施策の精度を十分に引き出せていないのが実情です。
AIがリアルタイムの洞察や完全な顧客プロファイリングを実現するには、すべてのデータソースがシームレスに統合されている必要があります。
そこで重要な役割を果たすのが Composable CDP（Customer Data Platform） です。これは、複数チャネルに点在する構造化・非構造化データを統合し、「唯一の信頼できる情報源」として、AI活用に適した完全かつ詳細な顧客プロファイルの構築を可能にします。

Composable CDPを導入することで、企業が得られる主なメリット

データサイロの解消

Composable CDPはモジュール型の設計で、既存のデータシステムと柔軟に連携可能です。
これにより、AIは顧客の全チャネルにまたがる行動データを一元的に分析できるようになり、より精度の高いマーケティング戦略が実現します。

360度の顧客プロファイルの構築

複数の接点から収集されたデータを統合・照合することで、顧客の詳細な全体像が明らかになります。
これにより、AIは「次に起こすべきアクション（Next Best Action）」を予測し、超個別化されたエクスペリエンスを提供できるようになります。さらに、部門を超えた戦略的意思決定も支援します。

Composable CDPは、AIが完全で構造化された実用的なデータにアクセスできるようにし、即時活用可能なデータ基盤を整備できます。
これにより、自動化・パーソナライズ・予測分析の精度を最大限に高め、よりスマートな顧客エンゲージメントを実現可能です。
ただし、AIが活用できる状態にあるデータを単に「アクセス可能」にするだけでは不十分です。
そのデータが常に準拠性を保ち、将来的なAI活用にも耐えられるよう、保存・管理の在り方も同時に検討する必要があります。
次章では、この「準拠性の維持」と「AI導入を成功させるためのデータガバナンス」について詳しく見ていきましょう。

4. データ保持・セキュリティ・コンプライアンス：責任あるデータ管理ができていますか？

顧客の65%が「個人データの不適切な取り扱い」をブランド不信の主要因と挙げている現在、データの安全な取り扱いと責任ある管理は、企業にとって最重要課題となっています。
AIシステムは膨大な量の機密情報を処理するため、企業はGDPR（EU一般データ保護規則）、CCPA（カリフォルニア州消費者プライバシー法）、そして新たに制定されたEU AI法（AI Act）などの法規制への準拠は、単なる罰則回避にとどまらず、企業の信頼性を担保しAIの倫理的な活用を保証する上で不可欠です。
また、顧客との長期的な関係構築することにも繋がります。
以下は、マーケティング領域においてAI活用を進めながら、規制への準拠と高品質なデータ管理を両立させるための主要な方法です。

対応策

• 暗号化（Encryption）：顧客の支払い情報、行動データ、マーケティング接点などを第三者から読み取れない形式に変換することで、不正アクセスを防止
• データの匿名化（Data Anonymization）：個人識別情報（PII）を削除し、プライバシーを保護しながらも、AIによるセグメンテーションやターゲティングに必要な顧客インサイトの抽出を可能
• PIIのマスキング（PII Masking）：メールアドレスや電話番号などの機密情報を部分的に隠すことで、顧客の機密情報を公開することなく、ブランドのAIによるパーソナライゼーションがコンプライアンスを維持できるようにする
• 戦略的なデータ保持（Strategic Data Retention）：古いデータはコンプライアンス上必要ですが、管理が不十分ですと、不要なデータがAIシステムを圧迫するリスクもある。企業は高付加価値なデータのみを保持し、低価値な情報は計画的にアーカイブまたは削除することで、効率と精度の両立を図るべき。

このように、データのセキュリティと管理を徹底することで、企業はAIがプライバシーに配慮した高品質なデータを活用できる状態を維持できます。
ただし、コンプライアンス対応は「保護」だけでは不十分で、データライフサイクル全体における完全なトレーサビリティ（追跡可能性）が求められます。
次章ではデータ・リネージ（データの由来と流れを明らかにする仕組み）が、説明責任と透明性をどう実現するかに焦点を当てて解説していきます。

5. データ・リネージ（Data Lineage）：AIにとって“透明性のある”データ運用ができていますか？

「たとえば、AIによる価格決定エンジンが、高額購入者に対して大幅な値引きを提示し、利益率が大幅に低下することを想像してみましょう。
または、AI駆動型のリードスコアリングシステムが、忠実な高価値顧客を「優先度が低い」と誤判定し、営業チームが機会を逸したとしたらどうしますか？」
これらは単なる「システムエラー」ではなく、AIの意思決定がどのデータに基づいて導き出されたのかを説明できない、データの透明性の欠如がもたらした深刻な課題です。
収益機会の損失、広告費の浪費、そして顧客信頼の低下といったビジネスインパクトに直結します。
AI主導のマーケティングを信頼性・説明責任・コンプライアンスのあるものにするためには、「データがどこから来て、どのように処理され、AIの意思決定にどう影響を与えたのか」を追跡・説明できる体制が不可欠。重要となるのが、透明性のあるAI（Explainable AI：XAI）と、データ・リネージ・ガードレールです。

