前回は、シンガポールサイバーセキュリティ庁のスタートアップ／SMBを対象としたサイバーエッセンシャルズマークに基づいて開発された人工知能（AI）セキュリティ固有のガイドを紹介したが、今回は、大企業／インフラ系クラウドサービスプロバイダー（CSP）を対象としたサイバートラストマークのAIセキュリティ版ガイドを紹介する。

シンガポール政府が大企業／CSP向けAIセキュリティガイドラインを提供

シンガポールサイバーセキュリティ庁のサイバートラストマークとCSA STAR認証との間には、相互承認制度（MRA：Mutual Recognition Agreement）が確立されている。サイバートラストマークの各管理策項目に対応するCCM v4の管理策項目については、「CSA サイバートラストとクラウドセキュリティアライアンス・クラウドコントロールマトリクスv4のクロスマッピング」で公開されている（https://isomer-user-content.by.gov.sg/36/2afb6128-5b9b-4e32-b151-5c6033b993f1/Cloud-Security-Companion-Guide-Cyber-Trust.pdf）。

以下では、サイバートラストマーク認証関連文書（https://www.csa.gov.sg/our-programmes/support-for-enterprises/sg-cyber-safe-programme/cybersecurity-certification-for-organisations/cyber-trust/certification-for-the-cyber-trust-mark/）の1つとして公開されている「サイバートラスト(2025) マーク – 自己評価テンプレート」より、サイバートラストマークの各管理策項目におけるAIセキュリティ固有の管理策およびフォーカス領域を紹介する。

————————————————
【サイバートラスト】B.1 ドメイン: ガバナンス
————————————————
【サイバートラスト】
B.1.3 組織は、事業の文脈においてサイバーセキュリティの重要性を高めるためのプラクティスを確立・実装しており、従業員、顧客、パートナーなどのステークホルダー全員にその重要性を伝えている。
【AIセキュリティ固有の管理策】
・このようなプラクティスには、以下のようなメカニズムの確立が含まれる：
–組織が、自社のAIシステムに関する必要なセキュリティ情報をユーザーやその他の関係者に提供すること（例：組織内でのAIシステムの適正使用ポリシーなど）
–従業員や外部関係者が、組織内のAIシステムに関するセキュリティ上の懸念を報告できるようにすること。
【フォーカス領域】
・サイバーセキュリティの重要性の理解
————————————————
【サイバートラスト】
B.1.4 組織は、サイバーセキュリティプログラムの実装を監督し、組織内のサイバーセキュリティリスクを管理する責任者（例：最高情報セキュリティ責任者〈CISO〉）が誰であるかを明確にするために、役割と責任を定義し、割り当てている。
【AIセキュリティ固有の管理策】
・AIが倫理、法務、リスク管理など複数の組織機能にまたがる学際的な性質を持つことから、組織はAIセキュリティに関する役割と責任を定義し、適切に割り当てている。
【フォーカス領域】
・役割と責任の定義
————————————————
【サイバートラスト】
B.1.5 取締役会および／または上級管理職は、サイバーセキュリティに関する十分な専門知識を有しており、サイバーセキュリティ戦略、方針、手順、ならびにリスク管理の実装を承認し、監督する役割を担っている。
【AIセキュリティ固有の管理策】
・取締役会および／または上級管理職は、AIに特有のリスク（例：AIへの過度な依存）に関連する影響を考慮した適切な経営判断を下すために、AIセキュリティに関する十分な専門知識を有しているべきである。
【フォーカス領域】
・取締役会および／または上級管理職の関与
————————————————
【サイバートラスト】
B.1.6 組織は、サイバーセキュリティの目標／目的を策定しており、それらは少なくとも年に一度、取締役会および／または上級管理職によって見直し・承認され、方針や手順を通じて実装されている。
【AIセキュリティ固有の管理策】
・これには、AIシステムの安全な利用を導くための目的を特定し文書化すること、そしてそれらのシステムが意図された目的に沿って使用されることを確保することが含まれる。
【フォーカス領域】
・サイバーセキュリティ目標の達成
————————————————
【サイバートラスト】
B.1.7 取締役会および／または上級管理職は、サイバーセキュリティに関する取り組みや活動について定期的に議論し、サイバーセキュリティリスクを監督・監視するための専任のサイバーセキュリティ委員会／フォーラムを設置しており、組織のサイバーセキュリティ方針、手順、法規制の要求事項への準拠を確保している。
【AIセキュリティ固有の管理策】
・サイバーセキュリティ委員会／フォーラムは、急速に進化するAIセキュリティのプラクティスやガバナンスの動向を把握するための施策を実装しており、例えばAIの特別研究会への参加などが含まれる。
【フォーカス領域】
・サイバーセキュリティ委員会／フォーラムの設置

