Amazon Quick と Snowflake Cortex AI で AML アラートトリアージを自動化

AWS と Snowflake 上で稼働する金融機関は、Snowflake の AI データクラウドと AWS クラウドインフラストラクチャを組み合わせた深く統合されたフレームワークの恩恵を受けています。これには、Amazon S3、AWS Glue、Amazon SageMaker、Amazon Bedrock などの AWS サービスとの統合が含まれます。AWS サービスと Snowflake 間には50以上のネイティブ統合があり、組織はデータセキュリティを維持しながら価値実現までの時間を短縮するコンプライアンスワークフローを構築できます。

この記事では、金融サービスにおいて最も労働集約的なワークフローの1つであるアンチマネーロンダリング（AML）アラートトリアージを自動化することで、この統合の実際の動作を紹介します。Amazon Quick Flows と Snowflake Cortex を、Amazon Quick モデルコンテキストプロトコル（MCP）統合を介して接続したトリアージワークフローを構築します。テスト環境では、Amazon Quick を使用した自動化ワークフローにより、アラート調査時間を30～90分から5分未満に短縮しました。実際の結果は、アラートの複雑さとデータ量によって異なる場合があります。

AI 導入が成熟するにつれ、組織は最も影響力のある展開がスタンドアロンのアシスタントを超えていることに気付いています。これらは、チームが既に使用しているツール全体でオーケストレーションする反復可能なワークフローであり、多段階の手動プロセスをワンクリックエクスペリエンスに変えます。Amazon Quick は、生成 AI を活用したチャットエージェント、リサーチ機能、タスク自動化のための Quick Flows、プロセス自動化のための Amazon Quick Automate を提供するエンタープライズ AI サービスであり、ネイティブインデックス、カスタムナレッジベース、ユーザーアップロードファイルを含む複数のソースからデータを集約します。Quick Flows は、ユーザーリクエストを標準化された MCP プロトコル呼び出しに変換し、カスタムコネクタの必要性を排除しながら、OAuth 認証を通じてエンタープライズセキュリティを維持します。Quick Flows は、調査が毎回同じ構造化された手順（入力収集、調査実行、出力生成）に従うため、AML トリアージに最適です。同じ MCP ベースのアプローチは、チームが現在手動でシステムを橋渡ししている反復可能なワークフロー（FinOps コストトリアージ、SRE インシデント対応、コンプライアンス調査など）にも適用できます。

中規模から大規模の銀行の AML アナリストは、通常、アラートごとに30～90分かけて手動でデータを収集し、処分報告書を作成しています。業界調査によると、金融機関は通常、AML アラートの90～95%が誤検出であることを発見しており、効率的なトリアージが重要です。この規模の手動調査プロセスは、コンプライアンスチームに大きな負担をかける可能性があります。自動化により、アナリストはアラートをより効率的に処理し、調査時間を短縮し、コンプライアンス基準を維持できます。

ソリューション概要

次の図は、モデルコンテキストプロトコル（MCP）を介して Amazon Quick を Snowflake に接続するエンドツーエンドの統合アーキテクチャを示しています。

図1：モデルコンテキストプロトコルを介した Snowflake 管理 MCP サーバーと Amazon Quick の統合

このソリューションは、Amazon Quick Flows をオーケストレーションレイヤーとして使用し、Amazon Quick が管理する接続を介して、Snowflake 管理の MCP サーバー（OAuth 認証付き）を通じて Snowflake Cortex Agent に到達します。Cortex Agent は、Cortex Analyst を介して構造化取引データを、Cortex Search を介して非構造化コンプライアンス文書を分析しながら調査作業を実行し、Quick Flows は入力検証、推論ロジック、フォーマットされた出力表示を処理します。

図2：AML アラートトリアージワークフロー：Quick Flows と MCP アクションステップが Snowflake Cortex Agents（Cortex Analyst と Cortex Search）を呼び出す

以下は、Quick Flow 入力ステップから完成した調査報告書までのエンドツーエンドのアナリストエクスペリエンスです。アナリストは公開されたフローを開き、アラート ID（例：ALT-2026-03-02-002）を入力し、オプションで時間枠を指定します。その後、フローは次の処理を行います：

入力の検証とアラートの存在確認。

MCP を介して Snowflake Cortex Agent を呼び出し、取引データ、顧客プロファイル、過去の履歴、コンプライアンスポリシーにわたってアラートを調査。

