CSA AIリスクマネジメント： 規制の枠を超えて考える

こんにちは、丸山満彦です。

CSAがAIリスクマネジメントについての文書を公表しています。。。

この手の文書はたくさん出ていますが、特徴的な点として、附属書として、監査をする際のポイントを記載したものがかなりの分量であることですかね...

ISACAもArtificial Intelligence Audit Toolkitを公表していますが、こちらは有料となっていますね...

 

さて、このAIリスクマネジメントの文書ですが、項目によって詳細な説明がある部分と薄い部分とマダラ模様のような気がします...まぁ、必要そうなところを先に分厚くしたのかもしれません...

 

● Cloud Security Alliance

・2024.11.13 AI Risk Management: Thinking Beyond Regulatory Boundaries

AI Risk Management: Thinking Beyond Regulatory Boundaries	AIリスクマネジメント： 規制の枠を超えて考える
While artificial intelligence (AI) offers tremendous benefits, it also introduces significant risks and challenges that remain unaddressed. A comprehensive AI risk management framework is the only way we can achieve true trust in AI. This approach will need to proactively consider compliance with improvements beyond the regulatory necessities.	人工知能（AI）は多大な恩恵をもたらす一方で、未解決の重大なリスクや課題ももたらす。包括的なAIリスクマネジメントの枠組みは、AIに対する真の信頼を実現する唯一の方法である。このアプローチでは、規制上の必要性を超えた改善によるコンプライアンスを積極的に検討する必要がある。
In response to this need, this publication presents a holistic methodology for impartially assessing AI systems beyond mere compliance. It addresses the critical aspects of AI technology, including data privacy, security, and trust. These audit considerations apply to a wide range of industries and build upon existing AI audit best practices. This innovative approach spans the entire AI lifecycle, from development to decommissioning.	このニーズに応えるため、本書では単なるコンプライアンスを超えてAIシステムを公平にアセスメントするための総合的な方法論を提示する。データ・プライバシー、セキュリティ、信頼など、AI技術の重要な側面を取り上げている。これらの監査上の考慮事項は、幅広い業界に適用され、既存のAI監査のベストプラクティスを基礎としている。この革新的なアプローチは、開発から廃止まで、AIのライフサイクル全体に及ぶ。
The first part establishes a comprehensive understanding of the components used to assess AI end-to-end. It shares considerations for a broad range of technologies, enabling critical thinking and supporting risk assessment activities.	パート1では、AIをエンド・ツー・エンドで評価するために使用されるコンポーネントの包括的な理解を確立する。広範なテクノロジーに関する検討事項を共有し、批判的思考を可能にし、リスクアセスメント活動を支援する。
The second part consists of appendices with potential questions corresponding to each technology covered in the first section. The questions are not exhaustive, but serve as guidelines to identify potential risks. The aim is to stimulate unconventional thinking and challenge existing assumptions, thereby enhancing AI risk assessment practices and increasing overall trustworthiness in intelligent systems.	パート2は、パート2で取り上げた各技術に対応する潜在的な質問事項を記した附属書で構成されている。質問は網羅的なものではなく、潜在的なリスクを特定するためのガイドラインとなるものである。その目的は、型にはまらない思考を刺激し、既存の前提に挑戦することで、AIのリスクアセスメントの実践を強化し、インテリジェントシステム全体の信頼性を高めることにある。
Key Takeaways:	主な要点
・Fundamental concepts, principles, and vocabulary used to assess AI end-to-end	・AIをエンド・ツー・エンドで評価するために使用される基本的な概念、原則、語彙。
・Key metrics used to evaluate an intelligent systems	・インテリジェントシステムの評価に使用される主な指標
・The value of AI trustworthiness beyond regulatory compliance	・規制遵守を超えたAIの信頼性の価値
・How to assess risk during all stages of the AI lifecycle, including development, deployment, monitoring, and decommissioning	・開発、展開、モニタリング、デコミッショニングを含むAIライフサイクルの全ステージにおけるリスクアセスメントの方法
・Key factors that contribute to effective AI governance	・効果的なAIガバナンスに寄与する主な要因
・How to comply with global AI regulations such as the General Data Protection Regulation (GDPR) and EU AI Act	・一般データ保護規則（GDPR）やEU AI法などのグローバルなAI規制を遵守する方法
・Specific aspects to consider when evaluating an AI system, including AI infrastructure, sensors, data storage, communication interfaces, control systems, privacy methods, and much more	・AIインフラ、センサー、データ・ストレージ、コミュニケーション・インターフェイス、制御システム、プライバシーの方法など、AIシステムを評価する際に考慮すべき具体的な側面。
・Assessment questions pertaining to the above concepts	・上記概念に関連するアセスメント問題

 

簡単な登録でダウンロードできます...

 

・[DOCX][PDF] 仮訳

 

目次...

