重要インフラにおけるAI RMFの実践：エビデンスのパッケージ化、AIサイバーアイデンティティ、そして輸出管理の摩擦

NIST 2026年版の転換がAIガバナンスを再定義する

NISTの「重要インフラ」向けAI RMFプロファイルは、単なる机上の空論ではない。これは、信頼性と安全性が厳格に求められる運用環境において、AIを導入する組織のための実務的なコンプライアンス・インターフェースとして位置づけられている。そこでは、「私たちを信じてほしい」といった言葉はエビデンスとして通用しない。NISTのコンセプトノートによれば、本プロファイルは重要インフラにおけるAIの信頼できる利用を促進し、関係者が運用可能な標準化レイヤーとして機能することを目指している。

この変化はガバナンス設計を根本から変える。従来のインフラプログラムは資産ライフサイクル（設計、構築、運用、保守）を管理してきたが、AIガバナンスでは、これと同じライフサイクルフェーズをAI特有のエビデンス種別にマッピングしなければならない。それには、モデルやツールの出自（プロベナンス）、運用ログ、そしてAIと対話する人間やシステムのアイデンティティ前提条件が含まれる。最大の変更点は「責任の粒度」である。調達、エンジニアリング、セキュリティ、コンプライアンスの境界を越えて、誰がどのエビデンスを所有し、どのような形式で受け渡すのかが明確に問われることになる。

並行して、インフラ所有者は「識別・保護・検知・対応・復旧」という構造化されたサイバーセキュリティの期待値の中で活動している。NISTのサイバーセキュリティフレームワーク（CSF 2.0）は、ガバナンスと測定には、監査可能な成果物を用いた各機能全体にわたるスコープ設定と実装が必要であることを強調している。このメンタルモデルはAIガバナンスにそのまま適用できる。AIシステムもまた「スコープ」が設定され、その上でエビデンスが提示されなければならない。

社内の委員会が「フレームワークへの適合」を議論するのを待つ必要はない。ライフサイクルフェーズごとのエビデンス所有権を軸に、AIプロジェクトのガバナンス憲章を書き換えるべきだ。もし監査証跡が依然としてスクリーンショットのフォルダや独自の表計算ファイルに依存しているなら、AIが調達や運用に組み込まれた瞬間にその不整合が露呈することになる。

エビデンスのパッケージ化が新たな成果物となる

インフラの提供にはもともと膨大な書類作成が伴うが、AIガバナンスにおける変化は、それらの一部を「エビデンスパッケージ」という再利用可能な単位へと転換させる点にある。目的は単なる文書化ではない。文脈において信頼できる挙動を証明するための最小限のエビデンスを標準化し、プロジェクト、ベンダー、施設間で再利用可能な形式にすることである。

世界銀行の「品質インフラ成熟度（Quality Infrastructure Maturity）」フレームワークは、計画・調達・提供プロセス全体にわたる品質評価の重要性を示している。これはAI専用の枠組みではないが、「品質と説明責任はアドホックな文書化ではなく、予測可能なプロセスに依存する」という重要な示唆を与えてくれる。世界銀行の資料は、インフラのパフォーマンスは資本だけでなく、制度と提供システムの質に左右されると強調している。これはエビデンスパッケージの考え方と一致する。組織が制度レベルで一貫してエビデンスを作成できなければ、運用のための「信頼」はスケーラブルな能力ではなく、局所的な例外に留まってしまう。

実務者にとって、エビデンスパッケージはエンジニアリングの構成管理のように機能させるべきだ。監査人が問い、エンジニアがデバッグを必要とする以下の項目に答えられる必要がある。

・使用されたモデルやツールは何で、その出自はどこか（プロベナンス） ・どのようなデータや文脈が提供されたか（入力と境界） ・特定の運用制約下で意図通りに動作したことをどう証明するか（テスト結果と運用監視） ・何がいつ変更され、誰が承認したか（変更管理） ・AIの行動をサイバーセキュリティのアイデンティティやアクセスイベントにどうマッピングするか（AIサイバーアイデンティティ）

NISTのコンセプトノートは、信頼できる利用には一般的な原則以上のものが必要だと説く。エビデンスのパッケージ化こそが、その実効性を確保するための運用メカニズムである。AI導入のために、産業エンジニアリングにおけるBOM（部品表）になぞらえた「エビデンスBOM」を作成し、調達段階でベンダーに標準形式でのエビデンス提供を義務付けるべきだ。

AIサイバーアイデンティティがアクセス前提を置き換える

重要インフラの運用において、アイデンティティは比喩ではなく、物理世界の運用に影響を与えるシステムへのクエリ、変更承認、出力閲覧を制御する層である。AIガバナンスにおいて、アイデンティティは「誰がAIシステムとそのツールにアクセスできるか」と「AIシステムの挙動をログでどう説明責任化するか」という二つの要件に集約される。

CSF 2.0が示す通り、アイデンティティとアクセスの前提条件は、暗黙のうちに存在するものではなく、明示され、実装され、証明されなければならない。運送インフラのレジリエンス計画が運用リスクを測定可能な成果に変換するように、AI運用においても「アイデンティティ」は意思決定システムと運用権限を結ぶ橋渡しとなる。

