ガバナンス ─ NIST、ISO 42001、EU AI Act、MITRE ATLASをどう使うか

2026/05/02

第9章: ガバナンス ─ NIST、ISO 42001、EU AI Act、MITRE ATLASをどう使うか

4ガバナンスフレームワークの四象限

第1部・第2部は技術的な攻撃と防衛だった。本章はガバナンスとコンプライアンスに視点を上げる。法務・調達・SOC・コンプラ部門と話すための「共通言語」を持つ章だ。エンジニアにとって退屈に見えるかもしれないが、2026年8月のEU AI Act 全面施行を境に「知らなかった」では済まない領域になる。

本章の主役は4つ：

graph TD
    Org[あなたの組織] --> N[NIST AI RMF<br/>1.0 + 600-1<br/>米国デファクト・概念整理]
    Org --> I[ISO/IEC 42001<br/>マネジメントシステム<br/>調達要件]
    Org --> E[EU AI Act<br/>規制・罰則<br/>域外適用]
    Org --> M[MITRE ATLAS<br/>技術的脅威モデリング<br/>SOCの語彙]

それぞれが異なる質問に答える。順に見ていこう。

NIST AI RMF（1.0 + Generative AI Profile）─ 概念の整理板

NIST AI RMF 1.0（2023年1月）が基盤、その上に NIST AI 600-1 Generative AI Profile（2024年7月）が乗る構造。「2.0 がリリース済み」という二次情報があるが、NIST公式は依然1.0を主軸にしているので、引用時は注意。

中核は4機能：

機能	何をするか
Govern	組織横断のAIリスク文化、ポリシー、責任分担、ライフサイクル全体のガバナンス
Map	文脈設定、利用シナリオ・関係者・想定影響を整理してリスクを枠付け
Measure	定量・定性手法でリスクと信頼性を分析、ベンチマーク、モニタリング
Manage	識別済みリスクの優先順位付け、緩和策の実装、継続改善

各機能の下にカテゴリー / サブカテゴリーが階層化されており、NIST AI RMF Playbook で具体的アクションが提供される。

GenAI 特有の 12 種のリスク（hallucination、data poisoning、prompt injection、IP関連、過信 over-reliance 等）を扱うのが 600-1 で、Governance / Content Provenance / Pre-deployment Testing / Incident Disclosure の 4 領域に Suggested Actions をマップしている。

実務での落とし込みステップ：

Govern を起点にリスク管理ポリシーを策定（既存ERM/ISMSと接続）
ユースケース毎に Map で文脈と関係者を整理
Measure で評価指標（精度・堅牢性・説明可能性・社会的影響）を設定
Manage で監視・インシデント対応・継続改善
GenAI を扱うなら 600-1 の Suggested Actions をチェックリスト化

NIST が答える質問：「うちの組織のAI活用を、どの観点で整理すればよいか？」

ISO/IEC 42001 ─ 認証可能なマネジメントシステム

ISO/IEC 42001:2023 は、2023年12月発行の AI マネジメントシステム規格。要求事項はISMS（27001）と同じ Annex SL 構造（Context / Leadership / Planning / Support / Operation / Performance / Improvement）。Annex A に AI 固有のコントロール、Annex B〜D に実装ガイダンス。

認証は3年有効、毎年サーベイランス、3年目で再認証。ISMS（27001）を持っている組織は土台ができているので、ギャップは AI 固有コントロールに絞れる。

2025-2026 の認証取得状況：

Anthropic（2025-01）
Changi Airport（2025-02、SGS認証）
AWS、SAP、Microsoft、Wiz など主要プロバイダが2025年中に認証取得を発表
K&L Gates（2026-03）法律事務所として世界最初期の認証

周辺規格：

ISO/IEC 23894:2023（AI リスクマネジメント）─ ISO 31000 を AI に当てはめたガイダンス。42001 が「マネジメントシステム」、23894 が「リスクマネジメントプロセス実装ガイド」として補完
ISO/IEC 27090（AI セキュリティ脅威対策）─ 2026年2月時点で FDIS（Final Draft International Standard）段階、発行直前。adversarial ML、data poisoning、model theft、プライバシー攻撃を 27000 ファミリ的に扱う

