SDV（Software-Defined Vehicle）時代における自動車の品質保証として、サイバーセキュリティ監査の重要性を解説します。国際法規（UN-R155/156）で義務化された背景、プロセス監査と製品監査で確認される内容、基盤となるISO/SAE 21434などの規格、推奨される資格について紹介。TARA（脅威分析）を起点とし、セキュリティ要求を設計段階から組み込むなど、監査に耐えうる製品開発の5つの重要な観点を説明します。

1. はじめに 本稿では、Kiro を用いた仕様駆動開発の検証を通じて、API 開発における生産性と品質の変化を評価した事例を紹介します。 実際の開発案件で実装された領域に対して、設計から試験工程までを Kiro で再実装し、従来開発と比較するという試みになっています。 2. 自己紹介 株式会社 NTT データ ソリューション事業本部 C&D 事業部に所属しており、パブリッククラウド領域の案件に取り組んでいます。 本稿の取り組みのような 生成 AI を活用した開発にご興味をお持ちいただけた方は、お気軽にお問い合わせください。 3. Kiro における仕様駆動開発 一般

「社内のドキュメント、どこにあったかな？」「ストレージのあのファイルの内容、AI に聞けたら便利なのに…」 多くの企業が社内ナレッジをさまざまなストレージツール上に保管しています。蓄積された膨大な情報を効率よく活用するのは簡単ではありません。 Amazon Quick なら、組織に散らばり保存された社内ナレッジを AI エージェントに接続し、自然言語で質問するだけで必要な情報を引き出せます。 本ブログでは、Amazon Quick の AI エージェントを社内ナレッジへ接続する例として、Microsoft SharePoint Online（以下、SharePoint と記載）での連携方法を取り上げます。ナレッジベース連携とアクション連携の、2 つのアプローチについて、セットアップ手順をステップバイステップで解説します。 2 つの連携方式の違い Amazon Quick の SharePoint 連携には、目的の異なる 2 つのタイプがあります。用途に応じて選択、または両方を組み合わせて使用できます。 ナレッジベース連携 アクション連携 できること SharePoint 上のドキュメントを AI が検索・回答 (同期時点での情報を取得) SharePoint のリスト・ファイル・Excel を自然言語で操作 (リアルタイム) データの流れ Amazon Quick が定期クロール → インデックス化 → AI 検索 ユーザーの操作リクエスト → Graph API → SharePoint ユースケース 社内規程検索、技術文書 Q&A、プロジェクトナレッジ ファイル取得、リスト更新、Excel 読み書き 1. ナレッジベース連携（Knowledge Base Integration） ナレッジベース連携では、SharePoint 上のドキュメントを Amazon Quick が自動的にクロール・インデックス化し、AI エージェントが検索・回答できるようにします。Entra ID のアプリ登録は不要で、SharePoint にサインインするだけで接続が完了します。 SharePoint 側のドキュメントレベルのアクセス制御（ACL）をナレッジベースに引き継ぎたい場合は、Admin-managed setup（サービス資格情報）による構成が必要です。詳細は本セクション末尾の 補足: ドキュメントレベルのアクセス制御（ACL）が必要な場合 を参照してください。 詳細な手順は公式ドキュメント Microsoft SharePoint ナレッジベースの統合 も参照してください。 1-1. Amazon Quick でナレッジベース作成ウィザードを開く Amazon Quick コンソールの左ナビゲーション → 「ナレッジ」 を選択 「Microsoft SharePoint Online」 の追加（＋）ボタンをクリック 1-2. SharePoint にサインインする 事前に管理者の組織同意が必要です ナレッジベース統合の際には、Microsoft Entra の管理者が一度だけサインインして「組織の同意」を付与する必要があります。管理者が同意していない状態で一般ユーザーがサインインすると、「管理者の承認が必要」画面が表示され、先に進めません。 組織の同意を付与すると 、Microsoft Entra はテナントにエンタープライズアプリケーション（サービスプリンシパル）を自動的に作成します。過去に無効化していた場合は、再度有効にしてアクセスを復元してください。同意時に付与されるアクセス許可の詳細は、 Amazon Quick ユーザーガイド: SharePoint ナレッジベースの前提条件 を参照してください。 