実務上、AIサイバーアイデンティティとは、AIとの対話を監査可能なイベントとして扱うことを意味する。

・AI出力をクエリできる各人間またはサービスアカウントへの一意のID付与 ・学習、評価、運用推論環境の明確な分離 ・推論の開始者、使用されたプロンプトや入力、生成に使用されたモデル・バージョン、人間の承認ゲートが強制されたかを示す監査ログ

ベンダーが「モデルカード」や「セキュリティ証明」を提供しても、運用ログのスキーマや保持動作が含まれていなければ、サイバーセキュリティチームが防御できる形でAIの行動をアクセスイベントに紐付けることはできない。AIのアクセス制御を単なるポリシー声明ではなく、測定可能なシステム要件として調達仕様に組み込むことが不可欠だ。

運用技術（OT）におけるAI変更管理には厳格なゲートを

OT（運用技術）は、変電所やパイプライン、橋梁といった物理資産を制御・監視する。AIがOTの意思決定パイプラインに組み込まれると、物理的なアクションに直接的・間接的な影響を与える可能性がある。そのため、ITモデルのデプロイサイクルでは不十分であり、エンジニアリングレベルの厳格なゲートが必要となる。誤った動作の代償は、ダウンタイム、安全リスク、そして物理資産の修復コストという形で跳ね返ってくるからだ。

米連邦鉄道局（FRA）や運輸省（DOT）の報告に見られるように、インフラプログラムには構造化された計画と成果物が求められる。AIモデルが更新される際、組織は以下の問いに即座に答えられなければならない。

・OT関連の出力に対する意思決定境界が変更されたか？ ・評価環境はOT固有のシナリオを網羅しているか？ ・適切な権限を持つ担当者が承認したか？ ・インシデント調査やロールバックのために以前のバージョンを復元できるか？

AIモデルとツールのバージョン管理、評価の追跡可能性、ロールバック能力をエンジニアリング上の必須要件として追加すること。特定の監査期間の出力を再現できなければ、変更管理は不完全と言わざるを得ない。

調達には出自と系譜の明示を義務付ける

調達チームはしばしば「キャパシティ（容量）」を買っていると考えがちだが、重要インフラにおけるAI導入では、調達こそがエビデンスのパッケージ化を強制できる場である。ベンダーのリスクアンケートを一般的な「セキュリティ態勢」の質問から、AI特有の成果物へとシフトさせる必要がある。

・モデルのプロベナンス（出自）：モデルの由来、学習体制、OT環境との互換性 ・ツールの系譜（ラインアージュ）：外部連携システムやサードパーティ製ツールチェーンの構成 ・データセット管理：モデルが学習したデータ、保護されるべきデータの境界 ・運用評価エビデンス：ベンチマークスコアだけでなく、インフラ利用ケースに合わせた失敗テストの網羅性

これはチェックリストによるコンプライアンスではなく、エンジニアリングレベルの調達である。RFP（提案依頼書）テンプレートを書き換え、所有者と形式が指定された「エビデンスフィールド」を必須とすること。追跡可能なプロベナンスや系譜を欠いた回答は、調達の段階で却下すべきである。

輸出管理の摩擦には「ポータブルなエビデンス」で対抗する

輸出管理プロセスは、AIモデルや学習パイプラインが規制に抵触する場合、技術フローを大きく停滞させる。ここでの教訓は、分類を議論することではなく、摩擦を想定して「エビデンスをポータブルにする」ことだ。

ライセンス審査は文書駆動型である。審査官は「何を輸出し、どのような能力を可能にし、最終用途・ユーザー条件が満たされているか」をマッピングしたがる。エビデンスが独自の表計算や非構造化PDFであれば、管轄区域ごとにゼロから説明を組み立てる必要があり、審査は長引く。標準化されたエビデンス構造は、回答を「再利用可能なフィールド」に変換し、必要に応じてパッケージ化・編集・エクスポートすることを可能にする。

輸出管理の摩擦はガバナンス能力の試金石である。モデルの識別情報、ツールチェーン、データ境界、運用監視範囲が安定して記述できれば、審査のボトルネックは解消される。

結論：エンジニアが今期実行すべきワークフロー

NISTのプロファイルが完全に完成するのを待つ必要はない。以下のワークフローを今期から実行すべきである。

1. エビデンスの所有権と成果物の定義: 構築、テスト、デプロイ、運用、変更管理の各ライフサイクルフェーズに所有者を割り当てる。
2. AIサイバーアイデンティティのログスキーマ固定: 推論リクエストと承認を、アクセス制御イベントと相関付けられる形で監査可能にする。
3. 調達ゲートの設置: プロベナンス、評価の追跡可能性、ツールの系譜について、機械チェック可能な形式での提出を必須とする。
4. ロールバックの再現性確保: OT関連の意思決定ポイントにおいて、再現性を必須のエンジニアリング要件とする。

これらの手順を今から実装しておけば、将来のNISTプロファイルは「対応すべき目標」となり、土壇場での書き換えを回避できる。重要インフラにおけるガバナンスは、エビデンスがシステムと共に移動し、アイデンティティが監査可能であり、輸出管理の摩擦が監査証跡を分断させない時に初めて「本物」となる。