「ISO 42001 ready」になるためのステップ：

既存ISMS（27001）の運用範囲にAIシステムを編入できるか確認
Annex A コントロールを既存運用と突合してギャップ分析
AI ライフサイクル（データ収集 → 学習 → 評価 → 運用 → 廃棄）に沿って文書化
23894 ベースのリスク評価プロセス整備
27090 草案を視野に技術的対策（モデル監視、入力検証、敵対的サンプル耐性）を補完

ISO 42001 が答える質問：「うちの組織のAI管理体制を、第三者に証明できるか？」

EU AI Act ─ 規制・罰則・域外適用

EU AI Act 規則本文は2024年8月1日に発効。段階的に施行される。2026年5月時点での施行状況を整理する：

施行時期	内容	状態
2024-08-01	発効（要件未適用）	完了
2025-02-02	禁止用途（Article 5）、AI リテラシー義務	施行済
2025-08-02	GPAI モデル義務、ガバナンス、罰則条項、加盟国による所管当局の設置、Notified Bodies	施行済
2026-02-02	Article 6 高リスク分類の Commission ガイドライン公表期限	進行中
2026-08-02	残りの大部分（Annex III 高リスク AI、透明性義務、AI 規制サンドボックス等）。Article 6(1) は除外。AI Office の完全な執行権が発動	施行直前
2027-08-02	Article 6(1) と Annex I（プロダクト安全関連）高リスク。2025-08 以前に上市された GPAI の経過措置期限	将来
2030-08-02	公的機関向け高リスクシステムの完全準拠期限	将来

2026年5月の今、最も近い大きな節目は2026年8月2日。多くの高リスクAIシステム要件と透明性義務が施行される。

GPAI Code of Practice

2025年7月に公表された GPAI Code of Practice。署名は任意で、「準拠の推定」を自動付与しないが、コンプライアンス証明手段として活用可能。ハーモナイズド規格ではない、という点が実務的には重要 ─ 法的には「補助線」として扱う。

罰則（Article 99 / 101）

違反	罰金（高い方）
禁止用途違反（Article 5）	3,500 万ユーロまたは全世界年商 7%
高リスク等の義務違反	1,500 万ユーロまたは 3%
虚偽・誤情報提供	750 万ユーロまたは 1.5%

GDPR と比較しても重い設定。GPAI 提供者向けは Article 101 で別途規定。

域外適用（日本企業含む）

GDPR と同様の extraterritorial reach。EU 市場へのAIシステム提供、EU域内ユーザーへのアウトプット提供で適用対象。EU 域外の提供者は EU 内に Authorised Representative を任命する必要がある。

日本企業の典型ケース：

自社SaaSがEUの顧客にも使われている → 適用対象
グローバル本社が日本、欧州子会社経由で販売 → 適用対象
データセンターがEU内 → 適用対象

「EU 向けのオプション機能」のような形で切り分けられる場合もあるが、早めに法務と相談が安全。

EU AI Act が答える質問：「うちのプロダクトをEUで売り続けるために、何を満たす必要があるか？」

MITRE ATLAS ─ SOCで使う脅威マトリクス

MITRE ATLAS は MITRE ATT&CK の AI/ML 拡張版。v5.4.0（2026年2月時点）で 16 Tactics × 84 Techniques × 56 Sub-techniques × 32 Mitigations × 42 Case Studies。約 70% の Mitigations が既存セキュリティコントロールにマップ可能、と公開されている。

第5章で「脅威モデリングの語彙」として導入したが、本章ではSOC・インシデント対応の文脈でも使えることを強調する。

2025-2026 の主要追加 Technique：

AI Agent Context Poisoning
Publish Poisoned AI Agent Tool（v5.4.0）─ postmark-mcp 事件がケーススタディ
Escape to Host（v5.4.0）─ EscapeRoute がケーススタディ
MCP（Model Context Protocol）関連：MCPサーバ侵害、MCP経由の indirect prompt injection、悪意ある AI エージェントのデプロイ（v5.3.0 ケーススタディ）