全てのAI駆動型アクションが、明確で説明可能なデータフローによって裏付けられていることを保証します。

• XAI（Explainable AI）： AIモデルがどのような根拠でその判断を下したのかを「説明可能」な形で可視化し、企業がAIの意思決定を正当化・理解・改善できる状態を形成
• データ・リネージ：データが取得元からAIのアウトプットに至るまで、どのように流れ、どのような処理がなされたのかを追跡するための基盤技術であり、AIの判断根拠を明らかにする

AI予測精度の向上に不可欠な「4つのデータ・リネージのガードレール」

• トレーサビリティ（Traceability）：データの出所と流れを明確にし、AIの意思決定が信頼性の高いデータに基づいていることを保証。たとえば、購入履歴や閲覧行動といったどの顧客データが、どのようにAIの推奨に反映されたのかをマーケターが追跡可能になる
• プロビナンス（Provenance）：データのソースと、適用されたあらゆる変換または前処理ステップを記録。これにより、マーケターは、キャンペーンのパフォーマンスが低い場合に、AIが信頼できるファーストパーティデータを使用したか、不正確なソースを使用したかを確認可能
• 依存関係マッピング（Dependency Mapping）：データセット間の関係性を可視化し、上流データ（生データ、入力データ）の変化が下流のAI判断にどう影響するかを追跡。たとえば、「高い離反率」という予測が出た際、その原因が請求エラーやサービスに関する苦情だったかを特定するのに役立つ
• 影響分析（Impact Analysis）：データの変化がAIの予測や判断に与える影響を評価する。これにより、コストのかかる間違いを防ぐことを可能とする。たとえば、ロイヤルティプログラムの条件変更に応じて顧客セグメントが正しく更新されているかを確認することで、高価値顧客の誤分類を防止

AI活用に向けて、データ基盤をどう整備すべきか？

ここまで、AIに最適化されたデータ活用のための5つのステップをご紹介してきました。
では、今、あなたの組織のデータ基盤はどこまで準備が整っているでしょうか？
最近のレポートによると、64%の組織が少なくとも1PB（ペタバイト）のデータを管理しており、41%の組織は500PB以上を処理しています！
データ量が前例のない速さで増加しているため、データ基盤のアップグレードに失敗した企業は、AIシステムに対応できず、非効率性、セキュリティリスク、および信頼性の低いAIパフォーマンスにつながるでしょう。

今こそ、企業がAIデータ対応への投資を後回しにするのではなく、戦略的な優先事項として扱うべき時です。
まずは、次のステップから取り組みを始めてみてはいかがでしょうか？

• データ・レディネス（準備状況）の全社的な監査の実施
• AI導入によって達成したいビジネスゴールとの整合性の確認
• 実効性のあるスケーラブルなソリューションへの投資

この変革を加速させる有力な手段が、HCL Unica マーケティングスイートとHCL Composable CDPの導入です。両者を連携させることで、エンドツーエンドのデータ管理とAIドリブンなマーケティングの実現が可能になります。

HCL UnicaとComposable CDPが実現するAI対応のデータ活用

• AI対応のデータ基盤（AI-ready Data Infrastructure）： HCL CDPは、顧客データをリアルタイムで統合・強化し、包括的な360度顧客ビューを提供します。セマンティックレイヤー（意味付け）、データ・リネージ（出所追跡）、高品質なデータ管理機能などが、データの正確性・ガバナンスおよびコンプライアンスを一段と強化。
  さらに、クラウドとのシームレスな統合と柔軟で拡張可能なアーキテクチャにより、将来を見据えたスケーラブルなAI基盤を構築できる
  
• スケールするハイパーパーソナライゼーション（Hyper-personalization at Scale）：HCL Unicaが提供する高度なソリューションは、こうした標準化され、AIに最適化された高品質なデータを活用し、 「顧客の次に取るべき最適なアクション（Next Best Action）」の予測だけでなく、「次に提供すべき最適な体験（Next Best Experience）」までを提案。 これにより、AIと分析を駆使してハイパーパーソナライズされた顧客体験のために、精緻なターゲティングとオムニチャネルによる1対1のマーケティングが可能になる

HCL CDPによって強固なデータガバナンスとコンプライアンスを確保しながら、HCL Unicaのマーケティング自動化ソフトウェアを組み合わせることで、AI主導のマーケティング施策を安全かつ大規模に展開可能です。

データをAIの未来へと活用する準備はできていますか？
今こそ、AI活用を円滑に進めるために行動を始めましょう！

参考資料

https://cdn.avepoint.com/pdfs/en/ebooks/AI-IM-Whitepaper-v4.pdf
https://www.cmswire.com/digital-experience/the-role-of-data-privacy-in-customer-trust-and-brand-loyalty/
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

