AI時代にISMSは陳腐化するのか ― 付加すべき管理策リスト

AI時代にISMSは陳腐化するのか ― 付加すべき管理策リスト

「うちはISO/IEC 27001を取得しているから、AIガバナンスもカバーできているはずだ」――この前提は危うい。ISO/IEC 27001:2022は11の新規制御を含む93コントロール体系へ改訂された^[1]が、AIマネジメントシステム規格 ISO/IEC 42001:2023^[2]、2025年発行見込みのAIセキュリティ規格 ISO/IEC 27090^[3]、ENISAやBSI（英国）のAIサイバーセキュリティ追加管理策^[4][5]を眺めると、既存ISMSだけでは統制できない領域が浮かび上がる。本稿はCISO・経営層向けに、二項対立を脱し「既存ISMSに何を上積みすべきか」を構造的に整理する。

ISMSの現在地：依然として土台、しかし境界がある

ISO/IEC 27001:2022は世界で最も普及した情報セキュリティマネジメント規格であり、認証取得組織は2023年末時点で全世界7万件超に達した^[6]。日本でもJIPDEC集計でJIS Q 27001認証は約7,500件で推移し、上場企業の取引要件として事実上の標準である^[7]。一方、AIシステム特有のリスク（プロンプトインジェクション、モデル汚染、メンバーシップ推論、ハルシネーション）は、従来のCIA三要素モデルだけでは捉えきれない。NIST AI Risk Management Framework（AI RMF 1.0）^[8]と2024年7月のGenerative AI Profile（NIST AI 600-1）^[9]は、まさにこの隙間を埋める参照モデルだ。ISMSは不要になったのではなく、AIガバナンスを支える「土台層」として再定義されつつある。

ISO 27001:2022 改訂で追加された11の新規制御

2022年改訂の最大の変更点は、Annex Aが114→93コントロールに整理され、11の新規制御（A.5.7 脅威インテリジェンス、A.5.23 クラウドサービス利用、A.5.30 ICTレディネス、A.7.4 物理セキュリティ監視、A.8.9 構成管理、A.8.10 情報の削除、A.8.11 データマスキング、A.8.12 DLP、A.8.16 監視活動、A.8.23 Webフィルタリング、A.8.28 セキュアコーディング）が追加された点にある^[1][10]。これらはAIワークロードに直接的な含意を持つ。A.8.11は学習データのプライバシー保護に、A.8.12はプロンプト経由の漏洩抑止に、A.5.23はマネージドAIサービス（OpenAI、Anthropic、Vertex AI）の利用ガバナンスに橋渡し可能だ。2013年版での新規認証は2025年10月末で終了しており、移行未了は2世代分の遅れに相当する^[11]。

AIワークロードでカバーされる領域と、されない領域

ISO/IEC 27001:2022 Annex AとISO/IEC 27002:2022の93コントロールをAIに重ね合わせると、カバー領域とギャップ領域が見える。カバー側は、(a) アクセス制御（A.5.15〜A.5.18）＝AI APIキー・モデルアクセス管理、(b) サプライヤ関係（A.5.19〜A.5.22）＝基盤モデル提供事業者評価、(c) ログ監視（A.8.15・A.8.16）＝推論ログレビュー、(d) インシデント管理（A.5.24〜A.5.28）＝AI事故対応、に直接適用できる。ISO/IEC 27017^[12]と27018^[13]はクラウド・PII処理の追加統制として、マネージドAIサービスの準拠基盤になる。

一方、明確なギャップは5領域に残る。第一にモデル学習データのガバナンス――来歴（provenance）、ライセンス、バイアス検査、合成データの扱いはISMS射程外。第二にモデルライフサイクル管理――再学習トリガー、ドリフト検知、バージョン管理、モデルカードはA.8.9 構成管理の拡張が必要。第三にAI固有の攻撃面――OWASP LLM Top 10 for 2025のプロンプトインジェクション、機微情報開示、サプライチェーン汚染、モデル毒、過剰権限などは従来Web脅威モデルで捉えにくい^[14]。第四に説明可能性・人間関与・公平性――ISO/IEC 42001^[2]とNIST AI RMF^[8]が中核に据える論点だが、ISO 27001の射程外。第五にエージェンティックAIの自律性管理――MITRE ATLAS^[15]はツール呼び出し権限・記憶領域・他エージェント連携を新たな攻撃面に位置づける。これらの空白を放置すれば「認証はあるが守れていない」状態が量産される。

追加すべきAI管理策20項目（短冊リスト）

ENISA「Multilayer Framework for Good Cybersecurity Practices for AI」^[4]、英国DSIT/NCSC「AI Cyber Security Code of Practice」^[5]、CIS Controls v8.1のAI解説^[16]、ISO/IEC 23894（AIリスクマネジメント指針）^[17]を統合し、既存ISMSに付加すべきAI管理策を20項目に整理する。

