米国 CSET AIガイダンスの調和 - 自主標準とベストプラクティスを統一的枠組みに集約する (2025.09)
こんにちは、丸山満彦です。
昨年やり残していたことをしばらく...サイバー空間と新興技術に関する安全保障政策を主導する組織である米国のワシントンDCにあるCenter for Security and Emerging Technology:CSET(安全保障・新興技術センター)[wikipedia]から公表されている報告書をいくつか紹介します...
サイバーセキュリティもそうなのですが、AIのコントロールについて、国際標準を決めている一方で、行政機関を含む様々な団体が、それぞれの目標を意識して、さまざまなAIのガイド等を公表しているので、それぞれの組織がどのようなガイドを、どのように利用するべきかを検討する必要がある。ところが小さな組織等では、その分析の時間もとれずに何も進まないということもおきているように思える。。。
現状には次のような問題がある、ガイド等の乱立による情報過多、情報源の分散による理解不足。そして、ガイドについても、理解困難な用語、実装詳細の欠如があり、実装にたどり着けない。。。そして、よくある万能型ガイドを目指した結果、かえって誰も使えないガイドになってしまう。。。
ということで、世界のガイド等を収集(52文書)し、推奨事項(約7,700)を抽出し、用語等の標準化を行い、推奨事項を分析し、クラスタリングをし、妥当性の確認をした統一的な推奨事項(調和編)を作成したようです。
5つの包括的カテゴリ、34のトピック領域、258の推奨事項...
そしてその後、推奨事項を実装するガイド(運用編)を作成し、AIユースケースにガイドを適用した事例の紹介文書(適応編)をつくっていくようです...
大変興味深く意義深い取り組みだと思います。問題はこれがどれだけ認知され、利用され、改善されていくかということなのでしょうね...
ちなみに5つの包括的カテゴリ、34のトピック領域とそこに含まれる推奨事項の数はこんな感じ...
| I | ガバナンス | 57 | |
| (1) | 戦略とリーダーシップ(SL) | 5 | |
| (2) | 管理 (MG) | 8 | |
| (3) | リスクマネジメント(RM) | 10 | |
| (4) | IT管理(IT) | 10 | |
| (5) | サプライチェーン(SC) | 7 | |
| (6) | 労働力と訓練(WF) | 5 | |
| (7) | インベントリー(IV) | 5 | |
| (8) | 監査とコンプライアンス(AU) | 7 | |
| II | 安全 | 64 | |
| (1) | 責任ある事業活動(RC) | 6 | |
| (2) | ステークホルダー (ST) | 6 | |
| (3) | 社会的影響(SI) | 7 | |
| (4) | 影響力と信頼 (IM) | 8 | |
| (5) | 公平性と合成コンテンツ (FS) | 5 | |
| (6) | テストと評価(TE) | 8 | |
| (7) | パフォーマンス監視(PM) | 5 | |
| (8) | トレーサビリティ(TR) | 6 | |
| (9) | 透明性と監視(TO) | 7 | |
| (10) | モデルセーフガード(SG) | 6 | |
| III | セキュリティ | 84 | |
| (1) | セキュリティ管理(SM) | 8 | |
| (2) | 設計・開発(DD) | 10 | |
| (3) | 脆弱性 (VN) | 7 | |
| (4) | IDと認証(IA) | 9 | |
| (5) | アクセス管理(AC) | 9 | |
| (6) | ネットワークセキュリティ(NS) | 8 | |
| (7) | 情報セキュリティ(IS) | 9 | |
| (8) | エンドポイントセキュリティ(ES) | 8 | |
| (9) | 人事・メディアセキュリティ(MS) | 10 | |
| (10) | 物理的セキュリティ(PS) | 6 | |
| IV | プライバシー | 20 | |
| (1) | プライバシープログラム(PP) | 10 | |
| (2) | 監査可能性とコンプライアンス | 10 | |
| V | 検知と対応 | 33 | |
| (1) | 監査ログ記録(LG) | 7 | |
| (2) | 監視(MO) | 8 | |
| (3) | インシデント対応(IR) | 9 | |
| (4) | レジリエンスと復旧(RR) | 9 |
● CSET
・2025.09 Harmonizing AI Guidance: Distilling Voluntary Standards and Best Practices into a Unified Framework
| Harmonizing AI Guidance: Distilling Voluntary Standards and Best Practices into a Unified Framework | AIガイダンスの調和:自主標準とベストプラクティスを統一枠組みに集約する |
| Organizations looking to adopt artificial intelligence (AI) systems face the challenge of deciphering a myriad of voluntary standards and best practices—requiring time, resources, and expertise that many cannot afford. To address this problem, this report distills over 7,000 recommended practices from 52 reports into a single harmonized framework. Integrating new AI guidance with existing safety and security practices, this work provides a road map for organizations navigating the complex landscape of AI guidance. | 人工知能(AI)システムの導入を検討する組織は、無数の自主標準とベストプラクティスを解読するという課題に直面している。これには多くの組織が負担できない時間、リソース、専門知識が必要だ。この問題を解決するため、本報告書は52の報告書から7,000件以上の推奨実践を抽出し、単一の調和された枠組みに集約した。新たなAIガイダンスを既存の安全・セキュリティ慣行と統合することで、複雑なAIガイダンス環境をナビゲートする組織のためのロードマップを提供する。 |
・[PDF]
目次...
| Executive Summary | エグゼクティブサマリー |
| Introduction | 序論 |
| Background | 背景 |
| A Divided and Shifting Landscape | 分断され、変化する状況 |
| Challenges in Operationalizing AI Guidance | AIガイダンスの実践における課題 |
| Methods | 方法論 |
| Collating Existing Guidance | 既存ガイダンスの収集 |
| Harmonizing Recommendations | 推奨事項の調和 |
| Limitations | 制限事項 |
| Harmonization Results | 調和化結果 |
| Clustering | クラスタリング |
| Framework Validation | 枠組み妥当性確認 |
| CSET’s Harmonized AI Framework | CSETの調和されたAI枠組み |
| Governance | ガバナンス |
| Strategy & Leadership (SL) | 戦略とリーダーシップ(SL) |
| Management (MG) | 管理 (MG) |
| Risk Management (RM) | リスクマネジメント(RM) |
| IT Management (IT) | IT管理(IT) |
| Supply Chain (SC) | サプライチェーン(SC) |
| Workforce & Training (WF) | 労働力と訓練(WF) |
| Inventory (IV) | インベントリー(IV) |
| Audit & Compliance (AU) | 監査とコンプライアンス(AU) |
| Safety | 安全性 |
| Responsible Business Conduct (RC) | 責任ある事業活動(RC) |
| Stakeholders (ST) | ステークホルダー (ST) |
| Societal Impact (SI) | 社会的影響(SI) |
| Impact & Trust (IM) | 影響力と信頼 (IM) |
| Fairness & Synthetic Content (FS) | 公平性と合成コンテンツ (FS) |
| Test & Evaluation (TE) | テストと評価(TE) |
| Performance Monitoring (PM) | パフォーマンス監視(PM) |
| Traceability (TR) | トレーサビリティ(TR) |
| Transparency & Oversight (TO) | 透明性と監視(TO) |
| Model Safeguards (SG) | モデルセーフガード(SG) |
| Security | セキュリティ |
| Security Management (SM) | セキュリティ管理(SM) |
| Design & Development (DD) | 設計・開発(DD) |
| Vulnerabilities (VN) | 脆弱性 (VN) |
| Identity & Authentication (IA) | IDと認証(IA) |
| Access Control (AC) | アクセス管理(AC) |
| Network Security (NS) | ネットワークセキュリティ(NS) |
| Information Security (IS) | 情報セキュリティ(IS) |
| Endpoint Security (ES) | エンドポイントセキュリティ(ES) |
| Personnel & Media Security (MS) | 人事・メディアセキュリティ(MS) |
| Physical Security (PS) | 物理的セキュリティ(PS) |
| Privacy | プライバシー |
| Privacy Program (PP) | プライバシープログラム(PP) |
| Handling PII (PI) | 個人識別情報(PII)の取り扱い |
| Detection & Response | 検知と対応 |
| Audit Logging (LG) | 監査ログ記録(LG) |
| Monitoring (MO) | 監視(MO) |
| Incident Response (IR) | インシデント対応(IR) |
| Resilience & Recovery (RR) | レジリエンスと復旧(RR) |
| Insights | インサイト |
| The Focus of Existing AI Guidance Reports | 既存のAIガイダンス報告書の焦点 |
| Where There Are Gaps in AI Guidance | AIガイダンスの不足箇所 |
| Conclusion | 結論 |
| Authors | 著者 |
| Acknowledgements | 謝辞 |
| Appendix | 附属書 |
| List of Guidance Documents Examined | 検討したガイダンス文書の一覧 |
| Example of Standardization | 標準の例 |
| Summary of Clustering and Harmonization Results | クラスタリングと調和の結果の概要 |
| Endnotes | 脚注 |
258のすべての推奨事項の仮訳...
