CSAジャパン　AIワーキンググループメンバー　諸角昌宏

本ブログは、AIのクラウドセキュリティへの活用としてCSAが提供しているValid-AI-tedについて解説します。このValid-AI-tedツールは、最先端のLLM技術を用いて強化されたAIの革新的な利用方法となります。

Valid-AI-tedとは

Valid-AI-tedは、クラウドサービスプロバイダがクラウドサービスのセキュリティについて自己評価（Self-Assessment）した結果をAIが評価し、合格するとValid-AI-tedバッジが与えられるものです。

CSAでは、以前よりクラウドサービスプロバイダがCAIQ（Consensus Assessment Initiative Questionnaire）を使用して、その評価レポートを公開できるウエブサイトとしてSTAR Registryを提供していました。これにより、クラウドサービス利用者は、利用しようとしているクラウドサービスのセキュリティについて、STAR Registryから該当するクラウドサービスのCAIQ評価レポートをダウンロードし、自らの要求事項を満たしているかどうかを評価することができます。STAR Registryの詳細についてはこちらを参照してください。
Valid-AI-tedの登場により、クラウドサービスプロバイダは、今までは自己評価だけであったものが、AIを活用して評価することとなり、評価の質を高め、信頼性を大きく向上することができます。また、クラウドサービスプロバイダが行う監査の前の自己チェックや改善点の特定に用いることができます。クラウドサービス利用者は、より信頼性の高い評価レポートを入手することができます。

Valid-AI-ted概要

Valid-AI-tedでは、クラウドサービスプロバイダがSTAR Registryに公開しているCAIQ評価レポートをAIが評価し、合格するとValid-AI-tedバッジ（セルフアセスメントがセキュリティベースラインを達成していることを保証）がSTAR Registry上に表示されます。
CAIQでは、クラウドサービスプロバイダが自己評価した結果を記載します（下図の赤丸の部分）が、その中の「CSP Implementation Description」には、その管理策に対する実装・実施方法の説明（逆に、管理策が実装・実施されていない場合にはその理由）が記述されます。Valid-AI-tedは、この「CSP Implementation Description」の内容をAIが評価します。また、Valid-AI-tedは評価するだけではなく、詳細なフィードバックと修正ガイダンスをすぐに提供します。これにより、クラウドサービスプロバイダはどのような追加対策等を取る必要があるかを知ることができます。

また、評価のベースになるのが、CCM（Cloud Controls Matrix）のImplementation Guidelinesになります。CCMは、CSAが提供するクラウドセキュリティ管理策集です。CCMでは、管理策を記述するだけでなく、以下の図で示すような情報を含んでいます。

CCMのEXCELシートのタグにあるImplementation Guidelinesには、管理策の実装方法が書かれており、この内容がValid-AI-tedの評価のベースとなっています。
以上のように、Valid-AI-tedは、既存のCSAのガバナンス・フレームワーク（STAR認証、CCM、CAIQ）をそのまま維持し、その上にAIによる評価を構築したものとなっています。

Valid-AI-tedのメリット

以下の表に、Valid-AI-tedのメリットについてまとめてみました。クラウドサービスプロバイダ（CSP）、クラウドサービス利用者（CSC）、監査者（Auditor）のそれぞれについて、既存のSTAR Level1:セルフアセスメントとValid-AI-tedによる評価を比較しています。今までのセルフアセスメントもメリットがあるのですが、Valid-AI-tedにより、より多くのメリットを享受することができます。

Valid-AI-tedの今後の展開

2025年12月31日時点で、Valid-AI-tedバッジを取得しているクラウドサービスプロバイダは12社あります。その中には、GoogleやMicrosoftなどのメガプロバイダも含まれています。STAR Registryに登録されているクラウドサービスプロバイダは4,000社を超えており、これらが順次Valid-AI-ted対応を進めていくことになることを考えると、Valid-AI-tedが幅広く利用される状況になっていくものと思われます。

また、ここからは個人的な考えになりますが、Valid-AI-tedを現在のCAIQを使った評価だけでなく、様々な標準に対応できたら素晴らしいと考えています。たとえば、日本のISMAPやJC-STARの評価、国際的なISMSの評価、その他様々な監査などです。アーキテクチャ的には可能であると思われます。CSAは、ベンダーニュートラルの組織で、様々なリサーチ活動を行っています。もし、このような取り組みに関心がありましたら、info @ cloudsecurityalliance.jp(アットマークの前後の空白を削除)までメールでご連絡ください。一緒にやりましょう！

その他、関連情報

• 「Valid-AI-ted Overview」の内容の日本語ブログ
  https://cloudsecurityalliance.jp/newblog/2025/06/16/validaited/
• Valid-AI-tedの利用方法（英語）については、以下のウエブサイトを参照してください。
  https://cloudsecurityalliance.org/artifacts/overview-of-csa-star-level-1-valid-ai-ted
• Valid-AI-tedの日本語ウエブサイト
  https://www.cloudsecurityalliance.jp/site/?page_id=41724

以上