AI Risk Management: Thinking Beyond Regulatory Boundaries	AIリスクマネジメント：規制の枠を超えて考える
Introduction	序文
Executive Summary	エグゼクティブサマリー
Parts 1 and 2: How They Play Together	パート1と2：どのように連携して利用するか
Definitions	定義
AI Resilience: Robustness, Resilience, and Plasticity	AIレジリエンス：ロバスト性、レジリエンス、可塑性
Intelligent Systems: AI Systems, AI Agents, and Robots	インテリジェント・システム：AIシステム、AIエージェント、ロボット
Accountability, Responsibility, and Liability	説明責任、責任、賠償責任
Assess the Auditor	監査人のアセスメント
AI Governance	AIガバナンス
Applicable Laws, Regulations, and Standards	適用法、規制、標準
Use Cases as the Starting Point	出発点としてのユースケース
Infrastructure for Intelligent Systems	インテリジェント・システム・インフラ
Data Processing Unit	データ処理ユニット
The Role of Sensors	センサーの役割
The Role of Data	データの役割
The Role of Supply Chains	サプライチェーンの役割
Data and Privacy	データ・プライバシー
Data and Copyright	データと著作権
Data Sources	データソース
Organic Versus Synthetic Data	有機データと合成データ
Data Quality	データの質
Data Storage	データ保管
Networking, Connectivity, and Communication Interfaces	ネットワーキング、コネクティビティ、コミュニケーション・インターフェイス
Fog and Cloud Computing	フォグ・コンピューティングとクラウド・コンピューティング
Software Components	ソフトウェア・コンポーネント
Algorithms, Training Methods, and Models	アルゴリズム、トレーニング方法、モデル
Algorithms and Models	アルゴリズムとモデル
Frontiers	フロンティア
Fine-Tuning and Validation of the Model	モデルの微調整と妥当性確認
Overfitting and Generalization	オーバーフィットと汎化
Fine-Tuning	微調整
Validation	妥当性確認
Model Robustness and Stability	モデルの頑健性と安定性
Ongoing Maintenance	継続保守
Frontiers in Fine-Tuning and Model Validation	微調整とモデル妥当性確認の最前線
Actuators	アクチュエーター
Power Supply	電源
User Interfaces	ユーザ・インターフェース
Control Systems	制御システム
Safety Systems	安全システム
Security Systems	セキュリティ・システム
Advanced Privacy Methods	高度なプライバシー手法
Development and Debugging	開発とデバッグ
End-User Training and Documentation	エンドユーザ・トレーニングとドキュメンテーション
Documentation for the End-User	エンドユーザ向け文書
(Mandatory) Training and Training Record Keeping for the End-User	(義務）エンドユーザに対するトレーニングとトレーニング記録の保管
Deployment and Monitoring	展開とモニタリング
Decommissioning	廃止措置
Conclusion	結論
Appendices	附属書
Appendix 1: Audit Questions “Audit the Auditor”	附属書1：監査の質問 "監査人を監査する"
Appendix 2: Audit Questions “AI Governance”	附属書 2：監査の質問 "AI ガバナンス"
Appendix 3: Audit Questions “Accountability, Responsibility, and Liability”	附属書3：監査の質問 "説明責任、責任、賠償責任"
Appendix 4: Audit Questions “Laws, Regulations, and Standards”	附属書4：監査の質問 "法律、規制、標準"
Appendix 5: Audit Questions “AI Business Case”	附属書5：監査の質問 "AIビジネスケース"
Appendix 6: Audit Questions “AI Infrastructure”	附属書6：監査の質問 "AI インフラ"
Appendix 7: Audit Questions “Sensors”	附属書7：監査の質問 "センサー"
Appendix 8: Audit Questions “Data”	附属書8：監査の質問 "データ"
Appendix 9: Audit Questions “Data Processing Unit”	附属書9：監査の質問 "データ処理ユニット"
Appendix 10: Audit Questions “Data Storage”	附属書 10: 監査の質問 "データ保管"
Appendix 11: Audit Questions “Networking, Connectivity, and Communication Interfaces”	附属書 11：監査の質問 "ネットワーキング、コネクティビティ、コミュニケーション・インターフェイス"
Appendix 12: Audit Questions “Fog and Cloud Computing”	附属書 12：監査の質問 "フォグ・コンピューティングとクラウド・コンピューティング"
Appendix 13: Audit Questions “Software Components”	附属書 13：監査の質問 "ソフトウェア・コンポーネント"
Appendix 14: Audit Questions “Algorithms, Training, and Models”	附属書 14：監査の質問 "アルゴリズム、トレーニング、モデル"
Appendix 15: Audit Questions “Fine-Tuning and Validation”	附属書 15：監査の質問 "微調整と妥当性確認"
Appendix 16: Audit Questions “Actuators”	附属書 16：監査の質問 "アクチュエーター"
Appendix 17: Audit Questions “Power Supplies”	附属書 17：監査の質問 "電源"
Appendix 18: Audit Questions “User Interfaces”	附属書 18：監査の質問 "ユーザ・インターフェース"
Appendix 19: Audit Questions “Control Interfaces”	附属書 19：監査の質問 "コントロール・インターフェイス"
Appendix 20: Audit Questions “Safety Systems”	附属書 20：監査の質問 "安全システム"
Appendix 21: Audit Questions “Security Systems”	附属書 21：監査の質問 "セキュリティ・システム"
Appendix 22: Audit Questions “Development and Debugging”	附属書 22：監査の質問 "開発とデバッグ"
Appendix 23: Audit Questions “End-User Training and Documentation”	附属書 23：監査の質問 "エンドユーザのトレーニングと文書化"
Appendix 24: Audit Questions for “Deployment and Monitoring”	附属書 24：監査の質問 "展開とモニタリング "
Appendix 25: Audit Questions “Decommissioning”	附属書25：監査の質問 "廃止"
Abbreviations and Glossary	略語と用語集
Bibliography	参考文献

 

パワーポイントもあります...

概要レベルを把握するにはこちらが良いかもです...

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2024.10.05 CSA-JC AI ワーキンググループ AIレジリエンス：AIの安全性に関する革命的なベンチマークモデル (2024.09.20) +過去分も...