↓
| I | ガバナンス | 技術とその関連リスクを管理するための包括的な組織戦略の定義と実施 |
| 戦略とリーダーシップ(SL) | ||
| 1 | 組織戦略 | 技術管理のための組織全体の戦略を定義する。サイバーセキュリティ、安全性、プライバシー、リスクマネジメントに対応する方針を策定する。方針を組織全体に周知し、徹底させる。 |
| 2 | リーダーシップ | 組織の技術監督のために、CIO、CTO、CISOなどの執行役職を指定する。取締役会レベルのリーダーシップによる方向性が、効果的な組織的実践に反映されるようにする。リーダーシップに対して業績責任を負わせる。 |
| 3 | 監督 | 各事業部門のガバナンスおよびリスクマネジメント活動について、定期的な経営レビューを実施する。組織の技術およびサイバーセキュリティリスク、ならびにリスク許容度が変化するにつれて、これらの方針を改訂する。 |
| 4 | 統合リスクマネジメント | 様々なリスクマネジメント活動(AI、サイバーセキュリティ、プライバシー、サプライチェーンなど)をエンタープライズリスクマネジメントプログラムに統合する。これらの活動を相互に、また外部パートナーの活動と調整し、整合させる。 |
| 5 | 文化 | リーダーシップが安全、セキュリティ、プライバシー、説明責任への取り組みを示すことを保証する。リスクについて率直に伝え、あらゆるレベルの個人が問題や懸念を報告できるようにする。 |
| 管理 (MG) | ||
| 1 | 背景と要件 | 組織が顧客や利害関係者に対して負う安全、セキュリティ、プライバシーに関する義務を識別する。これには法的、法定、規制、契約上の要件が全て含まれる。これらの要件を用いて目標を定義し、範囲管理活動を設定する。 |
| 2 | 戦略と目標 | 組織の要求を満たすための戦略と目標を策定する。経営陣がこれらの目標にコミットし、優先事項を従業員に伝達することを確保する。 |
| 3 | マネジメントシステム | 組織の目的を達成するための仕組みと活動を実行する管理システムを確立する。効果的な管理を可能にするために十分な資源を提供する。 |
| 4 | 方針と手順 | 安全、セキュリティ、プライバシー、リスクマネジメント活動全般を網羅する方針と手順を確立し、文書化し、承認し、周知し、適用し、評価し、維持する。 |
| 5 | 文書化 | 方針と手順を文書化する。方針に関連する活動、決定、結果の記録を保持する。文書化された情報を監査のために利用可能にする。 |
| 6 | データ管理と保存 | 文書化された情報と監査データを管理し防御する。データ保存方針を確立し、保存期間に従ってデータを破棄する。 |
| 7 | 管理手法 | 変更管理、構成管理、例外管理の実践を確立する。 |
| 8 | 見直しと改善 | 方針、手順、およびマネジメントシステムの有効性を定期的に評価する。定期的なマネジメントレビューを実施する。マネジメントシステムを継続的に改善し、更新する。 |
| リスクマネジメント(RM) | ||
| 1 | 文脈の確立 | 組織が活動する内部環境と外部環境に基づき、リスクマネジメントプロセスの文脈を確立する。このプロセスを支援するため、関係者や専門家からの情報を収集する。 |
| 2 | 戦略と許容度 | リスクマネジメントの戦略を確立する。組織の目標とリスク許容度を定義する。 |
| 3 | プロセス、役割、文化 | リスクマネジメントを組織の意思決定と文化に組み込む。リスクマネジメントにおける役割と責任を従業員に伝える。 |
| 4 | リスクの特定 | 組織に対する脅威、脆弱性、リスクを識別する。 |
| 5 | リスクアセスメントと分析 | リスクの発生可能性と影響度を、定量的または定性的に評価する。不確実性を考慮に入れる。 |
| 6 | リスクの優先順位付け | 影響を受ける資産の重要性と組織の使命への影響度に基づいてリスクを優先順位付けする。 |
| 7 | リスク対応 | リスク対応計画を策定し、実施する。適切な管理措置を適用してリスクを緩和する。予期せぬリスクが発生した際には、それに対応する。 |
| 8 | リスク追跡 | 緩和されたリスクと未緩和(残存)リスクを追跡する。リスク対策の効果を監視する。 |
| 9 | 継続的改善 | リスクマネジメントプロセスを定期的にテストし、見直し、改善する。予期せぬリスクが発生した際には、そこから得た教訓を取り入れる。 |
| 10 | 透明性とコミュニケーション | リスクに関する情報、組織がそれらを緩和するための行動、およびそれらの行動の有効性について、内部および外部の利害関係者に伝える。 |
| IT管理(IT) | ||
| 1 | 使命、戦略、および整合性 | 組織のミッションを明確に示し、その目標を達成するための戦略を策定する。ITイニシアチブとシステムを組織目標に整合させる。 |
| 2 | コンテキストと依存関係 | 組織の内部および外部の状況を識別する。特に技術の進歩に注意を払う。組織の依存関係と、ステークホルダーが組織のサービスに依存している点を識別する。 |
| 3 | ITとリスクマネジメント | 組織内でITインフラの所有権を確立する。IT戦略の実施、ITポートフォリオの管理、ITリスクの緩和、ITシステムのライフサイクルの監督に関する責任を割り当てる。 |
| 4 | アーキテクチャ | 共通のITアーキテクチャを確立し、エンタープライズアーキテクチャサービスを管理し、新規システムが既存アーキテクチャにどのように展開・統合されるかを決定する。 |
| 5 | リソース配分 | ITプロジェクトやプログラム全体で、予算やリソース(例:資金、人材、技術)を配分する。組織の使命を支え、期待される正味便益を最大化する投資を優先する。リソースの制約を考慮に入れる。 |
| 6 | プロジェクトおよびプログラム管理 | ITプロジェクトとプログラムを管理するための標準プロセスを維持する。ライフサイクルの段階を定義し、各段階での作業が適切にレビューされ承認されることを保証する。 |
| 7 | 設計と開発 | 組織の価値観に沿って、責任を持ってシステムを設計し開発する。システムの目的と要件を明確に定義する。それらの要件を満たすようにシステムを開発する。 |
| 8 | アセスメントと品質保証 | 開発および取得したシステムを、導入前に事前に定められたリリース規準に対して評価する。システムが品質保証プロセスを通過することを確認する。その結果を用いて展開の可否を決定し、展開の認可を得る。 |
| 9 | 展開と移行 | 展開計画を策定し、事前評価に基づいて適応させる。組織が承認した展開プロセスに従う。パイロット運用と段階的リリースを活用し、リスクを最小限に抑える。 |
| 10 | 運用と廃止 | サービスレベル契約に基づき、システム展開後の運用を管理する。測定可能な基準値を設定し、性能の逸脱を監視する。システムの運用および最終的な廃止が及ぼす影響を評価する。結果を関係者に報告する。 |
| サプライチェーン(SC) | ||
| 1 | 管理と調整 | サプライヤーとの関係を管理する。サードパーティサービスの取得、使用、管理、終了に関する手順を確立する。組織とサプライヤー間の役割と責任を調整する。 |
| 2 | サプライチェーンのマッピング | 組織がサプライチェーン全体で依存するサードパーティの製品、部品、サービスをマッピングする。サプライヤーと代替サプライヤーを識別し、重要度に応じて優先順位をつける。 |
| 3 | リスクとリスクマネジメント | サプライチェーンリスクをエンタープライズリスクマネジメントに組み込む。サードパーティリスクがリスクの特定、アセスメント、対応活動の一部として確実に含まれるようにする。 |
| 4 | サプライチェーンセキュリティ | サプライチェーンセキュリティに対する認識を高め、そのレジリエンスを向上させる。組織が供給者および消費者としての自らのセキュリティ責任を果たすことを確保する。供給者に対しても同様の対応を求める。 |
| 5 | 調達計画とデューデリジェンス | 調達計画を策定し、複数の選択肢からサービスを評価・選定する。調達前に潜在的な供給業者を審査し、デューデリジェンスを実施する。供給業者とサービスが組織の標準を満たしていることを示す証拠を収集する。 |
| 6 | 契約と要件 | サードパーティが特定のセキュリティ、プライバシー、リスクマネジメント、監査、コンプライアンスの実践を実施することを義務付ける契約上の義務を確立する。それらの義務が履行されていることを確認する条項を含める。 |