「Sign in to SharePoint」 ボタンをクリック Microsoft のサインイン画面が表示されるので、SharePoint にアクセスできるアカウントでサインイン アクセス許可を承認 1-3. Amazon Quick でインデックスするコンテンツを選択する ナレッジベースの 名前 と 説明 （任意）を入力 「Add content」 ボタンをクリック 取り込みたい特定のサイトやドキュメントフォルダ、ページなどを選択し、 「Add」 をクリック 「Create」 をクリック 作成後、初回の同期が自動的に開始される 1-4. Amazon Quick で AI エージェントにナレッジベースを接続する 作成したナレッジベースを、Amazon Quick の AI エージェントが活用できるようにします。 方法 A: スペース経由 左ナビゲーション → 「スペース」 → 対象のスペースを開く ナレッジベースをスペースに追加 スペースをカスタム AI エージェントにリンク 方法 B: チャットから直接 チャットフッターの ナレッジ アイコンを選択 作成した SharePoint ナレッジベースを直接スコープに追加、または「すべてのデータ」(ナレッジベースは自動利用) を選択 補足: ドキュメントレベルのアクセス制御（ACL）が必要な場合 上記の Quick setup で Amazon Quick が SharePoint コンテンツのインデックスを作成する場合、SharePoint からのアクセスコントロールリスト（ACL）は同期されません。インデックス付きコンテンツはすべて、SharePoint のアクセス許可に関係なく、Amazon Quick のナレッジベースにアクセスできるすべてのユーザーがアクセスできます。ナレッジベースの作成時に含めるコンテンツを確認してください。 SharePoint 側のアクセス権限をナレッジベースに引き継ぎたい場合は、 Admin-managed setup（サービス資格情報） を使用します。セットアップは以下の 2 つのフェーズで構成されます。 フェーズ 1: サービス資格情報のセットアップ KMS 署名鍵の作成、証明書の生成、Entra ID へのアプリケーション登録、Amazon Quick への鍵のアクセス権付与を行います。具体的には、以下の構成が必要です。 AWS KMS で非対称署名鍵（RSA_2048）を作成する KMS 公開鍵を使って自己署名証明書を生成する Microsoft Entra ID にアプリケーションを登録し、証明書をアップロードする Entra ID アプリに SharePoint のアプリケーション権限を付与する（詳細は下記参照） Amazon Quick に KMS 鍵へのアクセス権を付与する Entra ID アプリへの SharePoint アプリケーション権限付与について 以下の 2 つのパターンから 1 つを選択して適用します（混在不可）。 All sites（ACL クロールあり） Microsoft Graph: Sites.Read.All Microsoft Graph: User.Read.All Microsoft Graph: GroupMember.Read.All SharePoint REST: Sites.FullControl.All Selected sites（ACL クロールあり） Microsoft Graph: Sites.Selected Microsoft Graph: User.Read.All Microsoft Graph: GroupMember.Read.All SharePoint REST: Sites.Selected Sites.Selected を選んだ場合は、Microsoft Graph API を通じて対象サイトごとに個別の権限付与が必要です。 詳細は Set up service credentials を参照してください。 フェーズ 2: Amazon Quick でナレッジベースを作成 フェーズ 1 で取得したサービス資格情報を使用して、SharePoint ナレッジベースを作成します。 詳細は Create the knowledge base in Amazon Quick を参照してください。 この構成により、Amazon Quick が SharePoint の ACL を自動同期し、クエリ時にユーザーのアクセス権をリアルタイムで検証します。ユーザーは自分がアクセス権を持つドキュメントからのみ回答を得ることができます。 注意 : ACL 管理はナレッジベース作成後に変更できません。ACL が必要かどうかは、作成前に検討してください。 ドキュメントレベルのアクセス制御の仕組みについては、 Document-level access controls を参照してください。 2. アクション連携（Action Integration） アクション連携では、Microsoft Graph API を介して SharePoint のリスト、アイテム、ファイル、Excel ワークブックを自然言語で直接操作できます。ユーザーごとの OAuth 認証を使うため、各ユーザーの権限に基づいたアクセス制御が自動的に適用されます。 