AIプロジェクトのセキュリティ要件定義書ひな形

AIプロジェクトのセキュリティ要件定義書ひな形

AI／LLMを組み込んだ業務システムは、従来の要件定義書テンプレートではカバーしきれない領域が広い。プロンプトインジェクション、モデル供給継続性、推論ログのPII、ハルシネーションの責任分界など、調達時にRFPで握っておかねば事故が起きる論点が多い^[1][2][3]。本稿はIPA「セキュリティ要件定義書ひな形」^[4]を基底に、NIST SP 800-160 Vol.1^[5]、OWASP ML Security Top 10^[2]、Microsoft SDL for AI^[6]、英国NCSCのSecure AI Guidelines^[3]を横串で参照し、情シス・開発・PMOがそのままベンダーへ提示できる10章構成、AI特有要件20項目、非機能の書き方、選定接続までを実装粒度で整理する。

AI要件定義の特殊性

従来の要件定義は「入力→決定論的処理→出力」が前提だった。LLM／生成AIは前提が3点異なる。第一に非決定性で、同じ入力でも出力が確率的に揺れるため「100%一致」のSLAは破綻する^[7]。第二にサプライチェーン依存で、基盤モデルの挙動・価格・提供条件がベンダー都合で変わり、長期可用性を自社で担保しきれない^[3][8]。第三に新しい攻撃面で、プロンプトインジェクション、間接インジェクション、データポイズニング、モデル抽出、メンバーシップ推論などSQLi級の標準攻撃が成立する^[1][2]。これらを前提に機能・非機能・運用を明示的に分けないと、ベンダーは「仕様通り作った」で防御線を張る。

要件定義書の標準10章構成

IPAひな形^[4]とNIST SP 800-160 Vol.1^[5]を基に、AIプロジェクト用に再構成した10章テンプレートを示す。RFP添付・PoC契約・本開発契約のいずれにも転用可能。

AI特有のセキュリティ要件20項目

OWASP LLM Top 10^[1]、ML Top 10^[2]、SDL for AI^[6]、NCSC Guidelines^[3]、NIST AI RMF^[8]を統合し、要件定義書「7章」に貼れる粒度で20項目に集約した。

非機能要件の書き方

AIシステムは「測定可能な数値」と「測定方法」をセットで書く必要がある。応答時間はトークンストリーミング開始までのTTFB、完了までのトータル時間、長文生成時の劣化を分けないと、ベンダーは平均値だけ提示しP95を隠す。可用性は基盤モデル提供者のSLAが支配的（OpenAI／Anthropic Enterpriseで99.9%程度）^[12][13]であり、それ以上を書くなら複数モデルフェイルオーバ要件として再定義する必要がある。再現性はtemperature=0でもモデル更新で出力が変わるため「同条件で○%以上の意味的一致」と許容幅を明記。コスト上限はテナント別月次トークン上限と超過時挙動（ブロック／警告／降格切替）を記載。バイアス／公平性はEU AI Act第10条^[11]でハイリスクAI評価義務化、属性別の精度差上限を書く。説明可能性はISO/IEC 42001^[14]で組織要件化、曖昧表現でなく「上位3件のソース文書ID＋該当パラグラフを返す」まで具体化する。

ベンダー選定への接続

要件定義書はRFPに添付されベンダー比較表の軸になる。AI領域では「機能の有無」より「セキュリティ要件への対応度」と「契約条項の柔軟性」が差を生む。(1)基盤モデルベンダーとのDPAの写し開示^[12][13]、(2)推論ログのスキーマ・保持・引渡条件、(3)モデル更新の事前通知期間（90日以上が望ましい）、(4)レッドチーム結果開示、(5)契約終了時のデータ・モデル返却証明、の5点を比較表化する。準拠フレームワーク（NIST AI RMF、ISO/IEC 42001、23894、EU AI Act）^{[8][11][14][15]}のマッピング有無も問い、独自基準のみのベンダーは要注意。価格は「トークン課金＋運用工数」総コストで比較し、安価なベンダーほどログ／監査／HITLが薄いトレードオフを直視。PoCで「敵対的プロンプト50件・PII含有20件・業務シナリオ30件」をベンチマークし、結果を本契約SLAに引き写す運用が筋が良い。

情シス／PMO向けチェックリスト（5項目）

1. 10章構成での網羅 — AI特化章（モデル管理、推論ログ、退出条件）が抜けていないか^[4][5][8]
2. 20項目の組込 — OWASP LLM／ML Top 10の該当項目を要件番号として明示、抜けは「該当なし＋理由」を記録^[1][2]
3. 非機能の数値化 — 応答時間・可用性・再現性・コスト・バイアス・説明可能性が測定方法込みで記述^[8][11]
4. 契約条項の事前合意 — DPA／モデル更新通知／ログ引渡／停止権／退出時データ返却の5項目を契約反映^[3][12][13]
5. 受入レッドチーム — 脱獄／間接インジェクション／PII抽出／敵対的入力の4カテゴリ各20件以上で合格基準を契約化^[3][6]