| 7 | 監視とアセスメント | サードパーティ組織の実践と、契約条件を継続的に遵守する能力の評価を行う。サードパーティサービスと製品について、義務の履行における変更、逸脱、または不履行を継続的に監視する。 |
| 労働力と訓練(WF) | ||
| 1 | 研修と意識向上 | 従業員と協力し、リスクマネジメント、プライバシー、サイバーセキュリティのスキルを育成する。一般的な意識啓発と役職別の研修を提供する。継続的なコンプライアンスを確保するため、定期的な能力と知識の確認を実施する。 |
| 2 | 役割と責任 | リスクマネジメント、監視および対応、安全、セキュリティ、プライバシー機能について、役割と責任を明確に区分した内部ガバナンス構造を確立する。 |
| 3 | リソース配分 | 組織のプロセス、方針、統制を実施し遂行するために、人員と人的資源に十分な資源を提供する。 |
| 4 | 方針と実施 | 組織の方針を確立し、周知し、徹底させる。職員がこれらの方針を守る責任を理解していることを確認し、個人がその責任を果たすよう責任を追及する。 |
| 5 | 文化 | 安全、サイバーセキュリティ、プライバシー、リスク意識の高い前向きな文化を育む。包括性、協力、倫理的価値観への取り組みを示す。これらの目標を推進する有能な人材を採用し、維持する。 |
| インベントリー(IV) | ||
| 1 | インベントリ | システム、コンポーネント、ハードウェア、ソフトウェア、データ、デバイス、ユーザー、アカウントを含む、組織の全資産について最新のインベントリを維持する。サードパーティの資産も含める。 |
| 2 | 発見と追跡 | 組織資産の自動検出と追跡のためのツールを使用する。これらのツールを使用して、在庫情報を自動的に更新する。 |
| 3 | マッピング | 組織のネットワークとデータフローの最新のマッピングを維持する。 |
| 4 | 資産管理 | 資産とその構成を、ライフサイクル全体を通じて積極的に管理する。重要度と機密性に基づいて資産を分類する。分類に応じた防御を実施する。 |
| 5 | 所有権と責任 | 組織内の資産の所有権を割り当て、文書化する。資産の管理と在庫維持の責任を指定する。 |
| 監査とコンプライアンス(AU) | ||
| 1 | 監査監督 | 組織内にガバナンス構造を構築する。これには独立したリスクマネジメント機能と監督機能の確立が含まれる。 |
| 2 | コンプライアンス | 関連する全ての法的、規制上、契約上の要件へのコンプライアンスを確保する。法的・規制環境の変化を監視する。業界標準とベストプラクティスを遵守する。継続的なコンプライアンスを確保するため定期的に見直す。 |
| 3 | 監査 | 組織内に独立した監査および保証機能を設置する。定期的に監査を実施する。各監査の目的、規準、範囲を定義する。 |
| 4 | 方針の遵守 | 組織内の従業員が定められた方針を遵守し、方針が意図した通りに実施されることを確保する。方針は実用的で使いやすいように設計する。 |
| 5 | サードパーティシステムと利用 | サードパーティシステムおよびモデルの調達、テスト、使用に関する方針を確立する。組織システムへのサードパーティの使用を監督し、不正使用を防止する。 |
| 6 | 文化と協働 | 安全とリスク緩和を最優先とする組織文化を推進する。内部・外部を問わず、チーム間の連携とコミュニケーションを促進する。 |
| 7 | コミュニケーションと開示 | 組織のガバナンス、リスクマネジメント、コンプライアンスへの取り組みをステークホルダーに伝える。これらの取り組みに関連する方針、実践、成果を公に共有する。 |
| II | 安全 | 組織の技術責任ある開発と評価、社会への影響アセスメント、信頼醸成のためのステークホルダーとの連携 |
| 責任ある事業活動(RC) | ||
| 1 | 責任ある事業活動 | 責任ある事業行動(RBC)方針を策定する。RBC方針と活動を公開する。RBC問題の監督を経営陣に委ねる。 |
| 2 | デュー・ディリジェンス | 事業関係や契約関係を確立する前に、デューデリジェンスを実施する。事業関係から生じるRBCリスクと人権への影響を定期的に評価し、ステークホルダーからのフィードバックを反映させる。 |
| 3 | 関係管理 | ビジネスパートナーとの関係を構築し、RBC慣行の導入を促進する。可能な場合は例外事項を契約で明記する。パートナーと連携し、不測の事態が発生した際の計画策定と緩和に取り組む。 |
| 4 | 説明責任 | 組織、ベンダー、サプライヤーに対し、責任あるビジネス慣行(RBC)を維持する責任を負わせる。労働者向けの苦情処理手続きを確立する。RBC違反とその原因を識別する。適切な是正措置を適用する。 |
| 5 | 公開報告 | 責任ある企業行動(RBC)とデューデリジェンスの実践を公に伝える。デューデリジェンスアセスメントの結果、特定されたRBCリスクや違反事項を報告する。 |
| 6 | 是正 | 有害な RBC イベントを引き起こしたり、それに寄与したりする活動を停止する。影響を受けた個人やコミュニティを識別し、関与する。影響を受けた当事者に適切な補償を提供するために、法的、司法、その他の救済メカニズムに誠実に協力する。 |
| ステークホルダー (ST) | ||
| 1 | ステークホルダーエンゲージメント | 組織の製品やサービスによって直接的または間接的に影響を受ける可能性のある内部および外部のステークホルダーを識別する。システムのライフサイクルの全段階において、ステークホルダーとその意見を関与させる。 |
| 2 | コミュニケーション | 利害関係者との明確なコミュニケーション経路を確立する。 リスクと緩和策に関する情報を伝え、信頼を築く。定期的なコミュニケーションを可能にし、ステークホルダーとの対話を促進する仕組みを提供する。 |
| 3 | フィードバックの仕組み | ステークホルダーの優先事項や懸念事項を識別し、内部の意思決定に意見を反映させ、悪影響を識別し、緩和の効果を評価するためのフィードバックメカニズムを提供する。 |
| 4 | 包括的開発 | 多様な分野を跨いだ開発チームを構築する。開発プロセスにおいて多様な関係者や専門家の意見や知識を求めることで、組織の多様性を補完する。 |
| 5 | 能力と専門性 | チームメンバーが安全、セキュリティ、リスクマネジメント活動に必要な適切な知識と能力を有していることを確認する。必要に応じて外部の専門知識を求める。 |
| 6 | 社会技術的評価 | システム開発において人間中心設計の原則を採用する。社会技術、人間工学、ユーザーインタラクション/ユーザーエクスペリエンス(UI/UX)、人間とコンピュータの相互作用(HCI)の専門家と協力してシステムをテストする。 |
| 社会的影響(SI) | ||
| 1 | 人間中心の開発 | 社会に利益をもたらす技術の倫理的かつ人間中心の開発を推進する。様々な産業、市民社会、学術界と連携し、倫理的な研究を促進し、共有されるベストプラクティスを開発する。 |
| 2 | 公平性、包摂性、アクセシビリティ | 公平性を促進する技術を開発し展開する。システムが固定観念や差別と戦うことを保証する。組織のツールやサービスへの広範かつ公平なアクセスを促進する。 |
| 3 | 労働力と経済 | 社会全体に利益をもたらすイノベーションに貢献する。公平で競争力のあるビジネス環境を促進する。AIなどの変革的技術が労働力に与える影響を考慮する。教育、訓練、再スキル化の取り組みを支援する。 |
| 4 | 協調のガバナンス | 外部関係者を内部ガバナンス活動に巻き込む。規範の策定、知識の共有、エコシステム全体の安全とセキュリティの向上に向けた共同イニシアチブに参加する。 |
| 5 | 社会的およびグローバル安定性 | 社会的・市民的プロセスを破壊するのではなく、改善するツールとサービスを提供する。軍事分野における責任ある管理された利用を確保する。技術の健康、メンタルヘルス、安全への影響に関する研究を推進する。 |
| 6 | 持続可能性と環境 | 持続可能で環境に優しい技術を開発する。持続可能な事業活動を推進する。組織の天然資源、エネルギーの使用、および汚染物質の発生を責任を持って管理する。 |
| 7 | グローバルガバナンス | 国際協力と協調を促進する。国際ガバナンスの取り組み、標準策定、研究を支援する。国際法を尊重する。地球規模の課題に取り組む努力に貢献する。 |
