🐥

AIシステムのセキュリティガバナンス実践ガイド:情報セキュリティ白書2025とフレームワークから学ぶ

に公開
AI
idea

はじめに

2025年9月に公開された「情報セキュリティ白書2025」では、AIシステムの急速な普及に伴うセキュリティリスクの増大が指摘されています。特に生成AIの登場により、サイバー攻撃の手口の巧妙化・洗練化が進み、AIシステム自体への攻撃や悪用、認知領域への攻撃が懸念されています(出典:IPA「情報セキュリティ白書2025」プレスリリース)。

本記事では、AIガバナンス、AI RMF(リスク管理フレームワーク)、AISIガイドライン、そしてCI/CDパイプラインとの統合について、各種公開資料を基に体系的に解説します。
※ この記事の文章はAIが作成しています

1. AIガバナンスの本質とPDCAサイクルによる改善

AIガバナンスとは何か

AIガバナンスは、組織がAIシステムを責任を持って開発・運用・管理するための包括的な仕組みです。単なる規則やルールの集合ではなく、AIシステムがもたらすリスクを適切に管理しながら、イノベーションを促進するための枠組みといえます。

情報セキュリティ白書2025において強調されているAIガバナンスの重要性は、AIシステムの挙動がブラックボックスである点や、生成AIの入出力のバリエーションが多岐にわたる点など、AI固有の新たな問題や複雑さへの対処の必要性から生じています。

PDCAサイクルによる継続的改善

AIガバナンスの改善には、PDCAサイクルの適用が効果的です。情報セキュリティ白書2025では、このサイクルを通じた継続的な改善が推奨されています。

Plan(計画)段階では、AIシステムに関連するリスクの特定と評価を行います。データ品質リスク、モデル精度リスク、説明可能性の不足、悪用リスクなどを体系的に洗い出し、それぞれに対する対策を計画します。AI利用ポリシーの策定、データガバナンスルールの設定、モデル承認プロセスの確立、インシデント対応計画の作成などが含まれます。

Do(実行)段階では、計画した対策を実装します。MLOps(機械学習オペレーション)パイプラインの構築、モデルバージョン管理システムの導入、監査ログの実装、アクセス制御の強化などを実施します。

Check(評価)段階では、実装した対策の有効性を評価します。モデルのパフォーマンス劣化の検出、バイアスの検出、敵対的攻撃への耐性テストなどを定期的に実施し、AIシステムの健全性を確認します。

Act(改善)段階では、評価結果に基づいて改善を実施します。モデルの再学習の自動化、ポリシーの更新、プロセスの最適化などを継続的に行います。

2. AI RMF(リスク管理フレームワーク)の実践

AI RMFとは

AI RMF(AI Risk Management Framework)は、2023年1月に米国国立標準技術研究所(NIST)が発表したAIリスク管理のための包括的フレームワークです。2024年7月には、日本のAIセーフティ・インスティテュート(AISI)により日本語翻訳版が公開されています(出典:AISI「米国NIST AI リスクマネジメントフレームワーク(RMF)の日本語翻訳版」)。

NISTは「AIシステムがもたらすリスクは多くの点で独特である」と指摘しており、教師データによって予期しない結果が出力される可能性、不具合が発生した場合の検知や対応の困難性、社会や人間の行動への影響の大きさなどを挙げています(出典:PwC Japan「NIST AIリスクマネジメントフレームワーク(AI RMF)の解説」)。

4つの核心機能

AI RMFは、AIのリスク管理の要素を「Govern(統治)」、「Map(マッピング)」、「Measure(測定)」、「Manage(管理)」の4つのコアに整理しています(出典:デロイト トーマツ「NIST AI Risk Management Framework – 概説」)。

**GOVERN(統治)**は、組織におけるリスク管理文化の醸成を目的とします。AIに関する法規制の把握と対応状況の文書化、AI倫理審査委員会の設置、AIセキュリティチームの編成、データガバナンスチームの組織化などが含まれます。これらの体制により、組織全体でAIリスクへの意識を高め、適切な管理を可能にします。

