サイト内検索

My Photo
July 2025
Sun Mon Tue Wed Thu Fri Sat
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    

Recent Posts

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« 米国 NIST Blog 人工知能がサイバーセキュリティ人材に与える影響 (2025.06.12) | Main | 米国 NIST CSWP 36E (初期公開ドラフト) 5G ネットワークセキュリティ設計原則:5G サイバーセキュリティおよびプライバシー機能の適用 (2025.06.17) »

2025.06.21

監査(評価)はどんどん自動化される? CSAのAIをつかった妥当性確認 (Valid-AI-ted) (2025.06.09)

こんにちは、丸山満彦です。

クラウドセキュリティで長年活動をおこなってきていて、日本にも拠点がある、Cloud Security Allianceの評価プログラムにSTAR認証というのがあります。

セキュリティの評価について

  • レベル1:セルフアセスメント
  • レベル2:第三者認証
  • レベル3:リアルタイムモニタリング

を想定しています。レベル3は概念的には昔からあるものの、まだ実装されていません。例えば、監査人が会社にエージェントを実装し、会社の規定や設定の変更をリアルタイムで検知し、それが規準から逸脱すると、自動的に検知し、重要性に応じて監査意見を変更するような感じなのだろうと思います。

で、今回のは、レベル1のセルフアセスメントをAIを使ってするものです。リアルタイムではなく、AIに読み込ませて判断をださせるというもので、レベル1のセルフアセスメントの一種としていますね。。。

合否だけでなく、リコメンデーションもしてくれるということです。。。

 

Cloud Security Alliance

・2025.06.09 Valid-AI-ted Overview

20250621-55830

 

制度のメリットとして、次の5つをあげていますね。。。

  • 保証の向上。従来の STAR レベル 1 自己評価では、プロバイダの回答の品質にばらつきがあった。Valid-AI-ted は、自己評価が慎重に行われ、組織が堅牢なセキュリティベースラインを達成していることを保証する。

  • 定性的でベストプラクティスに基づく分析Valid-AI-ted は、Cloud Controls Matrix の実証済みの実装ガイダンスに基づく標準化されたスコアリングモデルを適用する。

  • より実用的な洞察。合格か不合格かに関わらず、組織はコントロールごとに詳細なフィードバックを受け取り、改善すべき点を確認することができる。

  • STAR レジストリでの認知度の向上STAR レベル 1 Valid-AI-ted バッジを取得した組織は、チェックボックスのコンプライアンスを超えた取り組みを行っていることを顧客、パートナー、規制当局にアピールすることがでる。

  • 継続的な改善へのアクセスが容易。改訂して再提出できる機能は、成熟した組織にとって理想的であり、STAR レベル 2 のサードパーティ評価ソリューションへのよりアクセスしやすい道筋を提供します。

興味深い取り組みです。

 

丁度経済産業省でもサプライチェーンのセキュリティ評価制度(いわゆる★3、★4)の議論をしていますが、将来的には実装を考えて良い話ですよね。。。

クライテリアと会社の規程類の比較(整備状況の評価)にLLMを利用するのは容易なような気がしますが、運用状況の評価(設定値やログの利用)は難しいのかもしれませんね。。。

FedRAMPでの利用が考えられているOSCALなどの動きもきになりますね...

 

 

まるちゃんの情報セキュリティ気まぐれ日記

OSCAL、監査自動化

・2025.06.10 米国 NIST SP 800-18 Rev.2(初公開ドラフト) システムのセキュリティ、プライバシー、サイバーセキュリティ・サプライチェーン・リスクマネジメント計画の策定 (2025.06.04)

・2025.05.16 米国 NIST IR 8259 Rev.1(初期公開ドラフト)IoT製品製造者のための基礎的サイバーセキュリティ活動の5年振りの改訂関係...IR 8572も...(2025.05.13)

・2025.04.09 米国 一般調達局 FedRAMP 20X (2025.03.24)

・2024.07.22 米国 これからはFedRampも含めて監査は自動化 (automate.fedramp.gov) !キーワードはOSCAL

・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書

・2024.04.22 内部監査人協会 意見募集 トピック別要求事項:サイバーセキュリティ (2024.04.11)

・2024.04.02 米国 FedRAMPの新しいロードマップ(2024-2025)

・2024.03.06 米国 NIST IR 8278 Rev. 1 国家オンライン情報参照(OLIR)プログラム: 概要、利点、利用方法、IR 8278A Rev. 1 国家オンライン情報参照(OLIR)プログラム: OLIR開発者のための提出ガイダンス

・2024.03.05 NIST IR 8477 文書化された標準、規制、フレームワーク、ガイドライン間の関係のマッピング: サイバーセキュリティとプライバシーの概念マッピングの開発 (2024.02.26)

・2023.08.21 米国 NIST 重要なハイテク産業における米国の競争力に関する報告書

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.07.16 JIPDEC ”米国のプライバシー保護に関する動向”

 

2025.06.21 13:05 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in AI/Deep Learning |

« 米国 NIST Blog 人工知能がサイバーセキュリティ人材に与える影響 (2025.06.12) | Main | 米国 NIST CSWP 36E (初期公開ドラフト) 5G ネットワークセキュリティ設計原則:5G サイバーセキュリティおよびプライバシー機能の適用 (2025.06.17) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 NIST Blog 人工知能がサイバーセキュリティ人材に与える影響 (2025.06.12) | Main | 米国 NIST CSWP 36E (初期公開ドラフト) 5G ネットワークセキュリティ設計原則:5G サイバーセキュリティおよびプライバシー機能の適用 (2025.06.17) »