サイバーリスクガバナンスSaaS「CISOaaS」を提供する株式会社セキュアベース(東京都目黒区、代表取締役社長:阿部 実洋)は、本日、CISOaaSを通じて、新たな評価フレームワーク「AIガバナンス成熟度評価」の提供を開始しました。 本フレームワークは、企業におけるAIガバナンスの実践状況を評価するために、NIST AI Risk Management Framework(AI RMF 1.0)および ISO/IEC 42001:2023 に基づき、セキュアベースが独自に設計したものです。AI利用方針、リスク管理、データガバナンス、運用監視、人材育成など10領域68設問を通じて、組織全体のAIガバナンス成熟度を可視化し、課題の特定からロードマップの策定まで支援します。 CISOaaSに「AIガバナンス成熟度評価」を追加 「AIを導入する」から「AIを統治する」へ 生成AIの急速な普及により、多くの企業でAI活用が進んでいます。一方で、AI利用ルールの未整備、責任体制の不明確さ、入力データの管理不足、外部AIサービス利用時のリスクなど、新たなガバナンス上の課題も顕在化しています。近年では、経済産業省「AI事業者ガイドライン」や欧州「AI規制法(EU AI Act)」をはじめ、AIの安全性・透明性・説明責任を求める規制やガイドラインの整備が進んでいますが、こうした要求事項を実務レベルで評価し改善につなげるには、専門知識と多くの工数が必要となります。 CISOaaSの「AIガバナンス成熟度評価」は、AIとの対話形式によるヒアリングと専門家レビューを通じて、企業のAIガバナンス状況を効率的に評価し、課題の特定から改善施策の策定までを支援します。 10領域68設問で組織のAIガバナンスを可視化 本フレームワークは、NIST AI RMFの4機能(GOVERN・MAP・MEASURE・MANAGE)および ISO/IEC 42001:2023の体系・観点を参照して作成された、企業がAIガバナンスを実践するうえで重要となる10領域で構成されています。 AIガバナンス体制・方針 AI責任者の設置、方針策定、適用範囲の明確化 AIリスクマネジメント AI特有のリスクの識別・評価・対応・受容 AIシステムのインベントリと分類 利用中AIの把握、分類、ライフサイクル管理 データガバナンス データ品質、プライバシー、セキュリティ管理 AIシステム開発ライフサイクル 開発・調達・導入・運用・廃棄プロセス管理 信頼性の計測・評価 公平性、説明可能性、堅牢性等の評価 AI運用・監視・インシデント対応 継続的監視と異常発生時の対応体制 透明性・説明責任・利害関係者対応 AI利用に関する情報開示と説明責任 サードパーティ・調達ガバナンス 外部AIサービスやSaaSの評価・契約・管理 人的要素・責任あるAI利用・教育 社員教育、倫理指針、責任体制の整備 設問はAIとのチャット形式で進行し、回答に応じて動的に生成される選択肢や、自由記述型の回答に応じてAIがリスク項目を洗い出し、可視化します。また、CISOaaSの既存機能と連携し、リスク分析、投資対効果(ROI)分析、レポート作成、改善ロードマップの策定まで一貫して実施できます。上位プランでは、AIによる評価結果を専門家がレビューするとともに、定例会を通じて改善方針の策定や改善施策の推進を支援します。 技術リスクとガバナンスリスクを一元管理 CISOaaSでは既に「OWASP Top 10 for LLM 2025」に対応した評価フレームワークを提供しており、プロンプトインジェクションや機密情報漏洩など、個々のAIシステムに対する技術的リスクを評価できます。そのため、今回追加した「AIガバナンス成熟度評価」により、企業は以下の二つの観点からAIリスクを包括的に管理できるようになりました。 技術層:AIシステムの安全性・セキュリティリスク評価 組織層:AIガバナンス体制・方針・運用プロセス評価 これにより、個別システムのセキュリティ対策だけでなく、経営・管理レベルを含めた全社的なAIリスク管理を実現します。 また、AIガバナンス評価の結果はリスク分析・投資対効果(ROI)算出機能と連携しており、AIガバナンス上の課題を財務インパクトとして定量的に把握することが可能となります。 代表者コメント 株式会社セキュアベース 代表取締役社長 阿部 実洋, CISSP, CISA 生成AIの普及により、多くの企業でAIの利活用が進む一方で、AIをどのように管理し、どのようなルールのもとで活用するかは、新たな経営課題の一つとなっています。 今回追加したAIガバナンス成熟度評価により、CISOaaSは個々のAIシステムのセキュリ