| 影響力と信頼 (IM) | ||
| 1 | インパクトアセスメント | システムの潜在的な障害、混乱、または有害な出力の影響を識別し測定するため、定期的な影響アセスメントを実施する。システムの性質、運用環境、および関係する利害関係者を考慮に入れる。 |
| 2 | 文書化と協働 | 影響評価プロセスと識別されたリスクを文書化する。システムの意図された目的とその潜在的な利点を文書化する。サードパーティと協力し、実世界の影響を評価するための文脈に応じた監査メカニズムを確立する。 |
| 3 | 信頼できるシステム設計 | 信頼性の高いシステム、特にAIや機械学習に基づくシステムの開発を推進する。信頼性の高いシステムを構築するために必要な人材を確保し、堅牢なテスト、評価、検証、妥当性確認(TEVV)の実践を確立する。 |
| 4 | 堅牢性 | 故障、誤用、悪意のある攻撃に対して頑健なシステムを開発する。安全性とセキュリティリスクを低減する対策を実装する。これらの機能を正常時および異常条件下で評価する。 |
| 5 | 倫理的・社会的影響 | 組織のシステムが人権、身体的・精神的健康、プライバシー、民主主義的価値観、社会の福祉に及ぼす潜在的な社会的影響を評価し、文書化する。特にAIが関与する場合に重点を置く。 |
| 6 | 環境と持続可能性 | 組織の環境的・生態学的フットプリントを評価する。これには、技術利用に伴うエネルギー・水消費量および炭素排出量が含まれる。AIシステムにおいては、これらの影響が特に深刻になり得る。 |
| 7 | 性能のトレードオフ | リスクと影響の潜在的な利益とコストを定量的・定性的に評価する。信頼性のある特性と性能の間のトレードオフを明確化し分析する。 |
| 8 | 長期的な信頼性の確保 | 展開済みシステムの信頼性を継続的に評価し、下流への影響を測定する。システムを維持し、経時的な影響を定期的に再評価する。 |
| 公平性と合成コンテンツ (FS) | ||
| 1 | データセットのバイアス | データセットのバイアスを精査する。これには以下の要素が含まれる:サブグループ間の分布差異、データの完全性・代表者性・均衡性の欠如、機微な情報や人口統計情報を伝える特徴量や代理変数、そして歴史的・制度的・人間認知に内在するバイアス。 |
| 2 | バイアスの検知 | モデルの性能におけるバイアスを監視するための公平性指標とベンチマークを識別する。公平性アセスメントと分解分析またはサブグループ分析を実施し、グループ内および交差的な格差を特定する。 |
| 3 | バイアスの緩和 | 組織がシステムやモデルを開発・展開・運用する際には、バイアスを緩和する活動を組み込むこと。トレーニングデータの出典、潜在的なバイアス、関連する倫理的配慮について、関係者に透明性を保つこと。 |
| 4 | 展開後の監視 | 展開されたシステムから生じるバイアス、偏った応答、有害または操作的な出力の生成を監視し、防止または緩和する。構造化されたフィードバックメカニズムを用いて、これらの問題を特定する。 |
| 5 | 合成コンテンツ | 合成コンテンツとメディアの使用および流通を開示する。電子透かし、暗号技術、ステガノグラフィーなどの来歴証明手法を採用する。合成メディアの制作者、被写体、コンテンツソースからインフォームド・コンセントを取得し、帰属情報を維持する。 |
| テストと評価(TE) | ||
| 1 | 政策と計画 | 新規システムおよびモデルに対する受入規準を含むテスト戦略を確立する。TEVV活動の計画を策定する。 |
| 2 | ライフサイクルの頻度 | TEVV活動が行われる頻度と具体的なライフサイクル段階を定義する。展開の前後、および変更が実施された際を含め、定期的なテストを実施する。 |
| 3 | テストと再現性 | システム出力、モデルトレーニング、テスト結果の再現性を確保する。サードパーティによるテスト結果を再現できること。テスト結果を記録し、再現ファイルを用いて利用可能にする。 |
| 4 | テストの種類 | システムの妥当性確認、堅牢性、再現性、およびドメイン適合性を評価する。システム変更を検証する。サードパーティの主張を評価する。定期的なレッドチーム活動、侵入テスト、セキュリティテストを実施する。 |
| 5 | 結果のレビュー | TEVVプロセスの結果を確認し、定められた期間内に問題を解決する。TEVVの指標とプロセスの有効性を定期的に再評価する。 |
| 6 | 文書化 | TEVVプロセスとその結果について透明性を保つこと。テストセット、前提条件、指標、テスト手順、手法、結果を含むTEVVプロセスを文書化すること。 |
| 7 | 専門家の関与 | TEVVプロセスに専門分野の専門家を関与させる。外部専門家によるテストの実施と内部テスト結果の妥当性確認を行う。独立した受入テストを実施する。 |
| 8 | テストの自動化 | 既知の事実やデータに対して検証可能な自動テストおよび妥当性確認メカニズムを導入する。自動化された手法を用いるか、合成データを生成することで、テストの網羅性を高める。 |
| パフォーマンス監視(PM) | ||
| 1 | パフォーマンスの監視 | システムのライフサイクルを通じて、測定および監視すべき技術的・業務的指標を決定する。システムのパフォーマンスを継続的に監視し、定期的に妥当性確認を行う。 |
| 2 | 性能のドリフトと不整合 | モデルのドリフト、不整合、動作変化について性能を測定する。定期的な健全性チェックを実施し、モデルが組織の価値観とリスク許容度と整合し続けることを保証する。新バージョンが展開される際には見直しを行う。 |
| 3 | 継続的再評価 | 定期的なリスクアセスメント、影響アセスメント、評価、レッドチーム演習、および侵入テストを実施する。使用されているテストと指標の有効性を継続的に再評価する。 |
| 4 | 是正措置 | 問題、不適合、または不適合が識別された場合、是正措置を講じる。実施した是正措置の有効性を評価する。必要に応じて対応策と復旧戦略を更新する。 |
| 5 | 監視 | 評価と監視活動から継続的に改善を識別する。これらの活動が監査、コンプライアンス、監督に必要な十分な情報を提供していることを妥当性確認する。 |
| トレーサビリティ(TR) | ||
| 1 | データの来歴証明と系譜 | システムのデータ系譜と来歴証明を追跡する方法を確立する。データの起源、関連するラベルやカテゴリー、処理、変更履歴、使用制限、保存方針に関するメタデータ記録を維持する。 |
| 2 | バージョン管理と変更追跡 | データ、データセット、ソースコード、システム成果物、モデル重みに対する変更を管理するため、バージョン管理システムを導入する。各変更に関するメタデータ、変更理由、実装方法、テスト方法、展開方法を保存する。 |
| 3 | システムとデータの文書化 | システムの意図された使用方法、リスク、機能、制限を文書化する。システム設計、開発、テスト、展開の詳細を記録する。データ、データ要素、処理を文書化する。 |
| 4 | 監査可能性 | システムの出力結果を、その生成に使用されたルール、アルゴリズム、データまで遡って追跡できる監査証跡を作成する。組織内で収集から廃棄までのデータの流れを追跡できるようにする。 |
| 5 | データ品質と妥当性確認 | データ品質に対する体系的なアプローチを実施する。モデル訓練に使用されるデータの品質、完全性、適切性、代表者を向上させる。時間の経過に伴うデータ品質の妥当性確認および監視を行う。 |
| 6 | 評価文書化 | 測定および評価結果の体系的な記録を維持する。これには、テストの出力とそれらを再現するための資料、パフォーマンス指標、リソース利用状況が含まれる。 |
| 透明性と監視(TO) | ||
| 1 | ユーザーの認識とコミュニケーション | システムのユーザーに対し、その適切な使用方法に関する文書化された指示、ガイダンス、およびトレーニングをプロバイダする。システムのリスクと制限に関する情報を伝える。システムの運用に、情報提供を目的としたアラートや通知を組み込む。 |
| 2 | 説明可能性と解釈可能性 | システムの開発と利用において、透明性、説明可能性、異議申立可能性(TEC)の要件を確立する。可能な限り、決定や出力結果がどのように導かれたかについて、ユーザーに説明を提供する。 |
| 3 | 人間の監視と説明責任 | モデルやシステムの設計に、人間の監視と主体性を意味ある形で組み込むこと。システム出力に対する説明責任と運用制御を、常に人間が担い続けることを保証すること。 |
