Blank white background with no objects or features visible.

TrueFoundryはSeldon AIの買収を発表し、エンタープライズAI向けコントロールプレーンを拡張します。プレスリリース全文はこちら→

2026年のAIセキュリティフレームワーク:適用されるものとそれぞれの限界

By アシシュ・ドゥベイ

Published: July 4, 2026

TrueFoundry maps AI security frameworks to infrastructure enforcement controls

2026年には、企業のセキュリティチームが選択できるAIセキュリティフレームワークはこれまで以上に増えています。NIST、OWASP、MITRE ATLAS、Google SAIF、ISO 42001、CSA MAESTROはそれぞれ、AIセキュリティ問題全体の異なる側面に対応しており、そのどれもが単独で完結しているわけではありません。

組織はどのフレームワークを採用するかを決定したら、各AIセキュリティフレームワークがどのような問題を解決するために設計されたのか、そしてさらに重要なこととして、それぞれがどこまでをカバーしているのかを理解する必要があります。

このガイドでは、主要なAIセキュリティフレームワークを、その範囲、対象読者、実用的なカバー範囲に基づいて比較し、フレームワークを導入した後もどれだけの課題が未解決のまま残るかを示します。

Framework define the rules, your infrastructure has to actually enforce

AIセキュリティフレームワークは何を解決しようとしているのか?

従来のサイバーセキュリティフレームワークは、決定論的なアプリケーションのために特別に開発されました。AIシステムは、振る舞いベースで確率的に動作し、トレーニングデータから学習し、自然言語処理を使用して指示を実行し、自律的に動作する能力をますます高めています。これらの振る舞いの特性は、これまでのどのサイバーセキュリティフレームワークも対処するように設計されていなかった固有のリスクをもたらします。

AIセキュリティフレームワークは、AIリスクを特定し、AIライフサイクル全体を通じてAIシステムを管理し、AIが失敗したり悪用されたりする可能性のある方法に対して信頼性の高い防御を構築するための構造化されたガイドラインを提供することで、このギャップを埋めようとします。

様々なフレームワークが同じ多層的な問題の異なる側面をカバーしているため、企業のセキュリティチームは真の課題に直面しています。特定のAIセキュリティフレームワークに、そのすべてのギャップを考慮せずに単独で依存することは、企業全体のセキュリティ体制に明確な弱点を作り出すでしょう。

主要なAIセキュリティフレームワーク

主要なAIセキュリティフレームワークを見ていきましょう。

NIST AIリスクマネジメントフレームワーク 

米国国立標準技術研究所(NIST)が発行するNIST AI RMFは、統治(Govern)、マッピング(Map)、測定(Measure)、管理(Manage)の4つの主要な構成要素を持っています。「統治」には、ポリシーの確立と役割および責任の定義が含まれます。「マッピング」には、AIがどこで使用されているか、およびその実装に関連するAIリスクの特定が含まれます。「測定」は、それらのリスクを評価するための基準を定義します。「管理」は、評価されたリスクが特定された後、リスク軽減戦略を実行するための計画を確立します。

規制対象業界に関して言えば、NIST AIリスクマネジメントフレームワークはデフォルトのガバナンスの基準となります。これはEU AI法で定義されているリスクティアに直接マッピングされており、金融サービス、ヘルスケア、重要インフラを含む規制対象業界は、AIガバナンスガイダンスにおいてNIST AI RMFを明示的に参照しています。

限界: NIST AI RMFは、技術的な制御ではなく、ガバナンス構造を提供します。どのような説明責任構造が存在すべきか、どのようなAIリスクカテゴリを監視すべきかを定義しますが、実行中にプロンプトインジェクション攻撃を防止する方法についてはガイダンスを提供しません。AI RMFは、エージェントがユーザーに許可されたツールのみを呼び出せるようにする方法については言及していません。これは、下流のエンティティが強制を処理することを前提としています。NIST AI RMFへの準拠を包括的だと考えるチームは、詳細なポリシーを持つことになりますが、実際の運用中に強制力を持つことはありません。

frameworks tell you what to govern, truefoundry is how you govern it

OWASP LLM Top 10とAgentic Top 10

OWASPが作成したLLM Top 10は、プロンプトインジェクション、安全でない出力処理、データポイズニング、モデルに対するサービス拒否攻撃、サプライチェーンの侵害など、大規模言語モデルアプリケーションに対する最高レベルのセキュリティリスクを概説しています。Agentic Top 10は、安全でないツール使用、過剰な特権、エージェント間の信頼境界の侵害、制御されていないリソース消費など、自律エージェントによってもたらされる固有のリスクを特定することで、これらのリスクを拡張しています。