————————————————
【サイバートラスト】B.2 ドメイン: ポリシーと手順
————————————————
【サイバートラスト】
B.2.3 組織は、サイバーセキュリティリスクの管理に採用しているプロセス、業界のベストプラクティスや標準、そして情報資産を保護するための対策について、従業員に定期的に伝達・更新するためのプラクティスを実装している。
【AIセキュリティ固有の管理策】
・AIの学際的な性質により、AIセキュリティが組織内の他の機能領域と交差する場面において、組織は部門横断的またはチーム横断的なコミュニケーションの取り組みを実装している。
【フォーカス領域】
・サイバーセキュリティに関する指針や要求事項を従業員に定期的に伝達すること
————————————————
【サイバートラスト】
B.2.4 組織は、サイバーセキュリティリスクを管理し、自身の環境における情報資産を保護するために、関連する要求事項、指針、方針を取り入れたポリシーおよび手順を策定・実装しており、従業員が明確な指針と方向性を持てるようにしている。
【AIセキュリティ固有の管理策】
・組織は、AIシステムの安全な利用のためのポリシーおよび手順を策定・実装しており、それらを他の組織内のポリシーや手順（例：全社的リスク管理やサイバーセキュリティリスク管理）と統合している。
【フォーカス領域】
・ポリシーおよび手順の策定
————————————————
【サイバートラスト】
B.2.8 組織は、自身のサイバーセキュリティに関するポリシーおよび手順の遵守を確保するために、必要な対策を策定・実装している。
【AIセキュリティ固有の管理策】
・これには、AIシステムの安全な利用を確保するためのポリシーおよびプロセスが含まれており、組織のポリシーに従って、AIシステムの安全な利用に関するプロセスを定義し文書化することも含まれる。
【フォーカス領域】
・ポリシーおよび手順の遵守を確保するための対策の策定

————————————————
【サイバートラスト】B.3 ドメイン: リスクマネジメント
————————————————
【サイバートラスト】
B.3.1　組織は、環境内のサイバーセキュリティリスクを特定しており、オンプレミスのリスクに加え、該当する場合にはリモート環境におけるリスクも含めて、特定されたすべてのサイバーセキュリティリスクに対処できるようにしている。
【AIセキュリティ固有の管理策】
・組織は、以下を含むAI特有のリスクを考慮に入れている：
–悪意ある攻撃や従業員による意図しないデータ漏えいに起因するデータ漏えいのリスク
–データおよび／またはAIモデルの完全性が損なわれることによって、AIシステムから意図しない出力が生じるリスク（組織のAIシステムに対して適切な人間による監視を行うための仕組みも含む）
【フォーカス領域】
・リスクの特定と是正対応
————————————————
【サイバートラスト】
B.3.5 組織は、サイバーセキュリティリスクを特定し、依存関係を評価し、既存の対策を検証するためのリスク評価プロセスを定義・適用しており、サイバーセキュリティリスクの評価方法を明確にしている。
【AIセキュリティ固有の管理策】
・組織は、AIシステムに対するサイバーセキュリティリスク評価において、以下のような活用されているリソースを考慮し、文書化している:
–データ資産
–ソフトウェア資産
–システムおよび計算処理リソース
–従業員によるAIの利用
これにより、リスクと影響を十分に理解している。
【フォーカス領域】
・リスク評価プロセスの定義
————————————————
【サイバートラスト】
B.3.9 組織は、取締役会および／または経営陣によって承認されたサイバーセキュリティリスクの許容度およびリスク許容声明を策定しており、受容可能なサイバーセキュリティリスクの種類と水準について、組織内で合意が得られていることを確保している。
【AIセキュリティ固有の管理策】
・重大または重要なAIセキュリティリスク（例：AIの集中リスク、AIへの過度な依存）が軽減できない場合には、そのトレードオフおよび適切な緩和策について、取締役会および／または経営陣に報告し、承認を得る必要がある。
【フォーカス領域】
・サイバーセキュリティリスクの許容度および許容範囲の策定
————————————————
【サイバートラスト】
B.3.12 組織は、残留するサイバーセキュリティリスクが自社のリスク許容度および許容範囲内に収まるよう、逸脱を確認・評価するための方針およびプロセスを策定・実装している。
【AIセキュリティ固有の管理策】
・AIシステムを導入している組織では、逸脱を確認・評価するための方針およびプロセスに、意図した成果を達成する能力に影響を及ぼす可能性のあるデータやモデルのドリフトを監視する方法が含まれており、それによってAIリスクの曝露状況が変化する可能性がある。
【フォーカス領域】
・リスクレビュー