| 4 | データと安全対策の透明性 | バイアス、有害な出力、性能不良、悪用といった問題を指摘する仕組みを設ける。これらの安全対策の実施に関する透明性を確保しつつ、その完全性を損なわないようにする。 |
| 5 | 人間の価値観との整合性 | 組織の政策や技術が、人間の価値観、標準、規制枠組み、法の支配とどのように整合しているかについて、透明性のある自己評価を実施する。 |
| 6 | 仕組みと文書化 | 組織の技術開発と利用に透明性のある慣行を組み込むための正式な仕組みを確立する。AIモデルの開発や利用に関する詳細を開示するため、透明性報告書とモデルカードを作成する。 |
| 7 | 公的説明責任 | 組織を公的に説明責任を負わせる。透明性を確保し、消費者の権利を防御する。関係者と連携し、組織またはそのシステムによって引き起こされた被害が適切に是正されるようにする。 |
| モデルセーフガード(SG) | ||
| 1 | フェイルセーフ | 分布外入力、信頼度の低い予測、故障が発生する可能性が高い不確実性の高い状況を識別し処理するシステムを開発する。人間による介入を優先するなどのフェイルセーフを採用する。 |
| 2 | データのリスクの緩和 | モデル訓練には信頼できるデータラベリングとデータソースを使用する。データセットを潜在的なバイアス、データ品質の問題、ポイズニングや改ざんの兆候について評価する。敵対的サンプルの使用などの訓練技術を採用し、モデルの頑健性を向上させる。 |
| 3 | モデルのセキュリティ | 敵対的攻撃、ポイズニング攻撃、分布外攻撃、モデル反転攻撃、メンバーシップ推論攻撃、モデル抽出攻撃などのセキュリティ脅威からモデルを防御する。アプリケーションプログラミングインターフェース(API)などのアクセスポイントを強化し、入力と出力の異常を精査する。 |
| 4 | パフォーマンス評価 | システムの性能を分析し、モデルの劣化、データのドリフト、異常な動作、新たな能力の出現を確認する。主要な指標を追跡し、定期的なベンチマークを確立する。結果を体系的にレビューし、報告する。 |
| 5 | モデル供給チェーン | AIシステムの開発に使用されるソース資産(例:データ、ライブラリ、ソフトウェア、ハードウェア、事前学習済みモデル)は、検証済みで信頼できるソースから調達する。部品表(BOM)またはモデルカードを用いてソースを文書化する。 |
| 6 | 継続的学習 | AIシステムが継続的学習に使用する新規データをサニタイズするための安全対策を展開する。これらのシステムは、ポイズニング攻撃や敵対的攻撃の影響を受けやすいため、モデル動作の変化を精査する。 |
| III | セキュリティ | 安全なシステムの開発と展開、施設や資産へのアクセス管理、セキュリティ対策の実施 |
| セキュリティ管理(SM) | ||
| 1 | セキュリティとプライバシーのプログラム | 組織全体でセキュリティとプライバシーを管理するプログラムを確立する。戦略、関連する方針、責任を従業員に周知する。プログラムの方針を徹底し、定期的に評価する。 |
| 2 | セキュリティの実装 | エンタープライズアーキテクチャを安全に設計する。組織の資産(ハードウェア、ソフトウェア、データ、システム、ネットワークなど)を防御するためのプロセスと管理策を実施する。 |
| 3 | 必須機能 | 組織の必須機能を支えるデータ、ネットワークと情報システムの識別と防御の優先順位付けを行う。 |
| 4 | 暗号化と鍵管理 | 資産を保護するために、認められた暗号化手法を採用する。暗号鍵の作成、配布、使用、保管、破棄を管理し防御する。 |
| 5 | セキュリティ境界 | 組織の境界および組織内の分離されたセキュリティ領域間に、物理的および論理的な境界を設定する。それらの境界において保護策を実施する。 |
| 6 | 物理的および論理的アクセス | 境界を越えた物理的・論理的アクセスと、それらの境界内の資産へのアクセスを管理し監視する。 |
| 7 | 情報の流れと転送 | 適用法や規制に従い、セキュリティドメイン間の情報フローをマッピングし管理する。個人情報や機密情報、分類情報の移転を厳重に管理する。 |
| 8 | データ管理 | 組織のデータとその保存場所を識別し、分類し、追跡する。データのライフサイクル全体を通じて、セキュリティ、プライバシー、適用法に配慮してデータを管理する。データのバックアップを保持する。 |
| 設計・開発(DD) | ||
| 1 | 方針と手順 | 組織全体で安全な設計と開発を促進するプロセスを確立する。開発者に安全なコーディング手法の使用を義務付ける。組織が選定した技術の開発とサポート能力を維持することを保証する。 |
| 2 | 脅威モデリング | システム設計の一環として脅威モデリングと攻撃対象領域マッピングを実施する。開発チームが組織の脅威環境を認識していることを確認する。 |
| 3 | セキュア設計 | 設計段階からセキュリティを考慮したアプローチを採用する。セキュリティ設計原則を実装する。システムが他のITインフラとどのように連携するかを評価する。設計仕様が組織のセキュリティおよびプライバシーアーキテクチャと整合していることを確認する。 |
| 4 | セキュア開発 | システム開発ライフサイクル(SDLC)全体でセキュアソフトウェア開発(SSD)の実践を採用する。開発、テスト、展開環境を分離し、安全に維持する。 |
| 5 | セキュリティ対策 | SDLCの全段階で情報セキュリティとネットワークセキュリティの制御を実施する。アクセス管理と使用制限を徹底する。変更管理と妥当性確認プロセスを採用し、システムコンポーネントへの不正な変更を防ぐ。 |
| 6 | テスト | 内部・外部の開発者に対し、静的および動的アプリケーションセキュリティテスト(SASTおよびDAST)の実施を義務付ける。テストの妥当性確認のため、独立したアセスメントを委託する。 |
| 7 | レビュー | システム設計、コード、セキュリティプロセスの手動および自動レビューの両方に対するレビュープロセスを確立する。 |
| 8 | セキュアな展開 | 安全な展開手法を優先する。段階的リリースとブルーグリーン展開戦略を用いる。追跡と承認ワークフローを組み込み、展開メカニズムを自動化する。 |
| 9 | 基本構成 | 共通の安全なベースライン構成とテンプレートを作成し、維持する。構成にはセキュリティ原則が組み込まれていることを確認する。 |
| 10 | 文書化 | システム開発のための組織全体の共通制御と構成を識別し、文書化し、公開する。全てのセキュリティ要件を文書化し、開発者にシステム実装が上位レベルの仕様を満たしていることを実証させる。 |
| 脆弱性 (VN) | ||
| 1 | 報告プロセス | 内部および外部関係者がバグや脆弱性の存在を報告するための仕組みとインセンティブを構築する。脆弱性やパッチに関する関連情報を関係者に報告する。 |
| 2 | セキュア開発 | セキュアなソフトウェア開発手法に従い、脆弱性検知を実施することで脆弱性を低減する。サードパーティプロバイダからセキュリティ保証を取得する。信頼できるライブラリとコンポーネントのみを使用する。 |
| 3 | 優先順位付け | 報告された脆弱性をトリアージし、その妥当性を確認し、影響を受けるシステムの範囲を評価し、影響の深刻度を分類し、影響を受ける関係者を特定し、対応策を分析する。 脆弱性の優先順位付けプロセスを確立する。 |
| 4 | 検知 | CVEの監視、ソフトウェアの分析、脆弱性スキャンを実施して脆弱性を検知する。不正なコンポーネントや古いコンポーネントを識別する。複数のソースやスキャンからの結果を関連付ける。 |
| 5 | パッチ適用 | 既知の脆弱性に対しては、タイムリーにパッチを適用するか、その他の方法で緩和する。他のソフトウェアやシステムにおける類似の脆弱性については、積極的に修正する。 |
| 6 | プロセス | 脆弱性に対するリスク対応を計画し実施するための技術的脆弱性管理プロセスを確立する。パッチ適用が不可能な脆弱性のリスクを管理するプロセスを含める。 |
| 7 | テストと評価 | 修正プログラムやパッチの効果を、展開前にテストし、意図しない副作用がないことを確認する。外部パートナーからプロバイダされたパッチや更新プログラムは、適用前にその真正性を確認する。 |
| IDと認証(IA) | ||