ナレッジベース連携とは異なり、事前に Microsoft Entra ID でのアプリ登録が必要です。連携を作成すると、その事前作成された連携を利用して、ユーザー自身の認証でアクションを利用することが可能となります。 詳細な手順は公式ドキュメント Microsoft SharePoint アクション統合 も参照してください。 事前準備 以下の管理者権限を使用し、2-1 から 2-5 を事前に実施する必要があります。 Microsoft Entra ID（旧 Azure AD）のアプリ登録権限 Amazon Quick の管理者または Author 権限 2-1. Microsoft Entra 管理センターでアプリを登録する Microsoft Entra 管理センター でアプリケーションの登録を行います。 正式な手順については Microsoft 公式ドキュメント: Microsoft ID プラットフォームにアプリケーションを登録する を参照してください。 「アプリの登録」 → 「新規登録」 を選択 アプリ名を設定（例: QuickSharePointIntegration ） 「サポートされているアカウントの種類」で 「シングルテナントのみ」 を選択（任意で指定） 「リダイレクト URI」で 「Web」 を選択し、以下の URL を入力 https://{リージョン}.quicksight.aws.amazon.com/sn/oauthcallback {リージョン} は Amazon Quick のリージョンに置き換え（例: 東京なら ap-northeast-1 ） 「登録」 をクリック 登録後、 概要ページ に表示される以下の値を控えておきます。Amazon Quick 側の設定で使用します。 アプリケーション（クライアント）ID ディレクトリ（テナント）ID ポイント : 複数リージョンで Amazon Quick を利用する場合は、リダイレクト URI を複数登録してください。登録したアプリ → 「認証」 からリダイレクト URI を追加できます。 2-2. Microsoft Entra 管理センターでクライアントシークレットを作成する 登録したアプリ → 「証明書とシークレット」 を選択 「新しいクライアントシークレット」 を選択 説明と有効期限（最大 730 日）を設定し、追加 表示された 「値」 をコピーして安全に保管 重要 : シークレットの「値」は作成直後しか表示されません。この画面を閉じると二度と確認できないため、必ずこのタイミングでコピーしてください。Amazon Quick に設定するのは 「シークレット ID」ではなく「値」 の方です。 2-3. Microsoft Entra 管理センターでエンドポイント URL を取得する 登録したアプリの 「概要」 → 「エンドポイント」 から、以下の 2 つの URL を控えます。 OAuth 2.0 トークンエンドポイント (v2) : https://login.microsoftonline.com/{テナントID}/oauth2/v2.0/token OAuth 2.0 認証エンドポイント (v2) : https://login.microsoftonline.com/{テナントID}/oauth2/v2.0/authorize 2-4. Microsoft Entra 管理センターで Graph API のアクセス許可を設定する Entra ID で Graph API のアクセス許可（委任されたアクセス許可）を設定します。 登録したアプリ → 「API のアクセス許可」 を選択 「アクセス許可の追加」 → 「Microsoft Graph」 → 「委任されたアクセス許可」 を選択 以下のスコープを追加 Files.ReadWrite : ファイルの読み取り・作成・更新・削除 Sites.ReadWrite.All : サイトコレクション内のドキュメントとリストの編集・削除 offline_access : アクセストークンの自動更新（再認証の頻度を軽減） 「{テナント名} に管理者の同意を与えます」 をクリックして権限を承認 Tip : どのアクションにどのスコープが必要かの詳細は、 Microsoft 公式ドキュメント: Microsoft Graph API のアクセス許可リファレンス を参照してください。 2-5. Amazon Quick で OAuth 接続を設定する Amazon Quick コンソールで、アクション連携の接続設定を作成します。 左ナビゲーション → 「Connectors」 → 「Create for your team」 → 「Microsoft SharePoint Online」 を選択 既に接続が存在し新規作成する場合は、 「No, create new」 を選択 「統合タイプを選択」 画面で 「次へ」 を設定 「Microsoft SharePoint Online 接続の詳細」 画面で以下を設定 (*以下ではユーザー認証 (OAuth) の方法を取り上げています。) 