————————————————
【サイバートラスト】B.4ドメイン: サイバー戦略
————————————————
【サイバートラスト】
B.4.5 組織は、サイバーレジリエンスを確保し、人材・プロセス・技術の観点からサイバーセキュリティ脅威に対抗するためのサイバーセキュリティ戦略を策定している。この戦略は、計画された目標を一定期間内に達成するためのロードマップへと具体化されている。
【AIセキュリティ固有の管理策】
・サイバーセキュリティ戦略およびロードマップでは、組織のAIシステムの安全な利用を導くための目標が特定され、文書化されている
【フォーカス領域】
・サイバーセキュリティ戦略とロードマップ
————————————————
【サイバートラスト】
B.4.9 組織は、事業目標との整合性を確保し、変化するサイバー脅威の状況を考慮するために、サイバーセキュリティ戦略、ロードマップおよび作業計画を少なくとも年に一度見直し、更新している。
【AIセキュリティ固有の管理策】
・組織はまた、AIの導入が進む中で、AIに関連する脅威の状況も考慮に入れている。
【フォーカス領域】
・サイバーセキュリティ戦略、ロードマップおよび作業計画の更新

————————————————
【サイバートラスト】B.5 ドメイン: コンプライアンス
————————————————
【サイバートラスト】
B.5.1 組織は、自社の事業領域に適用されるサイバーセキュリティ関連の法律、規制、および（業界特有の）ガイドラインを特定し、それらに準拠するための対応を行っている。
【AIセキュリティ固有の管理策】
・関連する法律、規制およびガイドラインを特定するにあたり、組織は自社が事業を展開する国々におけるAI規制の新たな動向も考慮に入れている。
【フォーカス領域】
・サイバーセキュリティ関連の法律および規制の領域の特定

————————————————
【サイバートラスト】B.8 ドメイン: 資産管理
————————————————
【サイバートラスト】
B.8.3 組織は、環境内のハードウェアおよびソフトウェア資産を安全に分類・取り扱い・廃棄するためのセキュリティ要求事項、ガイドライン、および具体的な手順に関するポリシーと手順を策定・実装しており、従業員が明確な指針と指導を得られるようにしている。
【AIセキュリティ固有の管理策】
・AIに使用される、またはAIのために使用される組織のデータの分類、安全な取り扱いおよび削除に関して、組織はAIモデルおよびそれらの学習に使用されたトレーニングデータをポリシーと手順の中に含めている
【フォーカス領域】
・資産の取り扱いに関するポリシーおよび手順
————————————————
【サイバートラスト】
B.8.9 組織は、ハードウェアおよびソフトウェア資産を追跡して管理するために、適切な、業界で認識されている資産インベントリ管理システムの使用を確立し、実装している。これにより、正確性を確保し、見落としを避けることができる。
【AIセキュリティ固有の管理策】
・組織の資産インベントリ管理システムには、AIツール、サービス、またはシステムを追跡・管理する機能が備わっている
【フォーカス領域】
・資産インベントリ管理システム

