AIを「賢く」する前に、考えるべきサイバーセキュリティ管理
第48回:フレームワーク利用の三層構造
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
2026/05/26
企業を変えるBCP
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
日本の多くの上場企業、特に製造業では、ここ数年でようやく「AI/DX」という言葉が現実のプロジェクトとして語られるようになってきました。一方で、AIを導入する際のサイバーセキュリティやリスク管理については、「専門的で難しい」「後から考えればよい」「委託業者任せ」という空気が今なお根強いのも事実です。
しかし、物流最適化、需要予測、設備保全、BCP(事業継続)支援、AIエージェント化など、AI/DXが “意思決定に強く関与する領域” に入り込むほど、セキュリティとガバナンスは後回しにできません。
今回は、AIの経験が浅い企業でも無理なく理解・導入できるよう、NIST AI RMF(AI Risk Management Framework)、Cyber AI Profile、CIS Controls v8.1を用いた三層構造によるAI/DXサイバーセキュリティ管理の考え方を解説します。
まずは、前提となる単語について説明します。
AI RMF
NISTが策定した「信頼できるAI」を実現するためのリスク管理枠組みです。AIを使ってよいか、どう責任を持つかを整理することを目的とし、技術的対策よりも、ガバナンス、説明責任、社会的影響を重視し、AIの利用目的や影響範囲、誤作動時の対応までをカバーします。「GOVERN」「MAP」「MEASURE」「MANAGE」の四機能から構成され、経営・法務・リスク管理層が中心となって活用する上位概念のフレームワークです。
Cyber AI Profile
NIST CSF 2.0を基盤に、AI特有のサイバーセキュリティリスクに対応する実践的プロファイルです。AIをITシステムの一部として捉え、「AIそのものを守る(Secure)」「AIで守る(Defend)」「AIを使った攻撃に備える(Thwart)」の3つの視点で整理されています。既存のCSF運用にAI要素を無理なく組み込み、組織としてAIをどう管理し続けるかを設計する中間レイヤの指針となっています。
CIS Controls v8.1
実際の攻撃事例に基づいて優先順位付けされた18のセキュリティ対策群で、「現場で何を実装すべきか」を明確に示す実践的フレームワークです。Implementation Group(IG1〜IG3)により、組織規模や成熟度に応じた段階的導入が可能で、AIやLLM*利用時の具体的なセーフガードも提示されています。小規模から大企業まで適用しやすく、AI/DX初期の技術・運用対策の土台として有効です。
では、三層構造によるAI/DXサイバーセキュリティ管理に話を進めます。
*) LLM: Large Language Model、大量のテキストを学習し、人のように文章生成や対話を行うAIモデル
企業を変えるBCPの他の記事
おすすめ記事
困難な工場のサイバーセキュリティ強化机上訓練で隠れていた現場力を発掘(参天製薬)
製造業にとって最も避けたい、売上に直結するサイバー攻撃による工場の稼働停止。しかし、セキュリティ対策の導入は工場ならではの困難があり、簡単にはいかない。参天製薬(大阪市北区、伊藤 毅代表取締役社長)は、サプライアーのランサムウェア感染をきっかけに、2017年から国内外の工場のサイバーセキュリティ対策を強化。工場との対話を重ね、着実に進めている。
2026/07/10
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2026/07/07
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2026/07/05
「情シス任せ」「コンサル任せ」では終わる
社会機能の維持に欠かせない業種でサイバーインシデントが相次いでいます。事業停止の影響は一企業のビジネスの域を超えサプライチェーン全体に波及。いまやセキュリティは経営の重要課題です。企業を取り巻くサイバーリスクと求められる対策について、日立ソリューションズの扇健一氏と辻󠄀敦司氏に聞きました。
2026/07/03
W杯に水を差したDAZN契約プラン表示が原因で大炎上
世界最大のスポーツイベントであるサッカーのW杯が6月12日に開幕。日本は1勝1分けで決勝トーナメント進出を大きく引き寄せている。その裏でW杯の視聴契約を巡ってSNSで大炎上していたのが、スポーツコンテンツの配信会社であるDAZNだ。W杯の全試合を視聴できる年間契約プラン表記に問題があり、13日にお詫びを発表した。しかしその対応も反感を買い、炎上は継続。最終的には年間プラン自体を取り下げた。DAZNの何が問題だったのか、消費者問題に詳しい住田 浩史弁護士に聞いた。
2026/06/23
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方