予算や人手不足でも諦めない「AIリスク管理」 2大フレームワークの活用法は?AIリスク対処の現実解

AI技術が進化し、さまざまなAIツールの活用が広がる中、組織のリスク管理が課題となっている。その鍵となるNISTの「NIST CSF」と「AI RMF」を効果的に組み合わせるにはどうすればよいのか。

2025年05月02日 06時00分 公開
[Matthew SmithTechTarget]

関連キーワード

人工知能 | セキュリティ対策


 業務における人工知能(AI)技術の活用が広がる中、組織でのAI技術に関するリスク管理が急務となっている。この課題に有用なのが、米国立標準技術研究所(NIST)が公開しているフレームワークだ。その中でも、AIシステムを標的とするサイバーセキュリティリスクに焦点を当てたフレームワーク「AI RMF」(Artificial Intelligence Risk Management Framework)と、組織のサイバーセキュリティ対策に関するフレームワーク「NIST CFS」(NIST Cybersecurity Framework)は、AI技術活用のリスク管理に力を発揮する。本稿は、それぞれの特徴や使い方、2つのフレームワークを効果的に併用する方法を紹介する。

NIST CSFとは

 NIST CSFは、元米大統領バラク・オバマ氏が発布した「Executive Order 13636: Improving Critical Infrastructure Cybersecurity」(重要インフラのサイバーセキュリティ強化に関する大統領令第13636号)を受けて2013年2月にNISTが制定した。サイバー攻撃の対策に重点を置いており、あらゆる種類や規模の組織に適用可能だ。2014年に公開されたバージョン1.0は、組織のリスク管理プロセスを以下の5つに分類している。

  1. 特定(Identify)
  2. 防御(Protect)
  3. 検知(Detect)
  4. 対応(Respond)
  5. 復旧(Recover)

 2024年に公開されたNIST CSFバージョン2.0では、6番目の機能として「統治」(Govern)が追加された。その目的は、組織が一丸となって「ガバナンス、リスク管理、コンプライアンス」(GRC)を保持する体制を構築し、リスク管理、セキュリティ強化に注力することだ。

AI RMFとは

 NISTは2023年1月、AI RMFを公開した。NISTによると、AI RMFは「AI技術およびシステムの設計、開発、使用、評価に対する公共の信頼を育む」ことを目的の一つとしている。

 AI RMFは、AI技術のリスクを管理するためにCISO(最高情報セキュリティ責任者)やIT部門のリーダーが取るべき対策を以下の4つに分類している。

  1. 統治(Govern)
  2. マッピング(Map)
  3. 測定(Measure)
  4. 管理(Manage)

 AI RMFも、組織のGRCを保持する体制の確立を支援する。

 NIST CSFとAI RMFの目標には共通点がある。一方AI RMFが主な対象とするのは、AIツールやソフトウェアを開発する組織だ。AIシステムの設計、開発、展開、テスト、評価、検証、妥当性の確認に注力するよう促す。

 ただし、AIツールやソフトウェアを開発する立場ではなく、業務でAIツールやソフトウェアを使用している組織であってもAI RMFを活用することは可能だ。サイバーセキュリティに重点を置くNISTとAI技術のリスクに重点を置くAI RMFは、組織の規模や状況に合わせて活用できるよう設計されており、両方を使うことでリスクを包括的に管理できる体制を構築可能だ。

NIST CSFとAI RMFを併用するには

 サイバーセキュリティとAI技術のリスクの両方に対処する上での理想的な対処は、NIST CSFとAI RMFが提示する全ての対策を講じることだ。ただし予算や人員が限られている組織は、優先順位を付けて両フレームワークを併用するのが現実的だ。

 NIST CSFとAI RMFを併用する現実的な選択肢の一つに、AI技術のリスクについて定期的に議論する会議の設置がある。この会議ではテンプレートを用意して、リスクの特定、評価、管理について協議する。AI技術には、以下のリスクがある。

  • ディープフェイク
    • AI技術を使って合成された、事実と異なる映像や音声、写真
  • 誤ったプロンプト(AIモデルへの指示)で生じる機密情報の漏えい
  • ハルシネーション
    • AIモデルが事実に基づかない回答を出力すること

 リスクを特定して対策を検討したら、従業員が保有したり使用したりしているAIツールを把握する。例えばAIエージェント、OpenAIが開発したAIチャットbot「ChatGPT」、画像生成AIモデル「DALL-E」などだ。従業員に調査を実施するか、ネットワーク監視システムのパフォーマンスデータ分析を通じて、使用されているAIツールを特定してリスト化する。作成したリストを基に、次に取るべき対策を検討する。