**MAP(マッピング)**は、状況の認識とリスクの特定を行います。技術的リスク、社会的影響、組織リスク、規制コンプライアンスリスクなどを体系的に特定し、リスクレジストリを作成します。この段階で、AIシステムの利用目的、利害関係者、潜在的な影響を明確にします。

**MEASURE(測定)**は、特定したリスクの定量的・定性的な評価を実施します。リスクの影響度と発生可能性を評価し、リスクスコアを算出します。PwC Japanの解説によれば、AI RMF Playbookでは72個のサブカテゴリーに対する詳細な要求事項が示されており、それぞれの対応状況を把握することで、不足しているリスク管理項目を明確にできます。

**MANAGE(管理)**は、リスクへの対応戦略を実装します。リスク回避(高リスクなAI用途の禁止)、リスク軽減(セキュリティコントロールの実装、モデル説明性の向上、バイアス軽減技術の適用)、リスク移転(保険の活用、責任分担の明確化)、リスク受容(残存リスクの文書化と継続的モニタリング)といった戦略を適切に選択し実装します。

信頼できるAIの7つの特性

NISTは、信頼できるAIシステムの特性として、「妥当性と信頼性」「安全性」「セキュリティと回復力」「アカウンタビリティと透明性」「説明可能性と解釈可能性」「プライバシーの強化」「公平性」の7つを定義しています(出典:TrustNow「NIST AI Risk Management Framework (AI RMF) 1.0 概説」)。

これらの特性には多くの場合トレードオフの関係が発生するため、それぞれに個別に対処しても必ずしも信頼できるAIにはならないことが重要な点です。各特性が相互に影響しあうため、バランスを重視した総合的なアプローチが必要となります。

3. AISI AIセーフティ評価ガイドの活用

AISIガイドラインの概要

2024年9月、日本のAIセーフティ・インスティテュート(AISI)は「AIセーフティに関する評価観点ガイド」を公開しました。2025年3月には、マルチモーダル基盤モデルを評価対象とする場合の評価観点を追加した第1.10版が公開されています(出典:AISI「AIセーフティに関する評価観点ガイドの公開」)。

AISIは2024年2月に独立行政法人情報処理推進機構(IPA)に設置された、日本におけるAIの安全性の中心機関です。AIセーフティを「人間中心の考え方をもとに、AI活用に伴う社会的リスクを低減させるための安全性・公平性、個人情報の不適正な利用等を防止するためのプライバシー保護、AIシステムの脆弱性等や外部からの攻撃等のリスクに対応するためのセキュリティ確保、システムの検証可能性を確保し適切な情報提供を行うための透明性が保たれた状態」と定義しています(出典:IPA「AIセーフティに関する評価観点ガイドを公開」)。

10の評価観点

AISIガイドラインでは、AI事業者ガイドライン「C.共通の指針」の「人間中心」「安全性」「公平性」「プライバシー保護」「セキュリティ確保」「透明性」の6つの重要要素を基に、以下の10項目の評価観点を導出しています(出典:クラウド Watch「AISI、AIシステムの開発者・提供者向けに『AIセーフティに関する評価観点ガイド』を公開」):

  1. 有害情報の出力制御 - 違法行為や自傷行為を助長する情報の生成防止
  2. 偽誤情報の出力・誘導の防止 - 事実と異なる情報や誤解を招く情報の生成防止
  3. 公平性と包摂性 - 特定の属性に対する差別やバイアスの防止
  4. ハイリスク利用・目的外利用への対処 - 想定外の用途での使用によるリスクの管理
  5. プライバシー保護 - 個人情報の不適切な取り扱いの防止
  6. セキュリティ確保 - 外部攻撃やデータ漏洩からの保護
  7. 説明可能性 - AIの判断根拠の明確化
  8. ロバスト性 - 様々な条件下での安定した動作の確保
  9. データ品質 - 学習データの品質管理と偏りの防止
  10. 検証可能性 - AIシステムの動作の監査可能性の確保

