AI技術が進化し、さまざまなAIツールの活用が広がる中、組織のリスク管理が課題となっている。その鍵となるNISTの「NIST CSF」と「AI RMF」を効果的に組み合わせるにはどうすればよいのか。
業務における人工知能(AI)技術の活用が広がる中、組織でのAI技術に関するリスク管理が急務となっている。この課題に有用なのが、米国立標準技術研究所(NIST)が公開しているフレームワークだ。その中でも、AIシステムを標的とするサイバーセキュリティリスクに焦点を当てたフレームワーク「AI RMF」(Artificial Intelligence Risk Management Framework)と、組織のサイバーセキュリティ対策に関するフレームワーク「NIST CFS」(NIST Cybersecurity Framework)は、AI技術活用のリスク管理に力を発揮する。本稿は、それぞれの特徴や使い方、2つのフレームワークを効果的に併用する方法を紹介する。
NIST CSFは、元米大統領バラク・オバマ氏が発布した「Executive Order 13636: Improving Critical Infrastructure Cybersecurity」(重要インフラのサイバーセキュリティ強化に関する大統領令第13636号)を受けて2013年2月にNISTが制定した。サイバー攻撃の対策に重点を置いており、あらゆる種類や規模の組織に適用可能だ。2014年に公開されたバージョン1.0は、組織のリスク管理プロセスを以下の5つに分類している。
2024年に公開されたNIST CSFバージョン2.0では、6番目の機能として「統治」(Govern)が追加された。その目的は、組織が一丸となって「ガバナンス、リスク管理、コンプライアンス」(GRC)を保持する体制を構築し、リスク管理、セキュリティ強化に注力することだ。
NISTは2023年1月、AI RMFを公開した。NISTによると、AI RMFは「AI技術およびシステムの設計、開発、使用、評価に対する公共の信頼を育む」ことを目的の一つとしている。
AI RMFは、AI技術のリスクを管理するためにCISO(最高情報セキュリティ責任者)やIT部門のリーダーが取るべき対策を以下の4つに分類している。
AI RMFも、組織のGRCを保持する体制の確立を支援する。
NIST CSFとAI RMFの目標には共通点がある。一方AI RMFが主な対象とするのは、AIツールやソフトウェアを開発する組織だ。AIシステムの設計、開発、展開、テスト、評価、検証、妥当性の確認に注力するよう促す。
ただし、AIツールやソフトウェアを開発する立場ではなく、業務でAIツールやソフトウェアを使用している組織であってもAI RMFを活用することは可能だ。サイバーセキュリティに重点を置くNISTとAI技術のリスクに重点を置くAI RMFは、組織の規模や状況に合わせて活用できるよう設計されており、両方を使うことでリスクを包括的に管理できる体制を構築可能だ。
サイバーセキュリティとAI技術のリスクの両方に対処する上での理想的な対処は、NIST CSFとAI RMFが提示する全ての対策を講じることだ。ただし予算や人員が限られている組織は、優先順位を付けて両フレームワークを併用するのが現実的だ。
NIST CSFとAI RMFを併用する現実的な選択肢の一つに、AI技術のリスクについて定期的に議論する会議の設置がある。この会議ではテンプレートを用意して、リスクの特定、評価、管理について協議する。AI技術には、以下のリスクがある。
リスクを特定して対策を検討したら、従業員が保有したり使用したりしているAIツールを把握する。例えばAIエージェント、OpenAIが開発したAIチャットbot「ChatGPT」、画像生成AIモデル「DALL-E」などだ。従業員に調査を実施するか、ネットワーク監視システムのパフォーマンスデータ分析を通じて、使用されているAIツールを特定してリスト化する。作成したリストを基に、次に取るべき対策を検討する。
次に、表計算シートなどのツールを使って、AIツールとAI技術のリスクをひも付けよう。各AIツールに対するリスク軽減策を検討し、決定する。リスク軽減策は、組織の状況や対策に割くことができる予算や人員、リスクの重大さに応じて調整する。従業員研修や啓発も有用な取り組みだ。
NIST CSFとAI RMFは、サイバーセキュリティやAI技術の脅威を整理して組織内外に伝達するための優れたツールだ。NIST CSFが扱う範囲は広いため、NIST CSFとAI RMFの両方をAI技術のリスク管理に適用することは困難に思える可能性がある。しかし、両者はさまざまな場面で活用できるように設計されており、小規模なチームでも効果的に使うことが可能だ。
TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