ATT&CK との関係：

ATT&CK が IT/エンタープライズ向け汎用脅威マトリクス
ATLAS が AI/ML 固有レイヤ
ATT&CK で Initial Access した後 ATLAS の Technique で AI システムを侵害、というハイブリッド攻撃モデルを記述できる

SOC での使い方：

AI システムを Asset としてモデル化（Model、Training Data、Inference Endpoint、Agent、MCP Server）
各 Asset に対して関連 Tactic（Reconnaissance〜Impact）を辿り、Technique を抽出
Mitigations から既存コントロールへのマップを作成
既存 ATT&CK ベースの SOC ワークフローに追加レイヤとして接続
インシデント時に ATLAS Technique IDで報告（横断的な分析が可能になる）

MITRE ATLAS が答える質問：「攻撃が起きたとき、SOCが他社事例と同じ語彙で会話できるか？」

4つを「使い分ける」地図

quadrantChart
    title 4つのフレームワークの位置づけ
    x-axis 概念 --> 実装
    y-axis 内向き(自社) --> 外向き(規制・連携)
    quadrant-1 認証・規制
    quadrant-2 概念整理
    quadrant-3 内部運用
    quadrant-4 技術連携
    NIST: [0.3, 0.3]
    ISO42001: [0.7, 0.7]
    EU_AI_Act: [0.5, 0.95]
    MITRE_ATLAS: [0.85, 0.4]

ざっくり以下の使い分け：

NIST AI RMF：社内ポリシーのベース構造（Govern/Map/Measure/Manage）。語彙提供
ISO 42001：第三者認証で外部に証明する。調達要件（顧客から「ISO 42001 持ってますか？」と聞かれる時代）
EU AI Act：法的要件。罰金リスクと市場アクセスがかかる
MITRE ATLAS：SOC の語彙。攻撃事例の体系化

1つだけ選ぶなら何？ と聞かれたら、EU市場に出すなら EU AI Act 一択。次に NIST RMF をベースに ISO 42001 認証へ向かう、MITRE ATLAS は SOC が同時に取り入れる、というのが標準的なロードマップ。

補助線：CoSAI / SAIF / RSP / Preparedness

主役の4つ以外で押さえておくべき動向：

CoSAI（Coalition for Secure AI, 2024 設立）

OASIS 配下の業界横断 consortium。2025年9月に Google が SAIF データを CoSAI に寄贈し、業界共通の方向性を作ろうとしている。Workstream は4つ：

Software Supply Chain Security for AI（SLSA Provenance を AI モデルに拡張）
Defenders Framework
AI Security Governance
Secure Design Patterns for Agentic AI

追うべき理由：今後の業界標準のたたき台になる可能性が高い。

Google SAIF 2.0 / Microsoft Responsible AI Standard / OpenAI Preparedness Framework / Anthropic RSP

各社の自主規制。ベンダー評価軸として使うのが現実的：

Anthropic Responsible Scaling Policy v3.0（2026-02 公表）─ Risk Reports（3〜6ヶ月毎オンライン公開）、外部レビュー要件
OpenAI Preparedness Framework v2（2025-04-15 更新）─ Capability Reports / Safeguards Reports
Google SAIF 2.0 ─ Agent特化のリスクマップ
Microsoft Responsible AI Standard ─ v2 ベース

「自社で全部真似する」必要はない。契約するLLMベンダーがどの程度の Responsible Practice を持っているかを評価する物差しに使う。

英国・日本

英国: 2025-01-31「Code of Practice for the Cyber Security of AI」+ 実装ガイドを DSIT が公表。13 原則、5 ライフサイクルフェーズ、5 種ステークホルダー。AI Safety Institute は 2025-02 に AI Security Institute にリブランド（セキュリティ重視へシフト）
日本: AI 事業者ガイドライン第1.1版（2025-03-28、総務省・経済産業省）。Japan AISI が共同事務局。Living Document として運用