 次に、表計算シートなどのツールを使って、AIツールとAI技術のリスクをひも付けよう。各AIツールに対するリスク軽減策を検討し、決定する。リスク軽減策は、組織の状況や対策に割くことができる予算や人員、リスクの重大さに応じて調整する。従業員研修や啓発も有用な取り組みだ。

 NIST CSFとAI RMFは、サイバーセキュリティやAI技術の脅威を整理して組織内外に伝達するための優れたツールだ。NIST CSFが扱う範囲は広いため、NIST CSFとAI RMFの両方をAI技術のリスク管理に適用することは困難に思える可能性がある。しかし、両者はさまざまな場面で活用できるように設計されており、小規模なチームでも効果的に使うことが可能だ。

TechTarget.AIとは

TechTarget.AI編集部は生成AIなどのサービスを利用し、米国Informa TechTargetの記事を翻訳して国内向けにお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。

譁ー逹€繝帙Ρ繧、繝医�繝シ繝代�

技術文書・技術解説 パロアルトネットワークス株式会社

複雑なセキュリティ環境において、XDRが有効な対応策である理由とは?

クラウドやIoTなど、デジタルテクノロジーの急速な進化に伴い、企業の機密データに対するリスクも飛躍的に高まることになった。サイバーセキュリティを取り巻く環境が複雑化する中、有効な対応策として注目されているのがXDRだ。

製品資料 パロアルトネットワークス株式会社

現在のSOCが抱える課題を解決、AI主導のセキュリティ運用基盤の実力とは?

最新のサイバー攻撃に即座に対応するためには、SOCを従来の在り方から変革することが重要になる。しかし、何をすればよいのか分からないという組織も多い。そこで本資料では、現在のSOCが抱えている5つの課題とその解決策を紹介する。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

製品資料 パロアルトネットワークス株式会社

SD-WANやZTNAがもたらす課題の解決策として、SASEが注目されている理由とは?

リモートワークの増加に伴い、組織は、SD-WANやZTNAなどを導入したが、現在はこれらのレガシー技術が、コストやセキュリティの面で新たな課題をもたらしている。これらの課題を解決するための手法として注目したいのが、SASEだ。

市場調査・トレンド パロアルトネットワークス株式会社

分散環境を効果的に保護、ゼロトラストネットワークアクセスを進化させる方法

「支社や拠点の増加」「従業員とデバイスの分散」「IoTデバイスの爆発的な普及」などの要因により、サイバー犯罪者にとってのアタックサーフェスが著しく拡大した。こうした中で、企業が自社の環境を効果的に保護する方法を解説する。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/31 UPDATE

  1. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  2. 繧オ繧、繝舌�謾サ謦�〒鬘ァ螳「諠��ア豬∝�縺ョ蟆丞」イ繧雁、ァ謇九€€蟆る摩螳カ縺梧音蛻、縺吶k窶懆ヲ矩€壹@縺ョ逕倥&窶�
  3. Web繧貞ョ医k縲係AF縲阪→縲軍ASP縲阪�莉慕オ�∩縺ィ縺ッ�溘€€荳。閠��驕輔>縺ッ��
  4. 驥丞ュ先橿陦薙�霆堺コ句茜逕ィ莠倶セ九€€闍ア蝗ス縺後€碁㍼蟄宣崕蟄先凾險医€阪r髢狗匱縺励◆逶ョ逧�→縺ッ
  5. 繧ェ繝シ繧ケ繝医Λ繝ェ繧「縺ァ蛟倶ココ諠��ア縺ョ豬∝�縺梧ュ「縺セ繧峨↑縺��縺ッ縺ェ縺懶シ溘€€蟄ヲ縺カ縺ケ縺肴蕗險薙→謾サ謦�セ�
  6. 繧ケ繝槭�繧貞�髮サ縺励◆縺�縺代↑縺ョ縺ォ笏€笏€繝槭Ν繧ヲ繧ァ繧「諢滓沒繧呈魚縺上€後ず繝・繝シ繧ケ繧ク繝」繝�く繝ウ繧ー縲阪→縺ッ
  7. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「髮�屮LockBit縺梧ュ蝣ア貍上∴縺�€€繝��繧ソ縺梧垓縺�◆窶懈判謦�€��闍ヲ蜉エ窶昴→縺ッ
  8. 萓ソ蛻ゥ縺�縺代←蜊ア髯コ�溘€€AI縺ョ陬丞�縺ォ貎懊�6螟ァ繝励Λ繧、繝舌す繝シ萓オ螳ウ繝ェ繧ケ繧ッ
  9. 繝代せ繝ッ繝シ繝峨h繧雁ョ牙�縺ァ隕壹∴繧�☆縺�€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪�菴懊j譁ケ
  10. 窶懆、�尅縺ェ繝代せ繝ッ繝シ繝俄€昴h繧翫€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪r蟆る摩螳カ縺悟匡繧√k逅�罰

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...