JNSA、「生成AIを利用する上でのセキュリティ成熟度モデル」を公開

日本ネットワークセキュリティ協会（JNSA）の調査研究部会AIセキュリティワーキンググループ（WG）は2025年3月26日、「生成AIを利用する上でのセキュリティ成熟度モデル」をGitHubに公開した。
このモデルは、企業や組織が生成AIを安全に活用するための指針となるもので、利用ケースごとに想定される脅威と対策を整理している。

生成AIの普及とセキュリティ課題とセキュリティ成熟度モデルの詳細

生成AIは近年、急速に普及している。テキスト生成や画像生成、さらには動画制作まで、多岐にわたる分野で活用が進んでいる。
しかし、その一方でセキュリティ上の懸念も顕在化している。JNSAはこの課題に対応するため、「生成AIを利用する上でのセキュリティ成熟度モデル」を策定した。

本モデルは、企業が生成AIを安全に運用するための指標となるものである。
生成AIの利用ケースを「外部サービスの利用」（ChatGPTやGoogle Bardなど）、「APIを活用した独自環境」（OpenAI APIやGoogle PaLM APIなど）、「自組織データの活用」、「自組織向けモデルの開発」の4つに分類し、それぞれ想定される脅威とその対策を整理している。
例えば、外部の生成AIサービスを利用する場合、プロンプトインジェクション（※）や不正アクセスのリスクがある。この問題に対しては、適切なアカウント管理やアクセス制御を実施することが求められる。
また、自社のデータを活用するケースでは、データ漏洩の危険性が指摘されており、暗号化やアクセス権限の厳格な管理が必要となる。

JNSAのこの取り組みは、生成AIの発展とともに高まるセキュリティリスクへの対応策を示すものであり、企業にとって重要な指針となると言える。

※プロンプトインジェクション：生成AIに対し、意図しない操作をさせるための不正な入力を与える攻撃手法。悪意ある命令を組み込むことで、不適切な情報を出力させるリスクがある。

今後の展望

生成AIの利活用があらゆる領域で拡大している現在、セキュリティ面を含むガイドラインの整備が急務と言える。

今回のJNSAが公開した「生成AIを利用する上でのセキュリティ成熟度モデル」は、企業が自社状況に適した対策を講じるうえでの指針として機能する見込みだ。
今後は、企業の規模や業種に合わせたさらなるモデルの細分化や、最新技術動向を踏まえた改訂が行われると考えられる。

また、生成AIの継続的な活用に伴い、ソフトウェアサプライチェーン全体でのセキュリティ意識向上と運用体制の確立が進行中だ。
クラウドサービス事業者や開発企業と連携して、実践的なフレームワークを共有・標準化していく流れが続くのではないだろうか。

各社がこれらの取り組みを積極的に推進することで、生成AIの利用に関わるリスクをより低減し、安全で創造的なビジネス活用を実現していくと期待できる。

生成AIを利用する上でのセキュリティ成熟度モデル：
https://github.com/JNSA-AISecurityWG/Generative_AI_Doc