| 1 | 集中型アイデンティティ管理 | アイデンティティと認証情報を発行、管理、検証、失効、監査するための中央集権的なシステムを構築する。 |
| 2 | 証明と紐付け | 同一性を証明し検証する。検証済みの同一性を認証情報に紐付ける。共有アカウントや認証情報の使用を避ける。 |
| 3 | 認証情報の防御 | 承認された暗号技術を用いて、認証情報を安全に保管し、送信する。 |
| 4 | 識別と認証 | セキュリティ境界を越えた物理的または論理的アクセスを許可する前に、識別と認証を要求する。機密性の高い操作や特権操作を行う際には、アクセスを再認証する。 |
| 5 | セキュリティメカニズム | リプレイ攻撃、なりすまし攻撃、ブルートフォース攻撃から防御された安全な認証メカニズムを採用する。認証のための隔離された信頼できる通信経路を確立する。 |
| 6 | ログイン | ログインの成功と失敗を監視する。攻撃者に役立つ可能性のあるフィードバックをログイン中にプロバイダしてはならない。ログイン試行をユーザーに通知する。 |
| 7 | ログオフ、ロック、切断 | 設定した時間または非活動期間後に、自動ログオフ、デバイスロック、セッション切断を有効にする。ログアウト時にセッション識別子を無効化し、通知を行う。 |
| 8 | パスワード | ユーザーに安全なパスワード管理方法を教育し、徹底させる。脆弱なパスワード、よく使われるパスワード、再利用されたパスワードを禁止する。デフォルトのパスワードを排除する。パスワード管理ツールを使用してパスワードを生成し管理する。 |
| 9 | より強力な認証 | 特にセキュリティ上重要なケースでは、多要素認証や生体認証、シングルサインオン、認証器、公開鍵基盤など、より強力な認証方法を採用する。 |
| アクセス管理(AC) | ||
| 1 | アクセスポリシー | 組織全体でアクセス制御のルールとアクセス管理プロセスを統一的に定める方針を確立する。 |
| 2 | セキュリティ原則 | アクセス管理ポリシーの設計と実装においては、最小権限の原則、最小機能性の原則、職務分離の原則、ゼロトラストの原則を遵守する。 |
| 3 | アクセス管理の種類 | 可能であれば属性ベースのアクセス制御(ABAC)を適用し、そうでない場合は役割ベースのアクセス制御(RBAC)を適用する。いずれのアプローチとも組み合わせて動的アクセス管理の使用を検討する。 |
| 4 | アカウントとアクセス管理 | ユーザーとシステムアカウントを管理する。アカウントと関連する権限のプロビジョニング、レビュー、変更、および取り消しを実施する手順を確立する。 |
| 5 | アクセス権の変更 | 条件や必要性が変化した際には、アクセス権を変更する。新たなアクセス権限や追加のアクセス権限を付与する際には、認可を得る。必要がなくなった際には、アクセス権を撤回する。 |
| 6 | リモートアクセス | リモートアクセスを管理する。リモートアクセスに対して追加のアクセス制限、デバイスや設定要件、セキュリティ対策(例:暗号化、強化された認証)を実施する。 |
| 7 | 特権アクセス | 特権アクセスの使用を厳しく制限し、分離する。特権アクセスは一時的にのみ付与し、二重認可や共同認可など、より厳格な認可を得た後に限る。 |
| 8 | アクセス制御の実施 | アクセス管理ポリシーを適用し、不正アクセスを防止する。アクセス制御メカニズムは、認可された担当者が定められた状況でのみ上書きする。 |
| 9 | アクセスを監視し、レビューする | アカウントとアクセス活動を定期的に見直し、異常な使用を識別し、権限と特権を再検証する。必要に応じて、定期的にアクセスを変更または削除する。 |
| ネットワークセキュリティ(NS) | ||
| 1 | ネットワーク管理 | 組織のネットワークを管理する。アクセス管理、攻撃者からのネットワークの隠蔽、多層防御技術の導入により、ネットワークの完全性と安全性を防御する。 |
| 2 | セグメンテーションと分離 | ネットワークを論理的または物理的に異なるセキュリティ領域に分割する。攻撃に応じてネットワークのシステムや領域を動的に隔離する。セキュリティ機能と非セキュリティ機能、特権的活動と非特権的活動、そして相反する職務を分離する。 |
| 3 | データフローと制御 | セキュリティドメイン間の境界において、ファイアウォールとポリシーベースのコンテンツフィルタを導入し、接続、アクセス、情報フローを制御する。 |
| 4 | 接続と管理対象インターフェース | 組織とのコミュニケーションは管理されたインターフェース(プロキシ、VPNなど)を介して行う。ネットワークにリモート接続するデバイスは信頼できることを保証し、それらのデバイスをリモートで消去・追跡する機能を維持する。 |
| 5 | 無線セキュリティ | 暗号化メカニズムと安全なプロトコルを用いて無線ネットワークを防御する。無線ネットワークを信号ベースの攻撃から防御する。無線ネットワークをセグメント化し、アクセスと利用に関する追加制限を検討する。 |
| 6 | 可用性 | 接続数とリクエスト数を制限することで、ネットワークリソースの可用性を維持する。システムを最適化し、割り当てられたリソースの負荷分散を行う。サービス拒否(DOS)攻撃を検知し、防止する。 |
| 7 | 時刻同期 | ネットワーク接続されたシステムやデバイス間で、二つの信頼できる時刻源を用いて時計を同期させる。ログ記録や監査機能において、時刻が同期されていることを保証する。 |
| 8 | 攻撃対象領域の最小化 | システムを廃止し、未使用のコンポーネント(ソフトウェア、ハードウェア、データ、機能など)を削除するプロセスを開発し、実施する。これにより組織の攻撃対象領域を縮小し、リソースを解放する。 |
| 情報セキュリティ(IS) | ||
| 1 | 分類とカテゴリ分け | 組織全体の分類スキームを実施し、機密性や重要度に基づいてデータと資産を分類する。分類スキームに基づき、セキュリティ要件と処理手順を定義する。 |
| 2 | データの暗号化とコミュニケーション | 通信チャネルを暗号化する。システムアーティファクト(コード、モデルの重み)とデータ(保存時、転送中、使用中)を、その分類に応じた暗号化を用いて防御する。 |
| 3 | 完全性と検証 | ハードウェア、ソフトウェア、ファームウェア、コード、データの真正性を検証し、改ざんを防止するために完全性チェック機構を用いる。信頼できる当事者の身元を検証するために暗号化手法を用いる。 |
| 4 | データ品質とサニタイズ | システム入力の監視、フィルタリング、およびサニタイズを行い、侵入攻撃を防止する。また出力に対して有害、虚偽、プライバシーに敏感、または違法なコンテンツをフラグ付けする。データセットの品質を確保するための措置を講じる。 |
| 5 | データ漏洩の防止 | 組織の情報と資産の漏洩、流出、盗難を防ぐ。データ漏洩が発生する可能性のある経路を監視する。オープンソース情報をスキャンし、不正な開示を識別する。 |
| 6 | セキュリティ対策の強化 | セキュリティ対策と保護メカニズムを定期的にテストする。それらの有効性に関する情報を共有する。保護技術を自動的に更新し、継続的に改善する。 |
| 7 | 監査可能性 | システムの監査可能性を確保する。監査証跡と管理の連鎖を維持し、データと意思決定の来歴証明を保証する。インシデント発生時には、フォレンジック証拠を収集し保存する。 |
| 8 | プラグインとAPI | プラグインとAPIは最小限の機能性という原則に従い、安全に実装されるようにする。信頼できるプラグインとAPIのみが使用されるようにする。 |
| 9 | 公開リリース | 情報の公開、資料、製品の公開を管理する担当者を指定する。情報の開示やコード・モデルのオープンソース化に伴うリスクを評価する。 |
| エンドポイントセキュリティ(ES) | ||
| 1 | 資産の管理と追跡 | 組織のネットワークに接続されたエンドポイントデバイスを管理する。部品表(BOM)を使用して、ハードウェア(HBOM)とソフトウェア(SBOM)のコンポーネントを追跡する。 |
| 2 | 不正なコンポーネント | 許可されていないソフトウェア(例:アプリケーション、ライブラリ、コード、バイナリ)およびハードウェアコンポーネントのインストールと使用を防止する。許可されていないコンポーネントを検知し、削除する。 |
