Five Eyes＋ドイツ＋オランダ OTにおけるAIの安全な統合に関する原則 (2025.12.03)

こんにちは、丸山満彦です、

Five Eyes（米国はCISA、NCA、FBI）＋ドイツ＋オランダでOTにおけるAIの安全な統合に関する原則が公表されています。ドイツは自動車、オランダは半導体関連装置企業がありますからね...日本は入っていないけど...

原則...

Principle 1 – Understand AI	原則1 – AIの理解
1.1 Understand the Unique Risks of AI and Potential Impact to OT	1.1 AIの固有リスクとOTへの潜在的影響の理解
1.2 Understand the Secure AI System Development Lifecycle	1.2 セキュアなAIシステム開発ライフサイクルの理解
1.3 Educate Personnel on AI	1.3 従業員へのAI教育
Principle 2 – Consider AI Use in the OT Domain	原則 2 – OT 分野における AI 利用の検討
2.1 Consider the OT Business Case for AI Use	2.1 AI利用のOTビジネスケースの検討
2.2 Manage OT Data Security Risks for AI Systems	2.2 AIシステムにおけるOTデータセキュリティリスクの管理
2.3 Understanding the Role of OT Vendors in AI Integration	2.3 AI統合におけるOTベンダーの役割の理解
2.4 Evaluate Challenges in AI-OT System Integration	2.4 AI-OTシステム統合における課題の評価
Principle 3 – Establish AI Governance and Assurance Frameworks	原則3 – AIガバナンスと保証フレームワークの確立
3.1 Establish Governance Mechanisms for AI in OT	3.1 OTにおけるAIガバナンスメカニズムの確立
3.2 Integrating AI Into Existing Security and Cybersecurity Frameworks	3.2 既存のセキュリティおよびサイバーセキュリティフレームワークへのAIの統合
3.3 Conduct Thorough AI Testing and Evaluation	3.3 徹底的なAIテストと評価の実施
3.4 Navigating Regulatory and Compliance Considerations for AI in OT	3.4 OTにおけるAIの規制・コンプライアンス上の考慮事項
Principle 4 – Embed Oversight and Failsafe Practices Into AI and AI-Enabled OT Systems	原則4 – AIおよびAI対応OTシステムへの監視・フェイルセーフ手法の組み込み
4.1 Establish Monitoring and Oversight Mechanisms for AI in OT	4.1 OTにおけるAIの監視・監督メカニズムの確立
4.2 Embed Safety and Failsafe Mechanisms	4.2 安全性とフェイルセーフ機構の組み込み

歴史的につかわれているパデュー (Purdue) モデルを援用しています。IEC 62443/ISA 99は参考文献にも見られませんね...

OT分野のAIセキュリティに関する問題ではあるものの、IT分野におけるAIを利用したシステムのレジリエンスを考える上でも参考になる部分はあると思うのですよね。NIST SP800-160とAIをかけあわせたようなものも今後は必要となってくるかもしれませんね...

 

● CISA

プレスリリース

・2025.12.03 New Joint Guide Advances Secure Integration of Artificial Intelligence in Operational Technology

