Mendは、AIが組織に急速に導入される一方で統治が追い付かないギャップを埋めるため、「AI Security Governance: A Practical Framework for Security and Development Teams」を公開しました。
同フレームワークは、AppSec担当者や開発マネジャー、データサイエンティストが最初に何を整えるべきかから設計されています。
まず「AI資産」の可視化を前提に、GitHub CopilotやCodeiumのような開発ツール、OpenAIやGoogle Geminiのような外部API、オープンソースモデル、SaaSのAI機能、社内モデル、自律エージェントまでを棚卸し対象に定義しました。
次に、データの機微度、意思決定権限、システムアクセス、外部公開、サプライチェーン起源の5観点で1〜3点を付け、合計点によりTier1〜Tier3の統治要件を定めます。
Tier3では完全なセキュリティ評価や継続監視、デプロイ対応のインシデント対応プレイブックが求められます。
また、AIシステムにも最小権限を適用し、APIキーのスコープ絞りや共有資格情報の回避、不要な書き込みをデフォルトで行わないことを求めています。
さらに、プロンプトインジェクションやモデルドリフト、ジェイルブレイクなどAI固有の脅威に対応する監視層を、モデル層・統合層・インフラ層の3段で提示しました。
第三者モデルのリスクを扱うため、AI Bill of Materials(AI-BOM)としてモデル名やバージョン、学習データ参照、依存関係、推論基盤、脆弱性と対処状況を文書化する枠組みも示しています。
最後に成熟度を「Emerging〜Leading」の4段階で整理し、AI-BOM導入や脅威モデリング、自動ガードレール、継続的な検証を通じて段階移行する方針を提示しました。
同ガイドは自己診断のためのチェックも含めて無償ダウンロード可能です。
参照元:2026/04/24 「Mend Releases AI Security Governance Framework: Covering Asset Inventory, Risk Tiering, AI Supply Chain Security, and Maturity Model」 https://www.marktechpost.com/2026/04/23/mend-releases-ai-security-governance-framework/
コメント