| 3 | 不正な変更 | ソースコードやデバイス・システムの構成に対する不正な変更を防止する。権限昇格や、不正な変更を可能にするユーティリティプログラムの使用を防止する。 |
| 4 | 完全性と検証 | ソフトウェアおよびハードウェアコンポーネント、特にサードパーティ製コンポーネントの完全性とセキュリティを検証する。サードパーティ製コンポーネントがどのようにサポートされ、保守されるかを評価する。 |
| 5 | マルウェア | デバイスへのマルウェア対策の展開を実施する。既知のマルウェアシグネチャのレポジトリを最新の状態に保つ。従業員にマルウェアに関するトレーニングを提供する。マルウェアによる侵害への対応計画を策定し、対応する。 |
| 6 | 安全対策 | ファイアウォール、スパムフィルタリング、悪意のあるウェブサイトのブロックリスト、安全なプロトコルを含む、インターネットと電子メールの安全対策を講じる。 |
| 7 | 保守 | ハードウェアとソフトウェアの構成要素を定期的に保守する。適用可能な場合は予防保全または予知保全を用いる。保守作業は認可された者によって行われることを確認する。保守活動を記録し、監視する。 |
| 8 | 更新とパッチ | ソフトウェアとハードウェアは、パッチ、更新プログラム、セキュリティ修正で最新の状態に保つ。更新を適用する前に、それが認可されテスト済みであることを確認する。 |
| 人事・メディアセキュリティ(MS) | ||
| 1 | データとメディアの管理 | メディアとその保存データをライフサイクル全体を通じて管理する。メディアの安全な廃棄とデータの破壊を確実に行う。 |
| 2 | データとメディアの転送 | 物理的またはデジタルを問わず、セキュリティ境界を越えたメディアとデータの転送を制御する。不正な転送を防止する。転送中のデータを防御する。 |
| 3 | 漏洩と侵害の防止 | スキャンとサニタイズ手法を用いて、リムーバブルメディアによるマルウェアの侵入を防ぐ。リムーバブルメディア、電磁信号、盗聴、サイドチャンネルを介した情報漏洩を防ぐ。 |
| 4 | 身元調査と適性審査 | 採用する職位に見合った経歴調査とスクリーニングを実施する。システムやデータへのアクセス権限を付与する前にスクリーニングを完了させる。 |
| 5 | 契約上の合意 | 従業員が雇用契約に定められた義務を遵守することを確保する。これにはアクセス契約や秘密保持契約も含まれる。 エンドユーザー向けの利用規定を確立する。 |
| 6 | 職員のセキュリティ | 必要に応じて、従業員が特定のソフトウェア、サービス、ウェブサイト、およびセキュリティ区域にアクセスするのを制限する。施錠可能な保管庫やデスク整理方針などの安全なオフィス慣行を徹底する。 |
| 7 | 個人所有のデバイス | 業務利用が許可された個人所有のデバイスについては、デバイス設定要件を徹底し、デバイスへの送信および保存されるデータに対する管理を維持する。 |
| 8 | 知的財産 | 知的財産と見なされる素材を防御する。著作権やライセンス違反を防ぐ。 |
| 9 | リモートワークとアクセス | リモートワークとリモートアクセスに対して追加の制限と安全対策を適用する。社外での作業、社外でのデバイスの操作、社外へのデータ送信に伴うリスクに対処する。 |
| 10 | 解雇と業務継続 | 個人の雇用契約またはサードパーティ契約が終了した場合、資料の返却、アクセス権限の解除、および責任の引き継ぎに関する手順を確立する。 |
| 物理的セキュリティ(PS) | ||
| 1 | 物理的アクセス | 施設への物理的アクセスを定義されたアクセスポイントで制御し、その他のポイント(例:窓、防火扉、配送エリア)を通じた不正アクセスを防止する。 |
| 2 | 認可された人員 | 認可された者だけが、適切な身分証明書を提示して、保安区域にアクセスできるようにする。訪問者は付き添いが必要であり、その行動は監視されるようにする。 |
| 3 | 資材管理 | 施設に出入りする私物や配送物を検査する。 |
| 4 | 環境上の脅威 | 物理的環境、状況、および関連する脅威を識別し、評価する。危険(火災、水害、放射線、電磁気、地殻変動、人的活動)に対する防御を講じる。 |
| 5 | ユーティリティと緊急事態 | 電力、ガス、通信などの公共サービスを防御する。緊急時の手順を従業員がすぐに参照できるようにする。緊急遮断装置と照明を設置する。 |
| 6 | 監視と警報 | 物理的な施設と環境条件(温度、湿度など)を継続的に監視する。不審な活動や異常な状態が検知された場合、自動的に対応するか警報を発する。 |
| IV | プライバシー | データ、特に個人を特定できる情報(PII)の管理、およびデータのライフサイクル全体におけるプライバシーと機密性の保護 |
| プライバシープログラム(PP) | ||
| 1 | 背景 | 組織のプライバシーに関する法的・倫理的義務、データ処理エコシステムにおける役割、影響を受けるステークホルダーを理解する。 |
| 2 | プライバシープログラム | サードパーティを含むプライバシーリスクを管理するプログラムを確立する。プライバシープログラムを組織に統合し、その効果を測定する。 |
| 3 | 人員 | プライバシープログラムの実施を主導するプライバシーチームを指定する。全従業員に対し、プライバシーに関する各自の役割と責任を周知する。 |
| 4 | プライバシー・バイ・デザイン | セキュリティ・プライバシー・バイ・デザイン原則に基づいたシステムと慣行を開発する。 |
| 5 | 通知と同意 | データとプライバシーに関する取り組みを透明性を持って行うこと。プライバシーポリシーを明確で理解しやすい言葉で公開すること。データを収集する際にはユーザーに通知し、同意を得ること。 |
| 6 | データの最小化 | 個人データの収集、処理、利用は、絶対に必要な範囲に最小限に抑える。個人データは、特定された目的のみに使用されることを保証する。 |
| 7 | プライバシー強化技術 | 非識別化、匿名化、マスキング、暗号化、差分プライバシー、連合学習などのプライバシー強化技術を採用する。 |
| 8 | データのライフサイクル | データのライフサイクル全体(収集、認可、処理、保持、廃棄)。各段階におけるデータ操作と責任者を明確にすること。 |
| 9 | データへのアクセスと分離 | きめ細かいアクセス制御を有効にし、データへのアクセスを制限する。業務上重要、機密、または非公開のデータを分離する。 |
| 10 | ユーザー入力と制御 | ユーザーが入力、フィードバック、苦情を提出する仕組みをプロバイダする。ユーザーが自身について収集された個人データを閲覧、管理、削除できるようにする。 |
| 個人識別情報(PII)の取り扱い | ||
| 1 | 戦略と監督 | データ処理エコシステムにおける組織の役割に基づき、PIIの取り扱い戦略を策定する。PIIの所有権と処理の認可を明確に定める。PIIの取り扱いに関するプライバシーバイデザインの方針を実施し、徹底させる。 |
| 2 | 目的と最小化 | 各個人情報の処理活動について、その目的と法的根拠を定義する。収集と処理は厳密に必要な範囲に限定する。不要になった個人情報は安全に廃棄する。 |
| 3 | 通知と透明性 | 個人識別情報(PII)に関する取り扱いについて透明性を保つこと。個人識別情報の収集時に、その処理目的と取り扱い方法の詳細について、個人に対し適時、簡潔かつ容易にアクセス可能な形で通知すること。当該情報を恒久的にアクセス可能とし、定期的に更新すること。 |
| 4 | 同意 | 個人を特定できる情報(PII)を収集・処理する前に、個人から明示的かつ十分な説明に基づく同意を得る。特定の目的ごとに同意内容をカスタマイズする仕組み、設定を更新する仕組み、同意を撤回する仕組みを提供する。 |
| 5 | ユーザーアクセスと制御 | 個人に対し、組織が保持する自身の個人識別情報(PII)へのアクセス、修正、変更要求、削除を行う権限を与える。個人に対し、PIIの処理への異議申し立て、およびPIIに基づく自動化された決定への異議申し立てを可能とする。 |
| 6 | PIIの管理 | 個人識別情報の正確かつ最新の記録を維持する。個人識別情報の修正や削除を反映させる。個人識別情報を分類し、メタデータタグを用いて厳格に追跡し、アクセスと利用を管理する。個人識別情報の安全なバックアップを保持する。 |