両方のドキュメントは、攻撃研究を開発チームが直接行動できるエンジニアリング制御に変換するのに役立ちます。OWASPは、AI開発がどのような攻撃対象領域をもたらすかを理解するための最良の出発点を提供するため、これはLLMアプリケーションを構築するチームにとって特に価値があります。

限界OWASPは、継続的な実施に対するプログラム的なアプローチを規定するのではなく、対処すべき点を特定する脅威認識文書として機能します。プロンプトインジェクションがAIセキュリティの最も高いリスクであることは明らかですが、文書でそれを特定するだけでは、本番環境で阻止することはできません。運用スタックにランタイムでプロンプトインジェクションをブロックできるものがなければ、OWASPの認識だけでは、それに対するセキュリティ対策は提供されないのです。

MITRE ATLAS

MITRE ATLASは、AIベースのソリューションに対して実際に用いられた敵対的戦術と技術のカタログです。MITRE ATT&CKと同様のマトリックスとして構成されており、ATT&CKベースのセキュリティツールをすでに使用しているSOCチームに直接対応します。これらの技術には、モデル回避、データポイズニング、バックドア攻撃、モデル抽出が含まれ、これらはすべて、推定された脅威モデリングではなく、公開された研究と確認済みのインシデント対応データに基づいています。

レッドチームにとって、ATLASはAIシステムの現実的な敵対的行動に対してテストを行うための構造化された方法を提供します。ブルーチームにとって、ATLASはAI固有の攻撃パターンに対する検知ルールを作成し、AIリスクを既存のSIEMワークフローにマッピングするために必要な語彙を提供します。

限界点: ATLASは攻撃がどのように発生するかを記述し、そのテストを可能にするものであり、これは非常に価値があります。しかし、MITRE ATLASは本番AIワークロードに対するランタイム制御を提供しません。セキュリティチームは、完全なATLASベースの脅威モデルを導き出し、ATLASのすべての技術に対してレッドチーム演習を実施しても、本番環境でそれらの攻撃経路を保護するランタイム防御策を見つけることはできません。ATLASはギャップを可視化しますが、それを埋めるためには別のツールが必要となります。

Google SAIF

Googleが開発したセキュアAIフレームワークは、6つの主要な重点分野を特定しています。 

1) AIエコシステム全体にわたる強固なセキュリティ基盤の構築 

2) AIパイプラインへの検知および対応能力の拡張 

3) AIによって強化されたリスクに先んじるための防御策の自動化

4) プラットフォームレベルの制御を標準化し、単一の包括的なポリシーによって統制されるようにする

5) AIシステムのコンテキストに基づいて、必要に応じて制御を調整する 

6) 既存の脅威モデルとの関連でAIリスクを評価する 

SAIFは、Google CloudでAIアプリケーションを開発している組織や、Googleのエンジニアリング標準を使用している組織に、モデル開発の初期段階からAIの開発およびデプロイメントに至るまで、効果的なAIセキュリティアプローチに関する優れた理解を提供します。

限界点: SAIFは高レベルのベストプラクティスとして役立ちますが、AIアプリケーションが本番環境に移行した後の具体的な制御やその実施方法を規定するものではありません。SAIFは、モデルトレーニング段階におけるデータ整合性、モデルセキュリティ、サプライチェーンセキュリティに関して実質的なガイダンスを提供しますが、デプロイメント後の本番エージェントに対する制御の実施については、出発点を提供するに過ぎません。

ISO 42001 

ISO 42001は、AIに関する国際的なマネジメントシステム規格です。これは、ISO 27001(情報セキュリティ)およびISO 9001(品質マネジメント)と同じハイレベル構造を使用し、AIマネジメントシステムを確立、実施、維持、改善する方法を記述しています。すでにISOガバナンスフレームワークを使用している組織は、ISO 42001を共通言語として使用することで、既存のプログラムをAIに拡張できます。

組織がISO 42001を採用する主な理由は、企業調達プロセスによってますます課されるAIガバナンス認証要件を満たすための認証パスを提供するからです。ISO 42001は、この目的のために利用できる最も信頼性の高いフレームワークです。

限界: ISO 42001は、技術的な制御や運用上のセキュリティ対策ではなく、マネジメントシステム認証に焦点を当てています。これは、組織がAIガバナンスポリシーを策定し、説明責任を確立し、レビュープロセスを導入していることの証拠となります。 

しかし、ISO 42001は、エージェントAIの振る舞い、プロンプトインジェクション、またはインフラレベルでのランタイム強制には対処していません。ISO 42001認証を受けたマネジメントシステムがあるからといって、組織のシステムがそれらを通過する個々のリクエストをフィルタリングしたり、ログに記録したりするわけではありません。この認証は、ガバナンスマネジメントシステムを証明するものであり、データセキュリティやライブトラフィックの強制を証明するものではありません。

Comparison table of AI security frameworks by scope and enforcement coverage

複数のフレームワークをどのように併用するか?