構造化された調査報告書（アラート概要、取引パターン、顧客プロファイル、過去の SAR、ポリシー参照、リスクスコア、処分推奨、ドラフトナラティブ）を生成。

実装

このセクションでは、Snowflake データレイヤーの準備から Quick Flows オーケストレーションの構成まで、AML トリアージワークフローを構築する手順を説明します。開始前に必要な前提条件から始め、各ステップは前のステップに基づいて構築されるため、最終的にはアナリストが使用できる完全に機能するエンドツーエンドの自動化調査パイプラインが完成します。

前提条件

MCP アクションコネクタを構成できる Amazon Quick アカウント。

Cortex Agents、Cortex Search、Snowflake 管理 MCP サーバー機能にアクセスできる Snowflake アカウント。AGENT、MCP SERVER、CORTEX SEARCH SERVICE、SECURITY INTEGRATION オブジェクトを作成する権限が必要です。

Snowflake 内の AML データ。トランザクションモニタリングシステム（Actimize、Norkom、または社内ルールエンジンなど）からのアラート、顧客/アカウントマスターデータ、KYC/CDD レコード。アラート、取引、顧客、処分の各次元をモデル化したセマンティックビュー。

Snowflake 内のコンプライアンス文書コーパス。BSA/AML ポリシーマニュアル、SAR 提出ガイドライン、以前の調査ノート、規制ガイダンス（FinCEN 勧告、FFIEC BSA/AML マニュアル抜粋）を Cortex Search インデックス用にテーブルにロード。

SQL、Snowflake 管理、AWS Identity and Access Management (IAM) の概念に精通していること。

ステップ1：AML セマンティックビューの準備（Snowflake）

Cortex Analyst は、コンプライアンスチームがアラートと調査について考える方法に一致するセマンティックビューを与えると最も効果的に機能します。Snowflake 管理の MCP サーバーは、Cortex Analyst によるセマンティックビューをサポートしています。Snowsight に移動し、AI & ML、セマンティックビューの順に進み、Snowflake 内の AML テーブル（ディメンションとメジャー）に対してセマンティックビューを作成します。

アラートメタデータ：alert_id、alert_date、rule_name、rule_category、severity、status、alert_score。

取引詳細：txn_id、txn_date、txn_type、amount、currency、channel、originator、beneficiary、beneficiary_country。

顧客プロファイル：customer_id、full_name、risk_rating、country、industry、onboarding_date、pep_flag、sanctions_flag。

アカウントアクティビティ：account_id、account_type、current_balance、avg_monthly_volume、status。

処分履歴：prior alerts、prior SARs、last disposition outcome、analyst notes。

アラート、取引、顧客、アカウント、処分間のリレーションシップ（結合）を定義し、エージェントが単一のクエリでデータモデルをトラバースできるようにします。

ステップ2：コンプライアンス文書用の Cortex Search サービスの構築（Snowflake）

AML トリアージは非構造化コンテキストに大きく依存します。コンプライアンス文書コーパス上に Cortex Search サービスを作成し、エージェントが各トリアージ中に関連するポリシーセクション、SAR 提出テンプレート、以前の調査ノートを取得できるようにします。

CREATE OR REPLACE CORTEX SEARCH SERVICE aml_policy_search ON search_content ATTRIBUTES doc_type, effective_date, regulatory_body WAREHOUSE = AML_WH TARGET_LAG = '1 hour' EMBEDDING_MODEL = 'snowflake-arctic-embed-l-v2.0' AS ( SELECT doc_id, doc_type, effective_date, regulatory_body, content AS search_content FROM FINCRIMES_DB.AML_SCHEMA.COMPLIANCE_DOCS );

インデックス化する文書には、組織の BSA/AML ポリシーマニュアル、SAR 提出しきい値とナラティブテンプレート、FinCEN 勧告、FFIEC BSA/AML マニュアル抜粋、以前の調査ノート（必要に応じて編集）、制裁/PEP スクリーニングガイダンスが含まれます。

