(Adobe Stock)

日本の多くの上場企業、特に製造業では、ここ数年でようやく「AI/DX」という言葉が現実のプロジェクトとして語られるようになってきました。一方で、AIを導入する際のサイバーセキュリティやリスク管理については、「専門的で難しい」「後から考えればよい」「委託業者任せ」という空気が今なお根強いのも事実です。

しかし、物流最適化、需要予測、設備保全、BCP(事業継続)支援、AIエージェント化など、AI/DXが “意思決定に強く関与する領域” に入り込むほど、セキュリティとガバナンスは後回しにできません。

今回は、AIの経験が浅い企業でも無理なく理解・導入できるよう、NIST AI RMF(AI Risk Management Framework)、Cyber AI Profile、CIS Controls v8.1を用いた三層構造によるAI/DXサイバーセキュリティ管理の考え方を解説します。

まずは、前提となる単語について説明します。

AI RMF
NISTが策定した「信頼できるAI」を実現するためのリスク管理枠組みです。AIを使ってよいか、どう責任を持つかを整理することを目的とし、技術的対策よりも、ガバナンス、説明責任、社会的影響を重視し、AIの利用目的や影響範囲、誤作動時の対応までをカバーします。「GOVERN」「MAP」「MEASURE」「MANAGE」の四機能から構成され、経営・法務・リスク管理層が中心となって活用する上位概念のフレームワークです。

Cyber AI Profile
NIST CSF 2.0を基盤に、AI特有のサイバーセキュリティリスクに対応する実践的プロファイルです。AIをITシステムの一部として捉え、「AIそのものを守る(Secure)」「AIで守る(Defend)」「AIを使った攻撃に備える(Thwart)」の3つの視点で整理されています。既存のCSF運用にAI要素を無理なく組み込み、組織としてAIをどう管理し続けるかを設計する中間レイヤの指針となっています。

CIS Controls v8.1
実際の攻撃事例に基づいて優先順位付けされた18のセキュリティ対策群で、「現場で何を実装すべきか」を明確に示す実践的フレームワークです。Implementation Group(IG1〜IG3)により、組織規模や成熟度に応じた段階的導入が可能で、AIやLLM*利用時の具体的なセーフガードも提示されています。小規模から大企業まで適用しやすく、AI/DX初期の技術・運用対策の土台として有効です。

では、三層構造によるAI/DXサイバーセキュリティ管理に話を進めます。

*) LLM: Large Language Model、大量のテキストを学習し、人のように文章生成や対話を行うAIモデル