New Joint Guide Advances Secure Integration of Artificial Intelligence in Operational Technology	新たな共同ガイドラインが運用技術における人工知能の安全な統合を推進
Guidance empowers organizations to mitigate risks and achieve a balanced integration of AI in OT systems for OT environments that control vital public services	本ガイダンスは、重要な公共サービスを制御する運用技術環境において、組織がリスクを緩和し、運用技術システムへのAIの均衡ある統合を実現することを可能にする
WASHINGTON - The Cybersecurity and Infrastructure Security Agency and the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), in collaboration with U.S. and international government partners, published Principles for the Secure Integration of Artificial Intelligence (AI) in Operational Technology (OT) today. This joint guide provides four key principles that will help critical infrastructure OT owners and operators mitigate unique risks and achieve a balanced integration of AI into OT environments.	ワシントン発 - 米国サイバーセキュリティ・インフラセキュリティ庁（CISA）とオーストラリア信号局（ASD）傘下のオーストラリアサイバーセキュリティセンター（ACSC）は、米国及び国際的な政府機関と連携し、本日「運用技術（OT）における人工知能（AI）の安全な統合に関する原則」を発表した。この共同ガイドラインは、重要インフラのOT所有者・運用者が特有のリスクの緩和を行い、OT環境へのAI統合のバランスを図るための4つの基本原則を提示するものである。
“AI holds tremendous promise for enhancing the performance and resilience of operational technology environments – but that promise must be matched with vigilance,” said CISA Acting Director Madhu Gottumukkala. “OT systems are the backbone of our nation’s critical infrastructure, and integrating AI into these environments demands a thoughtful, risk-informed approach. This guidance equips organizations with actionable principles that AI adoption strengthens—not compromises—the safety, security, and reliability of essential services.”	「AIは運用技術環境の性能とレジリエンスを高める大きな可能性を秘めているが、その可能性には警戒心も伴わねばならない」とCISAのMadhu Gottumukkala代理局長は述べた。「OTシステムはわが国の重要インフラの基盤であり、これらの環境にAIを統合するには、リスクを認識した慎重なアプローチが求められる。本ガイドラインは、AI導入が重要サービスの安全性、セキュリティ、信頼性を損なうのではなく強化するという実践可能な原則を組織に提供するものである」
This joint guide provides key principles that will help critical infrastructure owners and operators safely and effectively integrate AI into OT systems. The four key steps are:	この共同ガイドラインは、重要インフラの所有者・運営者がAIをOTシステムに安全かつ効果的に統合するための基本原則を提供する。4つの主要ステップは以下の通りだ：
1. Understand AI: Educate personnel on AI risks, impacts, and secure development lifecycles.	1. AIの理解：AIのリスク、影響、安全な開発ライフサイクルについて要員を教育する。
2. Assess AI Use in OT: Evaluate business cases, manage OT data security risks, and address immediate and long-term integration challenges.	2. OTにおけるAI利用の評価：ビジネスケースを評価し、OTデータのデータセキュリティリスクを管理し、即時的・長期的な統合課題を解決する。
3. Establish AI Governance: Implement governance frameworks, test AI models continuously, and ensure regulatory compliance.	3. AIガバナンスの確立：ガバナンス枠組みを実施し、AIモデルを継続的にテストし、規制順守を確保する。
4. Embed Safety and Security: Maintain oversight, ensure transparency, and integrate AI into incident response plans.	4. 安全性とセキュリティの組み込み：監視を維持し、透明性を確保し、AIをインシデント対応計画に統合する。
“The integration of AI into critical infrastructure brings both opportunity and risk,” said Nick Andersen, Executive Assistant Director for Cybersecurity. “While AI can enhance the performance of OT systems that power vital public services, it also introduces new avenues for adversarial threats. That’s why CISA, in close coordination with our U.S. and international partners, is committed to providing clear, actionable guidance. We strongly encourage OT owners and operators to apply the principles in this joint guide to ensure AI is implemented safely, securely, and responsibly.”	サイバーセキュリティ担当執行副局長ニック・アンデルセンは次のように述べた。 「重要インフラへのAI統合は機会とリスクの両方をもたらす。AIは公共サービスを支えるOTシステムの性能向上に寄与する一方、新たな敵対的脅威の経路も生み出す。そのためCISAは、米国及び国際パートナーと緊密に連携し、明確で実践可能な指針の提供に取り組んでいる。OTの所有者及び運用者は、本共同ガイドの原則を適用し、AIが安全かつ確実に、責任を持って導入されるよう強く推奨する」
This joint guide focuses on machine learning (ML)- and large language model (LLM)-based AI, and AI agents. However, this guidance may also be applied to systems augmented with traditional statistical modeling and other logic-based automation.	本共同ガイドラインは、機械学習（ML）および大規模言語モデル（LLM）ベースのAI、ならびにAIエージェントに焦点を当てている。ただし、従来の統計モデリングやその他の論理ベースの自動化で強化されたシステムにも適用可能である。
In addition to ASD’s ACSC, this joint guide was developed in collaboration with the	本共同ガイドラインは、ASD傘下のACSCに加え、以下の機関との協力により策定された。
National Security Agency’s Artificial Intelligence Security Center (NSA AISC)	国家安全保障局（NSA）人工知能セキュリティセンター（AISC）
Federal Bureau of Investigation (FBI)	連邦捜査局（FBI）
Canadian Centre for Cyber Security (Cyber Centre)	カナダサイバーセキュリティセンター（Cyber Centre）
German Federal Office for Information Security (BSI)	ドイツ連邦情報セキュリティ庁（BSI）
Netherlands National Cyber Security Centre (NCSC-NL)	オランダ国家サイバーセキュリティセンター（NCSC-NL）
New Zealand National Cyber Security Centre (NCSC-NZ)	ニュージーランド国家サイバーセキュリティセンター（NCSC-NZ）
United Kingdom National Cyber Security Centre (NCSC-UK)	英国国家サイバーセキュリティセンター（NCSC-UK）
For more information on related resources, visit CISA’s Artificial Intelligence and Industrial Control Systems webpages.	関連リソースの詳細については、CISAの「人工知能」と「産業制御システム」ウェブページを参照のこと。

