TakumiをSlackに招待する
本チュートリアルで扱う機能は、Takumiをご契約いただいた組織でのみご利用いただけます。
Takumiとは
Takumiは、Slackでいつでもセキュリティ診断を頼めるセキュリティ診断AIエージェントです。
ソースコードや仕様を理解し、自律的に診断します。
Slackを利用していない方はTakumiをShisho Cloud byGMOで利用するをご確認下さい。
TakumiをSlackに招待するために必要な設定
Slack上でTakumiがGitHub上のプライベートなリポジトリの診断を可能にするためには「設定 > サービス連携」のタブにて、「Slack連携」と「GitHub連携」をした後、各 Slack チャンネル毎のデータスコープの設定(/takumi-scopes)が必要です。
1. Slack連携の方法
TakumiはSlackワークスペースにSlack Appとして招待する必要があります。 Slack ワークスペースの連携は「 設定 > サービス連携(Integrations) > Takumi 向け連携」以下から行えます:
新たな Slack ワークスペースの追加(set up a new Slack ワークスペース)をクリックすると、Slack が提供する画面に遷移します。 内容をよく確認して、"Allow" を押下してください:
押下すると Slack ワークスペースと Shisho Cloud byGMO の連携が完了します。 成功していれば、該当の Slack ワークスペースが下記のように表示されるはずです:
本操作の実施時には、Slack ワークスペースのオーナーの承認が要求される場合があります。 その場合は Slack ワークスペースのオーナーに連絡を取り、Slack App の承認を依頼してください。
Slack App の連携が承認された後は、再度 Slack ワークスペースと Shisho Cloud byGMO の連携処理を、Shisho Cloud byGMO 画面側から実施してください。
Slack連携に問題がある場合は「Slack 連携に関して」を確認するか、Slackのヘルプセンターをご確認ください。
2. GitHub連携の方法
GitHub組織にTakumiを連携すると、TakumiはPrivateなRepositoryも診断可能になります。 「外部連携を設定する > GitHub」のガイドを参考に、GitHubとの外部連携を設定しましょう。
Slack連携とGitHub連携が完了したら、Takumiを好きなチャンネルに追加して診断を依頼してみましょう!
3. Slack チャンネル毎のデータスコープの設定方法
GitHub連携後、Takumiに診断を依頼する前に対象のレポジトリをスコープ内に設定する必要があります。 「TakumiのSlackコマンドを使用する」のガイドを参考に、Takumiのスコープを設定してください。
非必須の設定項目
「Web検索機能」オプション
「Web検索機能」オプションはオフにすることを推奨します。
「Web検索機能」オプションを有効にすると、Takumiは診断の過程で、必要に応じてブラウザを操作しインターネット上の情報を柔軟に検索します。 デフォルトではオフになっており、Takumi はブラウザを操作することはありません。
オプション無効化を推奨する理由
「Web検索機能」オプションがオフであっても、Takumiは多くのセキュリティ業務をこなすことができます。
これは、ソースコード内の情報のみならず、GitHubのIssue・Pull Requestや脆弱性データベース等への安全なアクセス手段が、Takumiに提供されているためです。
「Web検索機能」は、これらの情報源以外をTakumiに調査させたい場合の手段です。
以下の理由から、Takumiの「Web検索機能」オプションはオフにすることを推奨します。
-
Takumiの予期しないブラウザ操作による情報漏洩の可能性:
「Web検索機能」では、検索クエリ内や、ブラウザ操作の過程で発生しうるフォーム入力で、Takumiがお客様の秘密情報(コードやプロンプト等)やそれに由来する情報を外部サイトに入力する可能性を排除できません。なお、「Web検索機能」がオフの場合は、Takumiが外部情報へアクセスする際の function calling / tool use 相当の操作時において、その引数にお客様からお預かりしている秘密情報 (や、それらから直接的に派生する情報) が含まれないよう保証できる範囲に限り、ネットワークアクセスを許可しています。1。
-
診断時間やクレジット消費量への影響:
Takumiが診断の過程でブラウザを用いる場合、診断時間やクレジット消費量が増加する傾向があります。「Web検索機能」がオフであっても遂行できるタスクについては、本オプションをオフにしておくことでこれらを抑制できます。
Footnotes
-
例えば、「CVE IDから詳細を取得するtool」は、CVE IDのフォーマットが決まっていることにより、引数の厳密なバリデーションが可能です。また「依存関係内の既知脆弱性情報(CVE ID等)の列挙 tool」は、Takumiの実行環境内で、脆弱性DBと使用パッケージの突合が安全に行われます。これらのtoolは外部情報へ安全にアクセスする手段として、「Web検索機能」がオフである場合にもTakumiに提供されています。 ↩