1. AI資産インベントリ：モデル・データセット・プロンプトを台帳化^[2]。
2. データ来歴記録：学習・微調整データの取得元・ライセンスを文書化^[5]。
3. モデルカード：用途・制限・既知バイアスを明示^[8]。
4. AI影響評価（AIIA）：人権・公平性・安全性影響を事前評価^[2][17]。
5. プロンプトインジェクション対策：入力検証・ガードレール導入^[14]。
6. 入出力DLP：機密情報フィルタ（A.8.12拡張）^[1][14]。
7. レッドチーミング：定期的な敵対的テスト^[9]。
8. 毒検知：学習データ完全性チェックとカナリア手法^[4][15]。
9. 抽出耐性評価：差分プライバシー等の活用^[4]。
10. サプライチェーン審査：基盤モデル提供者のSOC2/ISO評価^[5][12]。
11. ヒューマン・イン・ザ・ループ：高リスク用途で人間最終承認^[2][8]。
12. 説明可能性ログ：入出力・根拠ドキュメントの保管^[2][9]。
13. ドリフト監視：性能・公平性・誤答率の継続計測^[8]。
14. 権限最小化：エージェントのツール呼び出し権限制限^[14][15]。
15. 記憶域分離：テナント間コンテキスト混在防止^[14]。
16. AIインシデント対応：幻覚・差別出力・漏洩の三類型プレイブック^[8][9]。
17. 従業員教育：シャドウAI・プロンプト機密の年次教育^[5]。
18. 退役プロセス：モデル削除・データ消去・派生モデル追跡^[2]。
19. 透明性開示：AI処理である旨の通知（EU AI Act 第50条）^[18]。
20. 規制対応マッピング：AI Act・AI RMF・27090ドラフトとの対応表維持^[3][8][18]。

ISO 42001 とのスタッキング戦略：3層モデル

既存ISMS取得企業のAI拡張戦略は、「ISO/IEC 27001：情報資産の土台 → ISO/IEC 42001：AIマネジメントシステムの中核 → ISO/IEC 27090：AIセキュリティの上層」の3層スタッキングである^[1][2][3]。ISO 42001はPDCA構造を27001と共有するため、リスクアセスメント・内部監査・マネジメントレビュー等の共通項を流用できる^[2]。BSIやJQAなど主要認証機関は2024年から27001既取得組織向けに42001ギャップアセスメントを提供しており、移行コストを抑制できる構造がある^[19]。実装手順は(1)SoAにAIシステムを明示、(2)AI影響評価とAIポリシーを42001に沿って整備、(3)27090ドラフト要求事項^[3]とNIST AI RMF^[8]でセキュリティ統制を補強、の3ステップが推奨される。BSI AI Code of Practice^[5]は13原則構成で、42001の管理目標に逐条マッピングできる。

5項目チェックリスト

• 適用宣言書（SoA）にAIシステムが明示的に含まれ、リスクアセスメントが更新されているか
• モデルとデータセットの台帳が整備され、来歴・ライセンス・リテンション期間が追跡可能か
• プロンプトインジェクションと情報漏洩を想定したレッドチーミング／DLP／ガードレールが本番環境で稼働しているか
• AIインシデント（ハルシネーション・差別出力・漏洩）の対応プレイブックがCSIRTに統合されているか
• EU AI Act・NIST AI RMF・ISO 42001との対応マッピングが文書化され、四半期で見直されているか

打ち手：6カ月ロードマップ

既存ISMS取得済み組織の現実解を優先度順に示す。1〜2カ月目：AI資産インベントリ作成とSoA改訂。社内で動くLLMアプリ・RAG・エージェントを棚卸する。3〜4カ月目：AIポリシー、影響評価フォーム、レッドチーミング年次計画、AIインシデント対応プレイブックを整備。OWASP LLM Top 10^[14]とMITRE ATLAS^[15]を既存リスク登録簿に追加する。5〜6カ月目：ISO 42001ギャップ評価を外部認証機関に依頼し、ISMSサーベイランス審査と一体運用へ。NIST AI RMFのGOVERN/MAP/MEASURE/MANAGE機能^[8]と社内統制をマトリクス化し、経営会議四半期報告に組み込む。Gartnerは「2026年までにAIガバナンスをISMSに統合した組織はAI関連インシデント発生率を40%低減できる」と予測^[20]。

「ISMSは死なない。むしろAIガバナンスの土台として再評価される。問題はISMS単体で守りきれると誤認することである。AIに必要な統制は、既存統制の拡張と、AI固有の追加の両輪で初めて成立する。」――ENISA, “Multilayer Framework for Good Cybersecurity Practices for AI”, 2023^[4]