評価の実施方法

評価の実施者は主にAI開発およびAI提供における開発・提供管理者であり、LLMシステムの開発・提供・利用フェーズにおいて合理的な範囲、適切なタイミングで繰り返し実施することが推奨されています。

評価手法としては、技術的評価とマネジメント的評価の2つのアプローチがあります。技術的評価では、AIシステムで用いられるデータや入出力、システム構成、各種設定などの技術的観点についての評価を行い、ツールを用いた対策の検証やレッドチーミングによる検証を実施します。マネジメント的評価では、AIセーフティに関する事業者全体での取組方針や、事業者内で整備された規定等に関する評価を行います(出典:KPMG「AISIのAIセーフティに関する評価観点ガイドとレッドチーミング手法ガイドの解説」)。

4. CI/CDパイプラインへのAIセキュリティ統合

MLOpsとCI/CDの統合

情報セキュリティ白書2025で提示されているCI/CDパイプライン図では、ビルドフェーズでのコンテナイメージビルド、脆弱性検査(Trivy)、署名検証、テストフェーズでのtfplan(Terraform Plan)、メタデータ検証、成果物アップロードといった一般的なDevOpsのセキュリティ要素が示されています。

AIシステムにおいては、これらに加えてMLOps(Machine Learning Operations)特有のセキュリティ要素を統合する必要があります。Googleの「MLOps: ML における継続的デリバリーと自動化のパイプライン」によれば、MLOpsには継続的インテグレーション(CI)、継続的デリバリー(CD)に加えて、継続的トレーニング(CT)が必要となります(出典:Google Cloud「MLOps: ML における継続的デリバリーと自動化のパイプライン」)。

AIセキュリティを考慮したパイプラインの構築

ビルドフェーズにおけるAI特有のセキュリティ要素として、データ品質チェック、プライバシー規制準拠確認、データポイズニング検出が必要です。モデル学習においては、学習の再現性確保、ハイパーパラメータの記録、学習データのバージョニングを実装します。

テストフェーズでは、従来のセキュリティテストに加えて、敵対的攻撃テスト、モデル抽出攻撃テスト、推論攻撃テストといったAI特有の攻撃への耐性を評価します。また、バイアステストと公平性メトリクス評価を実施し、モデルの公平性を確保します。

デリバリーフェーズでは、モデルレジストリの構築が重要となります。モデルの署名生成、暗号化保存、アクセス制御の設定、監査ログの記録を実装します。デプロイメントにおいては、A/Bテスト設定、カナリアデプロイメント、ロールバック計画を準備します。

セキュリティ強化のための重要施策

デジタル庁の「CI/CDパイプラインにおけるセキュリティの留意点に関する技術レポート」では、CI/CDパイプラインのセキュリティ対策として、各段階での適切な対策の実施、自動化の推進、段階的な導入が推奨されています(出典:デジタル庁「DS-202 CI/CDパイプラインにおけるセキュリティの留意点」)。

特にAIシステムにおいては、以下の点が重要となります:

データパイプラインのセキュリティでは、データソース認証、転送時暗号化(TLS 1.3)、データ検証ルール適用を実装します。処理段階では差分プライバシーの適用、準同型暗号の活用、セキュアマルチパーティ計算を検討します。保存段階では、保存時暗号化(AES-256)、アクセスログの記録、データ保持ポリシーの実装が必要です。

モニタリングとアラートでは、精度低下の検出、レイテンシの監視、異常スコアの算出を継続的に実施します。異常検知時には自動的にアラートを発報し、インシデント対応プロセスを起動します。また、データドリフトを検出した場合は、モデルの再学習をスケジューリングします。

サプライチェーンセキュリティも重要な要素です。AI開発で使用する依存関係だけでなく、CI/CDパイプライン上で使用するツールも攻撃に使用される可能性があります。使用ツールの把握とIntegrityの管理が必要ですが、管理手段がないツールも存在するため、慎重な選定と運用が求められます(出典:Speaker Deck「開発環境のセキュリティおよびCI/CDパイプラインのセキュア化」)。

