カテゴリー別アーカイブ: AI Controls Matrix

AI Controls Matrix (AICM) 速報

コメントをどうぞ

AI Controls Matrix (AICM) 速報

2025年7月10日
諸角 昌宏

本ブログは、2025年7月10日にCSA本部が公開したAI Control Matrix (AICM)について、その概要を説明します。

  1. AICMとは?

    AICMは、クラウドにおけるセキュアで信頼性の高いAIシステムのためのフレームワークを提供する管理策集です。組織がAI技術をセキュアかつ責任ある方法で開発、導入、および活用するための支援を目的とした管理策のフレームワークとなります。
    今回、CSA本部から、AIセキュリティとガバナンスのための最初のベンダーニュートラルフレームワークとして公開されました。AICMでは、以下の点で組織をサポートすることができます。

    • AI固有のリスクを評価し、管理する
    • 信頼性の高いAIシステムを構築する
    • 国際基準に準拠する

  2. AICMの構成

    AICMでは、以下の18のドメインと243の管理策で構成されます。以下が18のドメインの内容です。AICM固有に追加されたドメインがModel Security(MDS)で、それ以外の17のドメインはCCM(Cloud Controls Matrix)のドメインで、CCMのドメインにAICMとしての管理策が記述されています。

  3. AICMのアーキテクチャ

    AICMの各管理策は、以下の内容を含んでいます。

    • Control Type
      管理策がAI向け、クラウド向け、AIとクラウド向け(AI-Specific, Cloud-Specific, Cloud&AI-Related)のいずれかを明示。
    • Control Applicability and Ownership
      管理策の所有者(Cloud Service Provider(CSP), Model Provider(MP), Application Provider(AP))を表示、および、その責任共有モデル
    • Architectural Relevance – GenAI Stack Components
      対象となる物理インフラ(Network, Compute, Storageなど)
    • Lifecycle Relevance
      AIライフサイクルのうち、対象となるステージ(Preparation, Development, Evaluation, Deployment, Service Retirement)。責任を持つチーム(GRC Team, Internal Audit Team)。
    • Threat Category
      管理策に想定される脅威

  4. AICMの現在の提供状況

    下の図が、AICMとして提供するコンポーネント。また、赤で囲った部分が今回提供されたコアの部分です(MappingについてはBSI AIC4とNIST AI 600-1 (2024)を提供)。
    今後の予定

    • ISO42001とのマッピング(現在公開レビュー中)
    • Implementation Guidelines(現在公開レビュー中)
    • EU AI Actとのマッピング(作業中)
    • Auditing Guidelines(作業中)

  5. 参照

以上