AI RMF時代のインフラ説明責任：規制当局が監査可能な「証拠連鎖」の構築

インフラにおけるAI導入の「見えない欠陥」

調査担当者はまず、インフラAIプロジェクトが「どのモデルを使用したか」ではなく、「監査、インシデント、フォレンジックによる再現に耐えうる証拠連鎖（Evidence Chain）を提示できるか」を問うべきです。交通管制、港湾物流、水処理、電力網など、物理インフラの所有者や設計者、運用者はすでに極めて影響範囲の大きいシステムを扱っています。こうしたワークフローに、追跡可能な保証成果物（Assurance Artifacts）を伴わずにAIを組み込むことは、「ブラックボックス」を運用の目隠しにしてしまうことに他なりません。

証拠の欠落は予測可能な事態です。調達やデリバリーの現場では、検証可能性よりも成果が優先されがちだからです。CISA（米国サイバーセキュリティ・インフラセキュリティ庁）が「ソフトウェア部品表（SBOM）」に関するガイダンスで示している通り、構成要素や依存関係を特定・マッピングできなければ、統治や防御は不可能です。CISAのSBOMリソースは、これを単なる事務作業ではなく、サイバーセキュリティ保証のための実務的なツールとして位置付けています。 (Source; Source)

インフラにおいて、この論理は単なる「ソフトウェア部品」を超え、意思決定装置としてのAIシステムにも適用されます。データ系列、評価結果、導入後の変更に関する監査可能な成果物を提示できなければ、規制当局やインシデント対応チームは、ベンダーの説明を鵜呑みにせざるを得ません。これこそが、説明責任が崩壊するプロセスです。

あらゆるインフラAIのレビューにおいて、まずは証拠連鎖の成果物を要求してください。AIが何をしたのか、なぜその行動が許可されたのか、そして承認後に何が変更されたのかを組織が再構築できるかを確認すること。単にコンプライアンスを謳っているか否かを確認するだけでは不十分です。

AI RMFによる保証成果物の解説

NIST（米国国立標準技術研究所）のAIリスク管理フレームワーク（AI RMF）が目指す「信頼できるAI」の運用目標は、しばしばリスク管理として語られます。しかし調査において重要なのは、信頼できるAIには「検証可能な保証成果物」が不可欠であるという点です。これらの成果物はAIの挙動に対する「管理の連鎖（Chain of Custody）」として機能し、システムに関する文書、特定されたリスク、評価・テストの証拠が含まれます。

対象が物理インフラであっても、AIのガバナンス機構は特定のシステム挙動に紐付いている必要があります。NISTのセキュアソフトウェア開発フレームワーク（SSDF）は、ソフトウェアのライフサイクル全体を通じた体系的な緩和策を強調しており、リスク低減に向けた具体的な推奨事項を提示しています。調査担当者はSSDFを基準として、組織がその場しのぎの「セキュリティ・シアター（形だけの安全対策）」ではなく、再現性のある保証証拠を構築しているかを確認できます。 (Source; Source)

NIST SP 800-218が重点を置くセキュアな開発ライフサイクルは、インフラAIにおいて重要です。AIシステムは単独で動作することは稀であり、ソフトウェア依存関係、学習パイプライン、評価ハーネス、運用インターフェースを内包しているからです。調査担当者は、AIモデル自体と、それを取り巻くソフトウェアサプライチェーンの両方を網羅する保証成果物を求めるべきです。組織がSBOMや調達文書を通じてソフトウェアや依存関係を網羅できていれば、AI関連のどのコンポーネントが変更され、どのような脆弱性を抱えているかを追跡しやすくなります。 (Source; Source)

この編集方針は、物理インフラに焦点を当てつつ、信頼できるAIやセキュア開発のガバナンスメカニズムを活用するものです。証拠連鎖とは、ブラックボックスを制御可能にするための鍵です。

意思決定ポイントに紐付く保証成果物（システム文書、リスクマッピング、テスト・評価ログ、運用変更の証明）を要求し、SBOMのような網羅的リストと相互参照させることで、証拠連鎖を稼働中のインフラシステムに接続してください。

規制当局が見るべき「証拠連鎖」

インフラチーム向けの調査ガイドは、抽象的なガバナンスを「確認可能な成果物」に変換するものです。CISAやNISTの資料に基づき、証拠連鎖は以下の問いに答えられるべきです。 1）どのようなコンポーネントが存在するか？ 2）どのようなリスクが特定され、どう緩和されたか？ 3）緩和策が意図通りに機能したことを示す証拠はあるか？

SBOM成果物は、ソフトウェアコンポーネントと依存関係を特定する証拠を提供し、脆弱性や設定ミスが発生した際の追跡可能性を高めます。CISAは、調達環境で使用されるSBOMの最小要素を含め、この説明責任モデルをサポートするリソースを提供しています。 (Source; Source)

リスク評価の成果物は、物理インフラ運用において重要なシステム挙動に紐付いたリスクマッピングの証拠を提供する必要があります。規制当局レベルの成果物とは、危害をコントロールへ、コントロールを検証証拠へと繋ぐリスクマップです。

評価・テストの証拠も重要です。「テストを実施した」と説明されても、ログや結果が存在しなければ信憑性は崩壊します。インフラ設定においてAI保証を行うには、評価ログを保持し、バージョンを記録し、ドリフト（乖離）やインシデント発生後の再分析に必要なテスト成果物を保存することが求められます。 (Source)