————————————————
【サイバートラスト】B.9 ドメイン: データ保護とプライバシー
————————————————
【サイバートラスト】
B.9.5 組織は、リスク分類を行い、機密性および機微度レベルに従ってビジネスに重要なデータ（個人データ、企業秘密、知的財産など）を取り扱うためのポリシーおよび手順を確立し、実装している。これにより、データが適切なセキュリティおよび保護を受けることを保証する。
【AIセキュリティ固有の管理策】
・組織は、従業員が組織内のデータセットのうち、社内外のAIツールやサービス（例：生成系AI）で使用され得るものを識別できるように、分類および取り扱いに関するポリシーと手順を策定・実装している。
【フォーカス領域】
・高度に機密性の高い資産の取り扱いに関する対策
————————————————
【サイバートラスト】
B.9.6 組織は、業務上重要なデータ（個人データ、企業秘密、知的財産を含む）が、組織内の情報システムやプログラムを通じてどのように流れるかを文書化するためのデータフロー図に関するポリシーと手順を策定・実装しており、これらのデータが組織の環境内に留まるよう、適切な管理措置も実装している。
【AIセキュリティ固有の管理策】
・組織のAI向けデータフロー図には、AIシステムに関連するデータの文書化が含まれており、以下の内容が示されている:
–AIシステムの学習に使用されたデータ（該当する場合）
–AIシステムへの入力データ（プロンプトなどを含む）
–AIシステムからの出力データ
【フォーカス領域】
・データフロー図の作成
————————————————
【サイバートラスト】
B.9.7 組織は、業務上重要なデータ（個人データ、企業秘密、知的財産など）を安全に取り扱い、分類や要求事項（収集、利用、保護、廃棄など）に応じて保護するためのポリシーと手順を策定・実装している。
【AIセキュリティ固有の管理策】
・組織は以下の項目について、安全な取り扱いを実装している:
–AIシステムへの入力データ
–データモデル（該当する場合）
–AIシステムからの出力データ
AIシステムへの入力データの安全な取り扱いの例には、以下の対策が含まれる:
–データの完全性
–データの来歴
–データの検証および／または無害化
–クエリインタフェースの保護（データへのアクセス、改ざん、持ち出しの試みを検知・緩和するためのガードレールやクエリのレート制限など）
AIモデルの安全な取り扱いの例には、以下の対策が含まれる
–ハッシュや署名によるモデルの検証
–導入前のAIシステムのセキュリティ評価（ベンチマーク、セキュリティテスト、レッドチームによる検証など）
AIシステムからの出力データの安全な取り扱いの例には、以下の対策が含まれる:
–出力データの完全性の検証
–利用者にとって有用な出力を生成しつつ、攻撃者に不要な情報を漏らさないようにすること
【フォーカス領域】
・データの安全な取り扱いに関するポリシーおよび手順
————————————————
【サイバートラスト】
B.9.10 組織はデータを保護するために暗号化を使用しており、暗号鍵管理ライフサイクル全体で鍵が安全に取り扱われることを保証するための暗号化ポリシーおよびプロセスを確立し、実装している。
【AIセキュリティ固有の管理策】
・機微なデータに対して、組織はデータ保護のために匿名化や差分プライバシー（該当する場合）などのプライバシー保護技術の活用を検討している。
【フォーカス領域】
・暗号ポリシーの策定

————————————————
【サイバートラスト】B.12 ドメイン: システムセキュリティ
————————————————
【サイバートラスト】
B.12.4 組織は、すべてのシステム、サーバー、オペレーティングシステム、およびネットワーク機器に対して安全な構成が適用されるよう、プロセスを定義し、運用している。
【AIセキュリティ固有の管理策】
・安全な構成管理の一環として、組織はAIモデルの複雑性および利用目的に対するモデルの適合性を考慮しており、複雑なモデルは追加のソフトウェアパッケージやライブラリを伴う可能性があるため、攻撃対象領域が拡大することを認識している。
【フォーカス領域】
・安全な構成を適用するためのプロセスの実装
————————————————
【サイバートラスト】
B.12.8 組織は、セキュリティ構成に関する要求事項、ガイドライン、および詳細な手順についての方針と手順を策定・実施しており、それらがセキュリティ基準に整合していることを確保している。
【AIセキュリティ固有の管理策】
・AIに対する安全な構成に関する組織のポリシーおよび手順には、ベストプラクティスが組み込まれている。
例としては以下が挙げられる:
–モデルのハードニング（強化）、例：敵対的学習の活用
–ガードレールの使用を含むプロンプトエンジニアリングのベストプラクティス
–AIシステムへのクエリ頻度の監視および制限
–攻撃耐性を高めるためのモデルアンサンブル（複数モデルの組み合わせ）の活用
【フォーカス領域】
・セキュリティ構成に関するポリシーおよび手順をセキュリティ基準に整合させること

————————————————
【サイバートラスト】B.13 ドメイン: ウイルス対策／マルウェア対策
————————————————
【サイバートラスト】
B.13.8 組織は、外部機関からの脅威インテリジェンスに加入し、ウイルスやマルウェア攻撃を含むサイバー攻撃に関する情報の共有および検証を行うためのポリシーとプロセスを策定・実装している。
【AIセキュリティ固有の管理策】
・組織は、AIを標的とする攻撃者など、AI特有の脅威に対する可視性を維持するためのポリシーおよびプロセスを策定・実装しており、AI関連の脅威情報への加入や、AIに関する専門グループ等への参加を通じて、新たな脅威や脆弱性に関する早期警戒や助言を受けられる体制を整えている。
【フォーカス領域】
・脅威インテリジェンスの利用