名前 : 任意の名前を入力 Description : 任意で入力 接続タイプ : パブリックネットワーク (*VPC指定も可能) OAuth Configuration : Custom OAuth app OAuth Configuration の詳細 : 以下の値を入力 設定項目 入力する値 ベース URL https://graph.microsoft.com/v1.0 （固定値） クライアント ID 2-1 で取得したアプリケーション（クライアント）ID クライアントシークレット 2-2 で取得したシークレットの「値」 トークン URL 2-3 で取得したトークンエンドポイント 認証 URL 2-3 で取得した認証エンドポイント リダイレクト URL 自動で入力されている（2-1 で Entra ID に登録済み） 「作成して続行」 をクリック 共有するユーザーを選択 「Next」 をクリック ユーザーがアクションを利用する方法 事前作成されたアクションを共有されたユーザーは、アクションを利用して SharePoint の利用を開始できます。初回アクション利用時、または認証が切断されていた場合は、ユーザー自身で認証を行う必要があります。 方法 A: スペース経由 左ナビゲーション → 「スペース」 → 対象のスペースを開く アクションをスペースに追加 スペースをカスタム AI エージェントにリンク 方法 B: チャットから直接 チャットフッターの ナレッジ アイコンを選択 作成した SharePoint ナレッジベースを直接スコープに追加、または「すべてのデータ」(アクションは自動利用)を選択 「SharePoint のファイルを確認して」等のプロンプトでアクションを利用 アクション連携で利用できる操作 Amazon Quick の SharePoint アクションコネクタでは、以下の操作が利用できます。 カテゴリ 操作 説明 リストとアイテム View items / Get Item / Get List / Update Item / Delete Item リストの閲覧、アイテムの取得・更新・削除 ファイル Upload File / Search Site Drive Items ファイルのアップロード（最大 250 MB）、検索 Excel ワークブック List Sheets / Add Sheet / Read Sheet / Update Sheet / Delete Sheet シートの一覧・追加・読み取り・更新・削除 Excel ワークブック Read Cell / Write Cell / Read Range / Write Range / Clear Range / Delete Range / Get Used Range セル・範囲の読み書き・クリア 連携方式の選び方ガイド 「検索して答えてほしい」→ ナレッジベース連携 社内規程・マニュアルの質問応答、技術文書の横断検索、プロジェクトドキュメントの Q&A、新入社員のオンボーディング支援など、蓄積されたドキュメントに対して AI が検索・回答するケースに適しています。 「操作してほしい」→ アクション連携 「この Excel の売上データを見せて」「SharePoint リストに新しいアイテムを追加して」「あのファイルをダウンロードして」など、SharePoint 上のデータを直接操作したい場合に適しています。 「両方やりたい」→ 両方設定 両方の連携は共存可能です。セキュリティの観点からは、用途ごとに Entra ID アプリを分けて最小権限を付与するのがベストプラクティスです。 まとめ Amazon Quick と SharePoint の連携は、「検索するか、操作するか」という目的に応じて適切な方式を選ぶことがポイントです。ナレッジベース連携はサインインするだけで接続が完了するため、まずはここから試してみることをおすすめします。アクション連携は Entra ID でのアプリ登録が必要ですが、一度設定すれば SharePoint のリスト・ファイル・Excel を自然言語で直接操作できるようになります。Amazon Quick は SharePoint だけでなく、Confluence、Google Drive、OneDrive、S3、Web クローラーなど、複数のナレッジソースをひとつのスペースに集約できます。まずは 1 つの SharePoint サイトから始めて、効果を実感したら徐々にスコープを広げていくのがおすすめです。ぜひ皆様の組織でも Amazon Quick を活用し、社内ナレッジの活用を加速させてみてはいかがでしょうか。 著者について 加藤 菜々美 (Nanami Kato) アマゾンウェブサービスのソリューションアーキテクトです。エンタープライズの小売・消費財業界のお客様を支援しています。AI/ML や、サーバーレスの専門チームにも所属しています。お客様の業種業態に特化したビジネス課題に対して、テクノロジーを駆使した解決手段をお客様と一緒に検討・策定し、展開するご支援をしています。