ステップ3：AML トリアージ Cortex Agent の作成（Snowflake）

トランザクションセマンティックビュー（Cortex Analyst）とコンプライアンス文書検索サービス（Cortex Search）をオーケストレーションする Cortex Agent を作成します。エージェント仕様には、組織の調査方法論をエンコードするシステム命令ブロックが含まれています。このブロックは意図的に設定されており、カスタマイズが期待されています。ここで提供されるデフォルトの命令は一般的な AML トリアージワークフローを反映していますが、本番環境にデプロイする前に、組織の特定の手順、エスカレーション基準、規制義務に合わせて調整する必要があります。

システム命令ブロックの番号付き手順を確認し、ワークフローに適用されない手順を並べ替えたり削除したりします。管轄区域や該当する規制枠組みなど、組織固有のコンテキストを追加します。応答形式ブロックを、ケース管理システムの期待される出力構造に合わせて更新します。sample_questions ブロックを、テスト中にエージェントの動作を検証するのに役立つように、ご自身の環境からの代表的なアラート ID またはクエリパターンで更新します。

Amazon Quick MCP タイムアウト制約（現在300秒）内でエージェントが完了するように、オーケストレーション予算を控えめに保ちます。エージェントが作成されたら、Snowsight に移動し、Cortex Analyst ツールに使用するデフォルトウェアハウスを更新します。

CREATE OR REPLACE AGENT aml_triage_agent COMMENT = 'Daily AML alert triage agent' FROM SPECIFICATION $$ orchestration: budget: seconds: 120 tokens: 16000 instructions: system: | You are an AML alert triage assistant for a regulated financial institution. Your job is to: (1) Retrieve and summarize the flagged transaction pattern. (2) Pull the customer profile and account activity baseline. (3) Check for prior alerts, SARs, or investigations on this customer. (4) Retrieve relevant policy sections and SAR filing thresholds. (5) Produce a structured investigation brief with a risk score and disposition recommendation. Never fabricate transaction data. If data is missing, say so. response: | Always use this output format:

1. Alert Summary (alert ID, rule, severity, date)
2. Transaction Pattern (amounts, counterparties, channel,

frequency)

1. Customer Profile (risk rating, onboarding, country,

industry)

1. Prior History (past alerts, SARs, dispositions)
2. Policy Reference (applicable thresholds, guidance)
3. Risk Assessment (score 1-10, rationale)
4. Disposition Recommendation (close / escalate / file SAR)
5. Draft Narrative (2-3 paragraphs for case notes or SAR)

sample_questions:

• question: "Review alert ALT-2026-03-02-002"

answer: "I will pull the transaction details, customer profile, check prior history, and produce an investigation brief." tools:

• tool_spec:

type: cortex_analyst_text_to_sql name: TxnAnalyst description: TxnAnalyst

• tool_spec:

type: cortex_search name: PolicySearch tool_resources: TxnAnalyst: semantic_view: FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW PolicySearch: name: FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH $$;

ステップ4：Snowflake 管理 MCP サーバーの作成

Snowflake Cortex Agents は外部 MCP クライアントに自動的に公開されません。Amazon Quick に検出させたいツールをリストした MCP SERVER オブジェクトを作成します。

CREATE OR REPLACE MCP SERVER aml_mcp_server FROM SPECIFICATION $$ tools:

• title: "AML Triage Agent"

name: "aml_triage" type: "CORTEX_AGENT_RUN" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_TRIAGE_AGENT" description: "Runs the AML alert triage agent for daily compliance investigation."

• title: "Transaction Analyst"

name: "txn_analyst" type: "CORTEX_ANALYST_MESSAGE" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_SEMANTIC_VIEW" description: "Governed natural-language queries over transaction monitoring data."

• title: "Policy Search"

name: "policy_search" type: "CORTEX_SEARCH_SERVICE_QUERY" identifier: "FINCRIMES_DB.AML_SCHEMA.AML_POLICY_SEARCH" description: "Search BSA/AML policy, SAR guidelines, and prior investigation notes." $$;

ステップ5：Amazon Quick 向け Snowflake OAuth の設定

Amazon Quick は MCP 統合の OAuth をサポートしています。Snowflake 管理の MCP サーバーは OAuth 2.0 をサポートしていますが、動的クライアント登録はサポートしていないため、Amazon Quick の手動設定オプションを使用します。

Snowflake で、タイプ OAUTH の SECURITY INTEGRATION を作成し、Amazon Quick リダイレクト URL を登録します。

（コスト制御のため SQL 文は切り捨てられています）