2025/5月/7 - 読み終える時間: 2 分

HCL AppScan 10.8.0: Smarter Security with Customization, Reporting and New Licensing Platformの翻訳版です。

2025年2月28日
Ryley Robinson
プロジェクトマーケティングマネージャー

継続的なイノベーションロードマップの一環として、HCLSoftwareはHCL AppScan 10.8.0のリリースを発表できることを誇りに思います。
この最新アップデートでは、複数のアプリケーションセキュリティテスト製品に新たな機能が導入され、セキュリティテストの簡素化だけでなく、自動化の強化とレポート作成のコンプライアンス向上を実現します。
本アップデートでの主な改善点は、オンプレミス製品であるHCL「AppScan Standard」「HCL AppScan Enterprise」「HCL AppScan Source」の3製品に実装されています。
いずれのケースにおいても、精度と効率の向上は、お客様からのフィードバックやご要望、そして現在および将来のサイバー脅威に対応するための継続的な製品開発への投資の成果によるものです。

DevOps連携とカスタマイズ機能の強化

AppScan StandardおよびEnterpriseでは、最新バージョンのPostmanコレクションを自動で取り込み、再スキャン時にも更新されるようになりました。
これにより、APIの変更や追加があっても、毎回新たなスキャンを作成する必要がなくなり、常に最新のAPIセキュリティテストが実行されます。
また、ユーザー独自のニーズに応じてスキャン設定を微調整できるカスタムスクリプトの作成も可能となり、セキュリティテストにおける柔軟性が向上しています。
詳細については、こちら※英語ページに遷移しますをクリックしてください。

My HCLSoftware (MHS)：ライセンス管理の新たなハブ

My HCLSoftware（MHS）※英語ページに遷移しますは、ご購入後の利用をサポートする全く新しい統合ポータルであり、HCL AppScan製品のすべてのライセンスニーズを管理するための新しいハブとなります。
今後、MHSは、サポートされているすべてのバージョンのHCL AppScanのライセンスをダウンロードおよび管理するためのプラットフォームとなります。
このポータルは、ライセンス管理の透明性を高め、お客様にシームレスなセルフサービス体験を提供するために設計されています。
ご不明な点がございましたら、サポート※英語ページに遷移しますにお問い合わせいただくか、当社のブログをご覧ください

自動化と精度の向上

認証エラーはセキュリティスキャンを中断を引き起こしますが、最新版のHCL AppScan Standardでは、自動ログイン処理が改善され、認証が必要なアプリケーションでも中断を最小限に抑えてテストを進められるようになりました。
正規表現（Regular Expression）機能も刷新され、カスタムパターンの定義によりリスクの検出精度が向上し、ユーザー体験の改善にもつながっています。

2024年版「CWE Top 25」への対応強化

セキュリティテストをさらに強化するために、HCL AppScan Source 10.8.0には、2024年のCWE Top 25の最も危険なソフトウェア脆弱性※英語ページに遷移しますに対する最新のサポートが含まれています。
これらの脆弱性は広く知られ、悪用も容易であるため、データ窃盗、業務妨害、またはアプリケーションの完全な乗っ取りを企む攻撃者にとって格好の標的となります。
このアップデートにより、開発チームは脆弱性の根本原因に対処し、セキュリティ対策を強化することで、産業界及び政府関連アプリケーションのリスク軽減に貢献できます。

レポート・コンプライアンス・セキュリティ機能の拡充

HCL AppScan Enterpriseでは、1つの脆弱性に対して複数のCWEを表示することで、チームがより効果的にリスクの優先順位付けをさらに明確化できるようになりました。
APIレスポンスにはCVSSベクトルスコアが追加され、より精緻なリスク評価が可能になりました。
また、新たに追加された「Activity Log REST API」により、セキュリティ関連の操作を一元的に追跡できます。
また、HCL AppScan on Cloud（ASoC）からSCA問題の結果を統合することで、脆弱性管理も単一プラットフォームで実現します。
さらに、Webアクセシビリティの国際基準である「WCAG（Web Content Accessibility Guidelines）」に準拠した改良が加えられ、より多くのユーザーにとって使いやすい環境が整備されました。

HCL AppScan 10.8.0で、セキュリティの一歩先へ

今回のアップデートHCL AppScan 10.8.0は、自動化の強化、レポート機能の向上、他ツールとのスムーズな連携を通じて、セキュリティ脅威への先手対応を可能にしながら、業務効率の最適化も支援します。
詳細については、当社のドキュメント※英語ページに遷移しますまたはウェブサイトをご覧ください。

関連リンク

・重要なお知らせ：HCL AppScan のライセンス方式が2025年6月より変更を予定しております。（詳細はこちら※英語ページに遷移します）