 

・2025.12.03 Principles for the Secure Integration of Artificial Intelligence in Operational Technology

Principles for the Secure Integration of Artificial Intelligence in Operational Technology	運用技術における人工知能の安全な統合に関する原則
Artificial intelligence (AI) has the potential to increase efficiency and productivity, enhance decision-making, cut costs and improve customer experience, but introducing AI in operational technology (OT) environments can introduce risks that require careful management to support the safety, security, and reliability of OT systems.	人工知能（AI）は効率性と生産性の向上、意思決定の強化、コスト削減、顧客体験の改善をもたらす可能性を秘めている。しかし運用技術（OT）環境にAIを導入する際には、OTシステムの安全性、セキュリティ、信頼性を支えるために慎重な管理を必要とするリスクが生じる。
CISA and the Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC), in collaboration with federal and international partners, co-authored this joint cybersecurity guidance for critical infrastructure owners and operators integrating AI into their OT systems. This guidance outlines four key principles owners and operators can follow to realize the benefits of integrating AI into OT systems while reducing risk. It focuses on machine learning, large language model-based AI, and AI agents because of the complex security considerations and challenges they pose, but the guidance also applies to systems augmented with traditional statistical modeling and logic-based automation. The authoring agencies encourage critical infrastructure owners and operators to review and follow this guidance to achieve a more balanced approach to integrating AI into their OT environments and to continuously monitor, validate, and refine their AI models.	CISAとオーストラリア信号局（ASD）傘下のオーストラリアサイバーセキュリティセンター（ACSC）は、連邦および国際的なパートナーと連携し、OTシステムにAIを統合する重要インフラの所有者・運営者向けに、この共同サイバーセキュリティガイダンスを共同作成した。本ガイダンスは、OTシステムへのAI統合によるメリットを実現しつつリスクを低減するために、所有者・運営者が従うべき4つの主要原則を概説する。本ガイダンスは、複雑なセキュリティ上の考慮事項と課題を伴う機械学習、大規模言語モデルベースのAI、AIエージェントに焦点を当てているが、従来の統計モデリングや論理ベースの自動化で強化されたシステムにも適用される。作成機関は、重要インフラの所有者および運営者が本ガイダンスを確認し遵守することで、OT環境へのAI統合においてよりバランスの取れたアプローチを実現し、AIモデルを継続的に監視、妥当性確認、改善することを推奨する。

 

原則...

・[PDF]

・[DOCX][PDF] 仮訳