最後に、変更の証拠は不可欠です。信頼できるAIは一度の認証で終わるものではありません。導入後の変更（モデルの更新、データパイプラインの調整など）は記録される必要があり、監査人がいつ何が変更されたかを再構築できるようにしておくべきです。

共通する失敗：信頼境界のドリフト

調査において、失敗は「信頼境界」が曖昧な場所で発見されます。インフラAIシステムにおける主な境界は、データアクセス、ツールやエージェントの認可、そして導入後のドリフトです。特定のAIベンダーを問わず、組織が周辺アクセスの保護は行うものの、自動化によるデータへの内部認可やアクションの管理を疎かにするというパターンが共通しています。

CISAのソフトウェア調達・SBOM関連資料は、こうした失敗がどのように表面化するかを示唆しています。調達時に網羅性と追跡可能性を求めなければ、システムに何が含まれているかを確実に把握できません。その結果、不正な依存関係や設定ミスが運用スタックに紛れ込んだ際、検知が困難になります。信頼境界が明示的に文書化されていない場合、「未知の未知（unknown unknowns）」が運用上の現実となってしまいます。 (Source; Source)

調査担当者は、人間やサービスアカウントのIDモデル、データクラスごとの認可マップ、実行時に認可が強制されたことを証明する監査ログを要求すべきです。

導入後のドリフト（性能乖離）は、保証成果物が完全に機能しなくなる場所です。開発チームはデータセットで評価して導入した後は、ドリフトを単なるエンジニアリング上の厄介事として扱い、証拠の収集を止めてしまう傾向があります。しかしその後、AIの判断分布が変化したことが判明しても、コントロールが依然として機能していることを示すテスト証拠を提示できなくなるのです。

監査グレードの標準として、以下の3つの成果物を要求してください。 1）認可マトリクス（ID/ロール→許可されたデータ→許可されたアクション/ツール） 2）実行時の意思決定監査記録（トリガーとなったID、認可チェック結果、構成/バージョン識別子を含む） 3）ドリフト監視の証拠（閾値、使用したシグナル、閾値を超えた際のガバナンス対応）

証拠の欠落が攻撃機会を生む

攻撃者は「モデルを破壊」する必要はありません。モデルを取り巻く「信頼境界」を破壊すればよいのです。インフラAIにおいて、その境界はモデル内部の重みではなく、データパイプライン、ツールインターフェース、そして運用アクション（ルーティング、メンテナンス、異常対応など）へ出力を流す意思決定ゲートにあります。

調査担当者は「証拠のドリフト」を注視すべきです。これはガバナンス上の文書と、稼働中のシステムが乖離する現象です。具体的には、(1)ログ上のモデルバージョンが評価レポートと一致しない、(2)SBOMに記載されたコンポーネントが本番環境と一致しない、(3)リスクマップ上のコントロール（入力検証など）が実行ログに残っていない、といったケースです。これらの不一致は、「物語によるコンプライアンス」を許し、「システムによるセキュリティ」を形骸化させます。

財務と強制力のある証拠の接点

インフラガバナンスは、しばしば予算や大規模プロジェクトとして語られます。しかし調査においてより重要な問いは、「資金がどのように証拠へ変換されるか」です。追跡可能性や検証の要件が契約に含まれない資金投入は、検証をオプショナルなものにしてしまいます。

CISAのSBOMやソフトウェア調達ガイダンスは、この「財務から説明責任へ」という教訓を実務的要件に変換します。調達時にSBOMのような文書化を義務付けることで、コンポーネントの不確実性を隠すことを困難にします。同様の規律をAI保証成果物にも適用し、資金が単なる性能主張ではなく、強制力のある証拠義務を伴うようにすべきです。 (Source; Source)

監査ワークフロー：インフラAI調査の指針

規制当局や監査人、セキュリティ調査担当者は、以下の手順を起点としてください。

1. スタックの棚卸しと列挙: SBOM関連成果物を通じ、ソフトウェアと依存関係を網羅できているか確認する。
2. リスクを運用コントロールへマッピング: AI挙動を規定するリスクマッピングを要求する。
3. 評価と再現性の証明: テストと評価の証拠が保持されているか確認する。セキュア開発ライフサイクルを信頼の拠り所とする。
4. 認可とアイデンティティの検証: AIのデータアクセス権とツール実行権限を特定し、アクセス制御と照合する。
5. 変更管理とドリフト証拠の確認: 導入後の変更記録と、ドリフトに対するガバナンス対応（再学習やロールバックなど）の証拠を確認する。

もし上記ステップのいずれかが欠けていれば、その信頼境界は脆弱であると見なすべきです。

政策提言と今後の展望

今後24カ月（2026年4月〜2028年4月）の軌道として、証拠要件は「推奨されるベストプラクティス」から「強制力のある調達規範」へと移行する可能性が高いと言えます。CISAのSBOM最小要素ガイダンスや、NISTのSSDFにおけるライフサイクルと証拠の重視は、その地ならしです。

監査人は、インフラ関連のソフトウェア調達において、より一貫したSBOMの列挙を期待すべきです。18〜24カ月後には、「文書はある」という段階から「文書は再現可能で、かつ稼働中の振る舞いに紐付いていなければならない」という段階へ圧力が高まるでしょう。

今すぐ証拠連鎖の構築に着手してください。インフラAIの導入において、勝者となる姿勢はシンプルです。何を構築したか、なぜそれが許可されたのか、そして導入後にどう振る舞ったかを証明することです。