| 7 | リスクの評価と緩和 | データとプライバシーの影響評価を実施する。リスクを緩和するため、セキュリティ対策の範囲をプライバシーと個人識別情報(PII)の保護にまで拡大する。 |
| 8 | 漏洩と通知 | 個人情報が関与するセキュリティインシデントを調査し、不正アクセスが発生したかどうかを識別する。監査対応のため、調査記録を維持する。侵害が発生した場合は、影響を受けた個人および関連当局に通知する。 |
| 9 | サードパーティおよびデータ転送 | 個人情報のサードパーティへの移転および開示については、認可された移転および開示の厳格な管理を維持する。すべての移転を記録する。個人情報が共有される可能性のあるサードパーティ、国、国際機関の一覧を個人に提供できるようにする。 |
| 10 | 監査可能性とコンプライアンス | 個人識別情報(PII)の来歴証明、使用目的、認可、アクセス、処理活動、移転または開示、廃棄の履歴を維持する。これらの実践が適用法に準拠していることを証明できること。 |
| V | 検知と対応 | 脅威やインシデントを識別し、発生時に適切に対応し、業務継続性を強化すること |
| 監査ログ記録(LG) | ||
| 1 | 監査プロセスと範囲 | 記録対象となるシステムとイベントの範囲を定義する。監査ログを生成、保存、確認、分析するプロセスを確立する。 |
| 2 | 記録対象 | 記録すべき事項:1) データ、ソフトウェア、システムへのアクセスおよび変更、2) 特権操作、3) その他関連する担当者、ユーザー、サードパーティの活動、4) システムの入力と出力、5) エラー、6) セキュリティイベント。 |
| 3 | 集中分析 | 組織全体の監査記録を一元化されたリポジトリに統合し、分析を行う。複数の情報源や監視活動から得られた情報を相互に関連付ける。 |
| 4 | ログの監視とレビュー | 収集した監査情報を継続的に確認し監視し、異常な活動を識別する。 |
| 5 | アクセスとセキュリティ | ログデータのセキュリティと完全性を維持する。アクセス権限を認可された担当者に限定する(読み取り専用)。ログ記録の改ざん、不正な開示または削除を防止する。 |
| 6 | 保存と容量 | ログ記録は運用システムとは別に保存し、十分なストレージ容量を確保する。 |
| 7 | ログ記録の失敗 | 監査記録機能が失敗した場合は、担当者に警告する。代替の記録機能が利用可能な場合はそれを使用するか、システムをフェイルセーフモード(例:シャットダウンまたは機能制限)に戻す。 |
| 監視(MO) | ||
| 1 | プロセスと運用 | セキュリティイベントの監視と調査を担当するセキュリティ・オペレーションセンターを設置する。チームの情報を収集し、分析の優先順位付けを行い、迅速に対応チームに警告を発する能力を促進するツールを採用する。 |
| 2 | 脅威分析 | 脅威分析を実施し、脅威アクターの範囲と彼らの一般的な攻撃ベクトルを識別する。情報共有ソースからの脅威インテリジェンスを組み込む。この分析に基づいて監視戦略を策定する。 |
| 3 | 防御態勢の強化 | 攻撃対象領域を積極的に縮小し、予測分析を活用し、自動化された防御を確立することで、組織のサイバーセキュリティ態勢を先制的に強化する。 |
| 4 | しきい値 | ネットワーク活動、アクセス、システム動作に対するセキュリティ基準を設定し、異常な活動を識別する手助けとする。監視のしきい値とスケジュールを継続的に見直し、修正する。 |
| 5 | 情報共有 | 監視中に得られた関連する脅威インテリジェンス、セキュリティイベント、教訓を、社内外の関係者と共有する。より広範なサイバーセキュリティ状況認識を促進する。 |
| 6 | 監視と検知 | 物理的およびデジタル環境を監視し、異常、侵入、セキュリティイベント、潜在的な内部脅威を検知する。侵入を検知し攻撃者を遅延させるため、欺瞞技術(例:ハニーポット)を採用する。 |
| 7 | イベントデータの分析 | 自動化ツールを活用し、イベントデータのほぼリアルタイム分析を支援する。監視データ(例:ログ、レポート、シグネチャ、脅威インテリジェンス)を一元化し、組織全体の可視性と分析を実現する。 |
| 8 | アラートと対応 | インシデントが検知された際に、関係者に迅速に通知する警報システムを構築する。監視チームがシステムを迅速にロックダウンし、アクセスを制限し、あるいはシステムをオフラインにすることで、さらなる侵害を防ぐ能力を提供する。 |
| インシデント対応(IR) | ||
| 1 | 準備 | インシデント対応および復旧計画を作成する。インシデント情報を受け取る必要のある関係者を識別する。それらの計画の実行に対する責任者を指定する。計画された行動を練習し、その有効性を評価するための演習を実施する。 |
| 2 | ガバナンス | インシデント対応における役割と責任を割り当てる。バックアップを含む。チームが適切に訓練され、対応に必要な意思決定認可を有していることを確認する。明確なコミュニケーション経路を確立する。対応活動に十分なリソースを提供する。 |
| 3 | 検知と識別 | インシデントの規準と深刻度レベルを定義する。防御された機密報告メカニズムを確立する。イベントと報告されたインシデントをトリアージする。インシデント規準が満たされた場合に、対応措置を開始する。 |
| 4 | 対応 | インシデントを検知したら対応計画を実行する:インシデントの優先順位付け、影響の封じ込め、関係者と連携した対応、原因の緩和、対応活動と証拠の記録、そして広報の修復を行う。 |
| 5 | 分析と調査 | インシデント発生時には、その影響範囲を推定し根本原因を識別する。調査行動を記録し証拠を保存する。インシデント終了後は事後アセスメントを実施し、傾向を把握し対応効果を向上させる。 |
| 6 | 報告 | インシデント情報を関係当局および利害関係者(影響を受けた地域社会、共同インシデント追跡イニシアチブ、情報共有組織を含む)に報告する。 |
| 7 | 復旧と修復 | 内部および外部の関係者と復旧活動を調整する。復旧と修復の進捗状況を伝える。終了前にインシデントが適切に解決されたことを確認する。 |
| 8 | 文書化と記録 | 報告された問題、ニアミス、インシデント、および悪影響の記録を保管する。対応、復旧、調査活動において実施した措置、結果、およびパフォーマンス指標を文書化する。 |
| 9 | 教訓 | インシデント発生時に得られた教訓を収集し共有する。事後分析とレビューに基づき、安全対策、セキュリティ管理、対応計画の改善を実施する。 |
| レジリエンスと復旧(RR) | ||
| 1 | レジリエンスと継続性プログラム | 組織の重要機能を優先する事業継続戦略を確立する。レジリエンスの目標と要件を定義する。 |
| 2 | レジリエンスと復旧計画 | 潜在的な脅威、障害、影響の分析に基づき、事業継続計画と災害復旧計画を策定する。復旧計画は定期的に更新し、得られた教訓を反映させる。 |
| 3 | 依存関係とサードパーティ | 組織の重要な機能とその依存関係を識別する。特にサプライヤーに関連する依存関係に注意する。それらのサードパーティと連携し、対応計画をテストする。 |
| 4 | キャパシティと可用性 | 組織のリソース容量を適切に維持する。容量の制約を識別する。サービスの可用性を維持するため、容量を増やすか需要を減らすことができるようにする。 |
| 5 | バックアップ | データとシステム構成の冗長コピーを作成し、安全な代替場所に保管する。バックアッププロセス、バックアップの完全性、復元プロセスを定期的にテストする。 |
| 6 | レジリエンスメカニズム | 冗長性(システム、サービス、機器など)、フェイルセーフ、フェイルオーバー、負荷分散、ホットスワップ、代替運用拠点などのレジリエンスメカニズムを導入する。 |
| 7 | ユーティリティの継続性 | 重要なユーティリティ(電力、通信など)の継続性を確保する。冗長サービス、バックアップ電源、代替コミュニケーション経路の利用を検討する。 |
| 8 | 訓練、演習、テスト | 自動テスト、机上演習、現実的な訓練、レッドチームを活用し、レジリエンスメカニズムと復旧計画を定期的にテストする。復旧活動を実施する人員が十分な技能と適切な訓練を受けていることを確認する。 |
| 9 | 復旧と回復の実行 | 復旧計画を実行し、事象の封じ込めと緩和を図る。重要な機能の継続性を確保するため、レジリエンス機構を活用する。システムとデータを復元し、その完全性を検証する。 |
Comments