————————————————
【サイバートラスト】B.14 ドメイン: 安全なソフトウェア開発ライフサイクル（SDLC）
————————————————
【サイバートラスト】
B.14.3 組織は、システムおよび／またはアプリケーションの開発において、セキュリティガイドラインおよび要求事項を策定・実装している。
例としては以下が挙げられる:
–セキュアコーディングの実施
–APIキーの安全な管理
–オープンソースを含むサードパーティソフトウェアのセキュリティポスチャーの確認
–ベストプラクティスや標準規格への準拠
これらを通じて、セキュリティ原則の遵守を確保している。
※補足：シンガポールでは、Safe App Standard により、モバイルアプリ開発に必要なセキュリティ管理策やベストプラクティスに関する指針が提供されている。
【AIセキュリティ固有の管理策】
・これらのセキュリティガイドラインおよび要求事項は、組織のAIシステムのライフサイクル全体（すなわち、以下の各段階）にわたって策定・実施されている:
–設計
–開発
–デプロイ
–運用および保守
【フォーカス領域】
・安全なSDLCガイドラインおよび要求事項の策定
————————————————
【サイバートラスト】
B.14.4 組織は、ソフトウェア開発ライフサイクル（SDLC）を管理するために、サイバーセキュリティ対策および要求事項を組み込んだSDLCフレームワークを策定・実装しており、これによりデータの完全性、認証、認可、責任追跡、例外処理などの領域に対応できる体制を整えている。
【AIセキュリティ固有の管理策】
・組織は、AI（人工知能）に適したSDLC（ソフトウェア開発ライフサイクル）フレームワークを導入・運用しており、以下の要素が含まれている:
–セキュアな設計
–セキュアな開発
–セキュアなデプロイ
–セキュアな運用および保守
【フォーカス領域】
・セキュアなSDLCフレームワークの策定
————————————————
【サイバートラスト】
B.14.6 組織は、システムおよび／またはアプリケーションの展開前にセキュリティテストを実施し、セキュリティ上の弱点や脆弱性を特定するためのポリシーおよびプロセスを策定・実装している。
【AIセキュリティ固有の管理策】
・これには、組織のAIシステムに対するセキュリティテスト（例：敵対的テスト）が含まれている。
【フォーカス領域】
・安全なシステムおよび／またはアプリケーションの開発

————————————————
【サイバートラスト】B.16 ドメイン: サイバー脅威管理
————————————————
【サイバートラスト】
B.16.4 組織は、脅威や異常の検出を目的としてセキュリティログを監視するための要求事項、ガイドライン、および具体的な手順を明記したログ監視のポリシー、プロセスおよび手続きを策定・実装している。
【AIセキュリティ固有の管理策】
・ログ監視に関するポリシー、プロセスおよび手順には、以下の内容が含まれている:
–AIモデルまたはAIシステムへの入力に対する攻撃や不審な活動の監視
–AIモデルまたはシステムの出力およびパフォーマンスの監視
【フォーカス領域】
・ログ監視に関するポリシー、プロセスおよび手順
————————————————
【サイバートラスト】
B.16.11 組織は、IT環境内に潜む脅威を積極的に探索するための対策およびプロセスを策定・実装している。
【AIセキュリティ固有の管理策】
・これには、組織のAIシステムに対してレッドチーム演習を実施するなどの対策も含まれる。
【フォーカス領域】
・積極的な脅威ハンティング

