[アップデート] AWS Artifact に AI がコンプライアンスの質問に回答する「Assurance Assistant」が追加されました
いわさです。
AWS Artifact は AWS のセキュリティおよびコンプライアンスに関するレポートや認証ドキュメント、契約書などをオンデマンドでダウンロードできるサービスです。
SOC レポートや ISO 認証、PCI DSS のレポートなどが提供されており、監査やベンダー評価の際に利用します。
これまで、AWS のセキュリティ体制について質問に回答する際は、AWS Artifact から SOC レポートや ISO 認証などをダウンロードし、該当する記述を自分で探して回答を作成する必要がありました。
例えば私の経験だと、医療情報システムのガイドライン対応を行う際に「物理データセンターの施錠やカメラなどのセキュリティ対策について」調べたい場合、複数のレポートの中から該当箇所を探す作業がなかなか大変でした。
先日のアップデートで、AWS Artifact に「Assurance Assistant」という AI を活用した新機能が追加されました。
Assurance Assistant は、AWS のセキュリティやコンプライアンスに関する質問に対して、検証済みの AWS コンプライアンスドキュメントを根拠とした引用付きの回答を生成してくれる機能です。
単一の質問をその場で聞くモードと、XLSX ファイルの質問票を一括アップロードして処理するモードの 2 つが用意されています。
追加料金なしで利用でき、すべての商用 AWS リージョンで利用可能とのことです。
今回こちらを確認してみたので紹介します。
IAM ポリシーの設定
Assurance Assistant を利用するには、以下のいずれかの IAM マネージドポリシーをアタッチする必要があります。
| IAM ポリシー | 許可される操作 |
|---|---|
AWSArtifactComplianceInquiriesReadOnlyAccess |
回答の閲覧とエクスポート |
AWSArtifactComplianceInquiriesFullAccess |
質問の送信、回答の閲覧、エクスポート |
コンソールを開いてみる
AWS Artifact コンソールを開くと、左ナビゲーションに「保証アシスタント」(Assurance Assistant)が「新規」バッジ付きで追加されています。
なお、本日時点では日本語コンソールだと翻訳が当たっておらず、一部のテキストがプレースホルダー(app.home.get-started.button.assurance-assistant など)のまま表示されてしまっていました。
保証アシスタントの画面に遷移すると日本語化されていたので、トップページだけの問題みたいですね。


単一質問モードで試してみる
左ナビゲーションの「保証アシスタント」をクリックすると質問画面に遷移します。
テキストフィールドと XLSX ファイルのアップロードが同じ画面に配置されています。
公式ドキュメントによると、質問は最大 2,048 文字まで入力可能とのことです。
なお、ドキュメント上は「in English」と記載されていますが、日本語でも入力できるか試してみます。
Questions can be up to 2,048 characters in English.

1つ目の質問:物理的アクセス制御について
医療ガイドライン対応で実際に調べる必要があったシナリオで試してみました。
以下の質問を入力して送信します。
「AWSのデータセンターには施錠やカメラ、生体認証などの物理的アクセス制御が実装されていますか?」

日本語で問題なく送信でき、回答が生成されました。
回答は英語で返ってきますが、内容はしっかり物理的アクセス制御に関するものです。

ソースを展開してみると、引用元は SIG(Standardized Information Gathering questionnaire)の FAQ セクション「F.1.2.2」から 1 件でした。

ソースのリンクをクリックすると AWS Artifact のレポートページに遷移し、SIG のレポートが確認できます。

回答の内容自体は具体的で役に立つのですが、ソースが SIG の自己回答のみというのは少し気になりました。
医療ガイドライン対応の文脈だと、第三者監査の証跡(SOC 2 レポートなど)からの引用が欲しいところです。
2つ目の質問:第三者監査の観点で聞いてみる
そこで、同じ物理セキュリティというトピックを「第三者による監査で確認された内容」という切り口で聞き直してみました。
「AWSの物理的セキュリティ対策について、第三者による監査で確認された内容を教えてください」

今度はソースが 4 件返ってきました。

引用元を見てみると:
aws.amazon.com/compliance/faq/— SOC レポートによる第三者検証についてaws.amazon.com/compliance/mpa/— 物理セキュリティの詳細(CCTV、侵入検知、24x7 警備員など)docs.aws.amazon.com/whitepapers/.../gxp-systems-on-aws/aws-certifications-and-attestations.html— SOC 1/SOC 2 の統制目的の説明- (他1件)
同じ物理セキュリティのトピックでも、質問の切り口を変えるだけで引用されるソースの数も種類もまったく変わりました。
1つ目は SIG の回答 1 件だけでしたが、2つ目は Compliance FAQ やホワイトペーパーなど 4 件のソースから横断的に回答が構成されています。
引用元はパブリック文書
ここで気づいたのですが、2つの質問ともに引用元のリンク先はすべてパブリックに公開されている Web ページ(FAQ、ホワイトペーパーなど)でした。
アナウンスでは以下のように記載されています。
All responses include citations from AWS compliance documentation — including SOC reports, ISO certifications, and C5 attestation packages
「including SOC reports」とありますが、今回の検証では SOC レポート本体(NDA に同意してダウンロードするもの)からの直接引用は確認できませんでした。
SOC レポートの「存在」や「内容の概要」についてはパブリック文書経由で言及されていますが、レポート本体の記述が直接引用されるかどうかは、質問の仕方や内容によるのかもしれません。
質問票の一括アップロード
単一質問モードのほかに、XLSX ファイルをアップロードして一括処理するモードもあります。
CAIQ、SIG、カスタム DDQ などの業界標準フォーマットに対応しているとのことです。
公式ドキュメントによると、ファイルサイズは最大 5 MB、質問数は最大 1,000 件まで対応しているようです。
Supported format: Excel spreadsheet (XLSX), maximum 5 MB, up to 1,000 questions.
今回は試しに、A列に質問を5行並べただけのシンプルな XLSX ファイルを作成してアップロードしてみました。
ヘッダー行もなし、1列のみという最小構成です。

「ファイルを選択」からアップロードすると、ファイル名とサイズが表示されます。

送信すると「レスポンスを設定する」画面に遷移し、処理対象のシート(タブ)を選択します。
今回は Sheet1 のみなのでそのまま「設定」をクリックします。

処理が開始され、「回答を処理中...」と表示されます。

しばらく待って「更新」をクリックすると、5件すべての回答が生成されていました。
ステータスは「自動生成されました」と表示されています。

ヘッダー行なし・1列のみというシンプルな構成でも問題なく処理されました。
生成された回答は「すべてエクスポート」「選択したものをエクスポート」ボタンからダウンロードできるようになっています。
さいごに
本日は AWS Artifact に AI を活用したコンプライアンス質問回答機能「Assurance Assistant」が追加されたので確認してみました。
日本語で質問できて、引用付きの回答が返ってくるのは便利ですね。
XLSX ファイルの一括アップロードもヘッダーなし・1列のみのシンプルな構成で受け付けてくれたので、質問票を用意するハードルも低いです。
ただ、今回の検証では引用元がパブリック文書(FAQ やホワイトペーパー)のみで、SOC レポート本体からの直接引用は確認できませんでした。
コンプライアンス情報の「とっかかり」として使い、具体的な監査証跡が必要な場合は従来どおりレポートをダウンロードして確認する、という使い分けになりそうです。
また、同じトピックでも質問の切り口を変えるとソースの数や種類が大きく変わることがわかったので、期待した回答が得られなかった場合は聞き方を変えてみると良さそうです。
追加料金なしで使えるので、まずは気軽に試してみるのが良いかなと思います。