5. 国際連携と今後の展望

日米の相互運用性向上

AISIは、日米のAIガバナンスの相互運用性向上に向けて、AI事業者ガイドラインとNIST AI RMFのクロスウォークを実施しています。2024年7月には「クロスウォーク1成果文書」が公開され、用語の対応関係が明らかにされました。今後は第2部の4つの機能についてもクロスウォークが実施される予定です(出典:Newton Consulting「NISTのAIリスク管理フレームワーク『AI RMF 1.0』の日本語邦訳版を公開」)。

生成AI対応の強化

2024年4月、NISTは生成AIのリスク管理に特化したガイドライン「Generative AI RMF Profile」を公開しました。これは、大規模言語モデルの使用、クラウドベースのサービス、データ取得など、分野横断的に共通する活動やビジネスプロセスに関連するリスクの管理に使用できます(出典:デロイト トーマツ「NIST AI Risk Management Framework – 概説」)。

まとめ

AIシステムのセキュリティは、技術的な対策だけでなく、組織全体のガバナンス、継続的な改善プロセス、そして国際的なフレームワークとの整合性を含む包括的なアプローチが必要です。

重要なポイントは以下の通りです:

  1. AIガバナンスは継続的な改善プロセス - PDCAサイクルを通じて、AIシステムのリスク管理を継続的に改善する必要があります。
  2. AI RMFは実装の指針 - GOVERN、MAP、MEASURE、MANAGEの4つの機能を組織の状況に合わせてカスタマイズし、段階的に実装します。
  3. AISIガイドラインは評価の基準 - 10の評価観点をチェックリストとして活用し、AIセーフティを確保します。
  4. CI/CDパイプラインは自動化の要 - MLOps特有の要素を統合し、継続的トレーニング(CT)を含む包括的なパイプラインを構築します。
  5. 国際連携の重要性 - 日米のフレームワークの相互運用性を理解し、グローバル標準に準拠したAIガバナンスを実現します。

AIのセキュリティリスクは日々進化しています。本記事で紹介したフレームワークと実装方法を参考に、組織に適したAIセキュリティ体制を構築し、安全で信頼できるAIシステムの実現を目指すことが重要です。

参考資料・出典

公的機関の資料

  • IPA「情報セキュリティ白書2025」(2025年9月)
  • AISI「AIセーフティに関する評価観点ガイド(第1.10版)」(2025年3月)
  • AISI「米国NIST AI リスクマネジメントフレームワーク(RMF)の日本語翻訳版」(2024年7月)
  • デジタル庁「DS-202 CI/CDパイプラインにおけるセキュリティの留意点に関する技術レポート」(2024年3月)
  • NIST「AI Risk Management Framework (AI RMF 1.0)」(2023年1月)
  • NIST「Generative AI RMF Profile」(2024年4月)

企業・組織による解説資料

  • PwC Japan「生成AIを巡る米欧中の規制動向最前線 NIST『AIリスクマネジメントフレームワーク(AI RMF)』の解説」
  • デロイト トーマツ「NIST AI Risk Management Framework(AIリスクマネジメントフレームワーク)– 概説」
  • KPMG「AISIのAIセーフティに関する評価観点ガイドとレッドチーミング手法ガイドの解説」(2024年12月)
  • Google Cloud「MLOps: ML における継続的デリバリーと自動化のパイプライン」
  • TrustNow「NIST AI Risk Management Framework (AI RMF) 1.0 概説」(2024年9月)

その他の参考資料

  • Newton Consulting「NISTのAIリスク管理フレームワーク『AI RMF 1.0』の日本語邦訳版を公開」
  • クラウド Watch「AISI、AIシステムの開発者・提供者向けに『AIセーフティに関する評価観点ガイド』を公開」(2024年9月)
  • Speaker Deck「開発環境のセキュリティおよびCI/CDパイプラインのセキュア化」(セキュリティ・キャンプ全国大会2022)

Discussion