日本の事業者ガイドラインは、国内事業のみなら必読、グローバル文脈ではサブという位置付け。

実務的な「触りはじめ」ロードマップ

エンジニア組織として、ガバナンス層を最小限の労力で立ち上げるための12週ロードマップ：

Week 1-2: 棚卸し
  - 自社で使っている AI（社内ツール / 製品組込み / 開発支援）を全リストアップ
  - 各AIに対して NIST RMF Map（文脈・関係者・データ）を簡易記述

Week 3-4: 規制スコープ
  - EU市場アクセスがあるか確認 → ある場合は EU AI Act の高リスク該当性を法務と検討
  - 顧客から ISO 42001 を求められる契約があるか調達と確認
  - 既存 ISMS（27001）があるなら範囲拡張で42001をターゲットにできるか検討

Week 5-6: 技術的脅威モデリング
  - 第5章のステップで MITRE ATLAS を使ってデータフロー × 信頼境界 × Tactic
  - OWASP LLM Top 10 / Agentic 2026 でクロスチェック

Week 7-8: ガードレールと観測
  - 第6-8章のガードレール多層化を実装
  - SOCが ATLAS Technique ID で報告できるようインシデント分類を整備

Week 9-10: 開発側の整備
  - 第1-4章の DevContainer・Plan Mode・MCP最小化・SBOMを組織配布
  - AGENTS.md / .claude/ / .cursor/ の差分監査をCIに

Week 11-12: 検証と継続
  - レッドチーミング演習（Promptfoo / DeepTeam）
  - 四半期レビューサイクルの確立
  - 経営報告のテンプレート整備（NIST RMF Govern に基づく）

12週は短く感じるかもしれないが、全部一気にやる必要はない。並行して進められるところを並行する。

検証方法

□ 自社のAI利用を一覧化できているか
□ NIST RMF の Govern / Map / Measure / Manage に対応する社内ドキュメントがあるか
□ EU AI Act の適用対象かどうか法務と合意済みか
□ 適用対象なら 2026-08-02 までの対応計画があるか
□ ISO 42001 ロードマップを持っているか（もしくは取得不要の合意があるか）
□ MITRE ATLAS Technique で SOC が報告できるか
□ ベンダー（Anthropic / OpenAI / Google / Microsoft / AWS）の RSP / SAIF / Preparedness を契約評価軸に入れているか
□ AI 事業者ガイドラインを日本国内事業の最低ラインとして認識しているか
□ 四半期レビューで全フレームワークのアップデートを追えているか

本章の要点

#	要点
1	NIST AI RMF（1.0 + 600-1）は社内ポリシーのベース構造。Govern/Map/Measure/Manage の4機能
2	ISO/IEC 42001 は第三者認証で外部に証明する。ISMS（27001）の延長として取得しやすい
3	EU AI Act は法的要件。2026-08-02 全面施行直前。罰金は最大7%/3,500万ユーロ。日本企業も域外適用
4	MITRE ATLAS はSOCの語彙。v5.4.0 で MCP 関連 Technique が追加。ATT&CK と地続き
5	CoSAI / SAIF / RSP / Preparedness はベンダー評価軸として活用。自社で全部やる必要はない
6	ISO/IEC 27090 は2026/2 FDIS段階、発行直前。adversarial ML / data poisoning / model theft を扱う
7	エンジニア組織のロードマップは12週で十分回せる。並行進行と四半期レビューで継続化

効いている根本原理

ガバナンスは技術的な攻撃と防衛そのものではないが、4つの根本原理を組織レベルで仕組み化するレイヤだ。NIST の Govern は 原理4（Defense in Depth と観測可能性） を組織レベルに翻訳したもの、ISO 42001 の Annex A は 原理3（最小権限） を文書化、EU AI Act の透明性義務は 原理1（信頼境界） を法的に強制する。

次の最終章で、技術とガバナンスを橋渡しして、4つの根本原理を回収する。