打ち手

要件定義書ひな形を「会社のテンプレート資産」化するのが最短の打ち手。(1)10章構成をWord／Confluenceテンプレート化しAI案件は強制適用、(2)20項目を社内Wikiの「AIセキュリティ要件カタログ」として番号管理し案件ごと採否記録、(3)RFP添付の比較表（対応度、エビデンスURL、代替策）をフォーマット化、(4)PoCテストケース（敵対的プロンプト・PII・業務）を社内蓄積し再利用、(5)四半期ごとにOWASP・EU AI Act・ISO/IEC 42001の更新を反映するオーナーをCISO配下に置く。半年スプリントで整備すれば、調達品質が担当者依存から組織能力に移管される。

「AIシステムにおけるセキュリティとは、開発の最後に追加する機能ではなく、要件定義から設計・実装・運用・退役の全ライフサイクルに組み込まれた属性である。後付けで担保することは不可能に近い」^[3]

結論3点

1. AI要件定義書は従来の機能・非機能の枠だけでは足りず、モデル管理／推論ログ／退出条件／レッドチーム合格基準を独立章として持つ10章構成が必要。IPA＋NIST 800-160＋OWASP＋NCSCを横串参照すべき^{[1][2][3][4][5]}。
2. AI特有要件は20項目に集約可能。プロンプトインジェクション・出力検証・モデル供給・PII・有事停止権はRFP段階で必ず握り、標準フレームワーク番号（LLM01等）を要件番号として明示する^[1][2][6]。
3. 非機能は数値と測定方法をセットで記述。可用性は複数モデルフェイルオーバで担保、再現性は「意味的一致率」、説明可能性は「ソース文書IDと該当箇所」まで具体化する^{[8][11][12][13]}。

経営者視点：AIガバナンスを調達プロセスに埋め込む

経営層が直視すべきは、AIプロジェクト失敗の多くが「技術選定」ではなく「要件定義段階で論点を握れていなかった」ことに起因する点である。基盤モデルがブラックボックス・サプライチェーン依存・確率的振る舞いを持つ以上、後工程で防御を積み上げる従来型品質保証は通用しない。要件定義テンプレートと20項目カタログを社内資産化することは、CISO・PMO・調達の認知負荷を下げ、ベンダー交渉力を構造的に高める投資である。EU AI Act^[11]とISO/IEC 42001^[14]の本格運用を控え、「AIガバナンス体制が整備されている」ことは2026年以降の大型受注・上場審査・M&A評価の前提条件となる蓋然性が高い。経営判断は「禁止」でも「都度議論」でもなく、要件定義テンプレート＋ベンダー評価表＋PoCスイート＋契約雛形の4点を半期で整備し、案件のバラつきを構造的に潰す方向が筋が良い。CISO／CTO直轄で組成すべき全社イシューである。

参考文献

1. OWASP. “Top 10 for LLM Applications v1.1.” https://owasp.org/www-project-top-10-for-large-language-model-applications/
2. OWASP. “Machine Learning Security Top 10 (2023).” https://owasp.org/www-project-machine-learning-security-top-10/
3. NCSC UK / CISA. “Guidelines for secure AI system development (2023).” https://www.ncsc.gov.uk/collection/guidelines-secure-ai-system-development
4. IPA. 「セキュリティ要件定義書ひな形」「非機能要求グレード」. https://www.ipa.go.jp/security/
5. NIST. “SP 800-160 Vol.1 Rev.1: Engineering Trustworthy Secure Systems (2022).”
6. Microsoft. “SDL / Threat Modeling AI/ML Systems.” https://learn.microsoft.com/security/engineering/threat-modeling-aiml
7. Bender, E. M. et al. (2021). “On the Dangers of Stochastic Parrots.” FAccT.
8. NIST. “AI RMF 1.0 / Generative AI Profile (NIST AI 600-1, 2024).” https://www.nist.gov/itl/ai-risk-management-framework
9. 個人情報保護委員会. 「個人情報保護法ガイドライン」「生成AI注意喚起（2023）」. https://www.ppc.go.jp/
10. EU. “GDPR (Regulation 2016/679).” https://gdpr.eu/
11. EU. “AI Act (Regulation 2024/1689).” https://artificialintelligenceact.eu/
12. OpenAI. “Enterprise privacy / DPA / Trust portal.” https://trust.openai.com
13. Anthropic. “Trust Center / Commercial Terms / DPA.” https://trust.anthropic.com
14. ISO/IEC. “42001:2023 – AI Management System.” https://www.iso.org/standard/81230.html
15. ISO/IEC. “23894:2023 – AI Risk Management Guidance.” https://www.iso.org/standard/77304.html
16. MITRE. “ATLAS – Adversarial Threat Landscape for AI Systems.” https://atlas.mitre.org/