結論：3つのテイクアウェイ

1. ISMSは陳腐化していない。2022年改訂の11新規制御はAI時代の前提を整え、2025年末で移行が完了した^[1][11]。
2. ただしギャップは明確に存在する。学習データガバナンス、AI固有攻撃面、説明可能性、エージェント自律性の4領域は射程外であり、42001・27090・ENISA・BSI・NIST AI RMFで補完が必要^{[2][3][4][5][8]}。
3. 3層スタッキング戦略が現実解。27001を土台に42001を中核として乗せ、27090とAI RMFで上層を厚くする。6カ月で移行可能、Gartnerはインシデント率40%低減を予測^[20]。

経営者視点：既存ISMSとAIガバナンスの相補関係

経営層にとってAI時代のISMSは「規制対応コスト」ではなく「事業継続レバー」として捉え直す必要がある。EU AI Act^[18]は2025年8月から汎用AI（GPAI）提供者義務が、2026年8月から高リスクAIへの全面適用が始まる。日本でもAI事業者ガイドライン（経済産業省・総務省）^[21]がISO 42001との整合を明示し、調達・取引基準への組み込みが進む。重要な経営判断は、ISMSとAIガバナンスを別組織で運用するか統合運用するかだ。先進組織はCISO配下にAI Security Leadを置きISMS事務局とAI Governance Officeを連結する体制をとり^[22]、リスク登録簿・教育・内部監査・経営報告をワンストップ化することで重複コストと責任の隙間を削減している。

本質的にISMSとAIガバナンスは相補関係にある。ISMSが「何を守るか」を体系化するのに対し、AIガバナンスは「どう判断させるか」を体系化する。両者を接続して初めて生成AI時代のレジリエンスが成立する。CISO・経営層に問われるのは「42001取得の可否」という認証論ではなく、「既存ISMSをAI拡張する6カ月ロードマップを今期着手するか」という時間軸の判断だ。陳腐化を恐れるのではなく、土台を活かして上層を積む――それがAI時代のISMSに求められる経営姿勢である。

参考文献

1. ISO/IEC 27001:2022, “Information security, cybersecurity and privacy protection — Information security management systems — Requirements”, International Organization for Standardization, October 2022.
2. ISO/IEC 42001:2023, “Information technology — Artificial intelligence — Management system”, International Organization for Standardization, December 2023.
3. ISO/IEC AWI 27090, “Cybersecurity — Artificial Intelligence — Guidance for addressing security threats to artificial intelligence systems” (Working Draft), ISO/IEC JTC 1/SC 27, 2024–2025.
4. ENISA (European Union Agency for Cybersecurity), “Multilayer Framework for Good Cybersecurity Practices for AI”, December 2023.
5. UK Department for Science, Innovation and Technology (DSIT) & National Cyber Security Centre (NCSC), “AI Cyber Security Code of Practice”, January 2025.
6. ISO, “ISO Survey of Certifications to Management System Standards – 2023 results”, 2024.
7. JIPDEC（一般財団法人日本情報経済社会推進協会）, 「ISMS適合性評価制度 認証取得組織数の推移」, 2024.
8. NIST, “AI Risk Management Framework (AI RMF 1.0)”, NIST AI 100-1, January 2023.
9. NIST, “Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile”, NIST AI 600-1, July 2024.
10. ISO/IEC 27002:2022, “Information security, cybersecurity and privacy protection — Information security controls”, International Organization for Standardization, February 2022.
11. International Accreditation Forum (IAF), “IAF MD 26: Transition Requirements for ISO/IEC 27001:2022”, 2022（移行期限：2025年10月31日）.
12. ISO/IEC 27017:2015, “Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services”, 2015.
13. ISO/IEC 27018:2019, “Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”, 2019.
14. OWASP Foundation, “OWASP Top 10 for Large Language Model Applications – 2025”, 2024–2025.
15. MITRE Corporation, “ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems)”, 継続更新, 2024–2025.
16. Center for Internet Security (CIS), “CIS Critical Security Controls v8.1 and AI-related Guidance”, 2024.
17. ISO/IEC 23894:2023, “Information technology — Artificial intelligence — Guidance on risk management”, 2023.
18. European Parliament and Council, “Regulation (EU) 2024/1689 — Artificial Intelligence Act”, Official Journal, July 2024.
19. BSI Group / 日本品質保証機構（JQA）, “ISO/IEC 42001 認証サービス概要およびISO/IEC 27001統合運用ガイダンス”, 2024.
20. Gartner, “Predicts 2024: AI & Cybersecurity / AI TRiSM Maturity Model”, 2024.
21. 経済産業省・総務省, 「AI事業者ガイドライン（第1.0版）」, 2024年4月.
22. ISACA, “Artificial Intelligence Audit Toolkit and AI Security Management Survey”, 2024.