————————————————
【サイバートラスト】B.17 ドメイン: サードパーティリスクと監督
————————————————
【サイバートラスト】
B.17.3 組織は、サードパーティがサービス提供時にサイバーセキュリティに関する責務や期待事項を満たすよう、サードパーティとの間でサービスレベル契約（SLA）を策定・実装している。
【AIセキュリティ固有の管理策】
・組織がAIサプライヤーと締結しているサービスレベル契約（SLA）には、AIセキュリティに関連する重要な項目が盛り込まれている。
例としては、以下のような内容が含まれる:
–AIサービスのパフォーマンス指標（例：可用性）
–情報セキュリティ要求事項（サプライヤーのセキュリティ責任を含む）
–セキュリティのために導入されたガードレールやその他の対策
–変更管理プロセス（例：ソフトウェアのアップデート）
–ログ取得および監視の運用
–インシデント対応の運用方法
–サプライヤーのAIモデルの学習における、組織のデータの利用
【フォーカス領域】
・サービスレベル契約（SLA）
————————————————
【サイバートラスト】
B.17.4 組織は、サードパーティに対して最低限のサイバーセキュリティ要求事項が定義されていることを確保し、サードパーティが自らのセキュリティ上の責務を認識するよう周知するとともに、システムおよびデータのセキュリティが確保されるよう対策を策定・実装している。
【AIセキュリティ固有の管理策】
・これには、可能な場合において、組織のAIプロバイダとの間でAIに関するセキュリティの共有責任モデルを確立することも含まれており、以下の内容を対象としている:
–組織が責任を負うセキュリティ領域（顧客の期待やニーズを満たす責任を含む）
–サプライヤーおよび／またはサードパーティパートナーが責任を負うセキュリティ領域
【フォーカス領域】
・サードパーティのセキュリティ責務
————————————————
【サイバートラスト】
B.17.5 組織は、サードパーティと契約を締結する前やオンボーディングの段階で、提供されるサービスの種類に応じたリスクに基づき、必要なセキュリティ義務をすべて満たしていることを確認するための評価措置を策定・実装している。
【AIセキュリティ固有の管理策】
・これには、プロジェクトのリスクレベルに基づき、サードパーティが満たすべき最低限のサイバーセキュリティ要求事項の評価が含まれている。
–外部のモデル提供者に対して: 提供者自身のセキュリティポスチャーに関するデューデリジェンス評価
–外部のソフトウェアライブラリ（オープンソースを含む）に対して: ライブラリのデューデリジェンス評価（例：AIコードのチェック、脆弱性スキャン、脆弱性情報データベースとの照合など）
–外部APIに対して: 組織外のサービスに送信されるデータに対する制御の実施（例：機微な情報を送信する前に、ユーザーにログインして確認を求める）
信頼できるソース以外のモデルやコードを使用する場合、組織は適切な制御策（例：サンドボックス化）を実施している。
【フォーカス領域】
・サードパーティの関与時に実施するセキュリティ評価

————————————————
【サイバートラスト】B.18 ドメイン: 脆弱性評価
————————————————
【サイバートラスト】
B.18.4 組織は、少なくとも年に一度、システムに対して非侵入型のスキャンを実施し、脆弱性を発見するための定期的な脆弱性評価を行っている。
【AIセキュリティ固有の管理策】
・脆弱性評価には、組織のAIシステムも含まれている。
【フォーカス領域】
・定期的な脆弱性評価の実装

————————————————
【サイバートラスト】B.20 ドメイン: ネットワークセキュリティ
————————————————
【サイバートラスト】
B.20.6 組織は、ネットワークをプライベートネットワークとパブリックネットワークに分離するためのネットワークセグメンテーションのプロセスを定義し、実装している。プライベートネットワークには業務上重要なデータが保持されており、インターネットとは接続されていないことで、外部の脅威から隔離された状態が確保されている。
【AIセキュリティ固有の管理策】
・ネットワークセグメンテーションの一環として、組織はAIシステムと他の社内システムとの接続を管理するための対策を実装している。例えば、データの機微性に基づいて接続を制御するなどの方法が取られている。
【フォーカス領域】
・ネットワークセグメンテーションの実装

なお、シンガポールサイバーセキュリティ庁がクラウドセキュリティアライアンスと共同で策定した「サイバートラストマーク：クラウドセキュリティコンパニオンガイド」に関連して、AWS版（https://d1.awsstatic.com/whitepapers/compliance/CSA_Cyber_Trust_mark_certification_Cloud_Companion_Guide.pdf）のほか、Huawei版（https://res-static.hc-cdn.cn/cloudbu-site/intl/en-us/TrustCenter/WhitePaper/Best%20Practices/Singapore_CSA_Cyber_Trust_mark_Cloud_Companion_Guide.pdf）のコンパニオンガイドも公開されている。現在、クラウドセキュリティアライアンスは、「サイバートラスト向けクラウドセキュリティコンパニオンガイド」からAIセキュリティへの拡張領域に関連して、「AI Controls Matrix (AICM)」や「STAR for AI」など、様々な新規サービスやドキュメントを公開しているが、HuaweiやAlibaba Cloudなど、中国系CSPがどのように対応していくのか注目される。

CSAジャパン関西支部メンバー
健康医療情報管理ユーザーワーキンググループリーダー
笹原英司