これらのAIセキュリティフレームワークは異なる目的のために作成されており、それらを併用することで、それぞれの弱点を補うことができます。

NIST AI RMFはガバナンスモデルを提供します。OWASP LLM Top 10とAgentic Top 10は、セキュリティ脆弱性を評価するための開発者およびエンジニアの基準として機能し、多くの場合、 AIコードセキュリティツール と併せて、開発およびデプロイメント中の実装リスクを特定するために使用されます。MITRE ATLASは、AI固有の攻撃手法に対する脅威モデリングとレッドチームをサポートします。ISO 42001は、外部検証と規制遵守を扱います。Google SAIFは、モデル開発とモデルトレーニングにセキュリティを組み込むためのガイダンスを提供します。

これらのAIセキュリティフレームワークを組み合わせることで、AIシステムのすべての層が考慮されているという追加の保証が得られます。NIST AI RMFは、何を統治すべきかについてのガイダンスを提供します。OWASPは、何を監視すべきかについてのガイダンスを提供します。ATLASは、攻撃がどのように実行されるかについてのガイダンスを提供します。ISO 42001は、規制要件への準拠の証拠を提供します。SAIFは、安全なAIモデルを開発する方法についてのガイダンスを提供します。

しかし、一つの重大なギャップが残っています。これらのAIセキュリティフレームワークのいずれも、すべてのAIリクエスト、エージェントアクション、ツール呼び出しが実行される前にポリシー強制を必要とするコントロールプレーンに対処していません。

AI security framework layers and infrastructure enforcement gap

AIセキュリティフレームワークが未対応の点は何か?

ここでレビューされたすべてのAIセキュリティフレームワークは、ポリシー、ドキュメント、脅威モデリングの3つのレベルのいずれかでアクションを強制します。それらのいずれも、ライブ推論トラフィックに対する制御を直接強制するものではありません。

NIST AI RMFを使用しても、過剰な権限を持つエージェントが制限されたツールを介してアクションを実行するのを防ぐことはできません。それは、下流の何かが強制を正しく処理することに依存しています。

OWASPはプロンプトインジェクションをAIセキュリティの最大の脆弱性として特定していますが、それを文書で認識するだけでは、注入された指示が本番AIモデルに到達するのをブロックすることはできません。

MITRE ATLASは、攻撃者がエージェントの機能をどのように悪用するかについてのモデルを提供しますが、ライブデプロイメントでその悪用を防ぐことはできません。レッドチームは脆弱性を特定します。別個の技術層がそのギャップに対処する必要があります。

ISO 42001認証は、マネジメントシステムが導入されていることを示しますが、そのシステムによって処理されるすべてのリクエストがリアルタイムでログに記録されたり、フィルタリングされたりすることを保証するものではありません。

このギャップは構造的なものです。AIセキュリティフレームワークは、計画、ドキュメント作成、テスト環境向けに設計されました。このギャップを埋めるには、AIシステムがリアルタイムで実行され、リクエストがモデルやツールに到達する前にポリシーが強制される、インフラ層で動作するコントロールプレーンが必要です。

TrueFoundryはインフラ層でAIセキュリティフレームワークをどのように運用化するか?

TrueFoundry architecture mapping AI security frameworks to infrastructure controls

TrueFoundryは重要な前提に基づいて運営されています。インフラ層は、前述の制御フレームワークを強制すべきであり、その強制を個々の開発チームに任せたり、ガバナンス成果物に文書化したりすべきではありません。 

TrueFoundryプラットフォームは、顧客のAWS / GCP / Azureアカウントにデプロイされ、モデル/ツールがリクエストを受信する前に、ゲートウェイ層でポリシーを強制します。

  • OWASPの安全でないツール利用への対応: OAuth 2.0のIDインジェクションは、すべてのエージェントのアクションを認証されたユーザーの権限範囲に紐付けます。要求元のユーザーがそのツールへのアクセスを許可されていない限り、エージェントはツールを呼び出すことができません。これは、AIセキュリティフレームワークが記述しているものの、それ自体では強制できない最小権限の原則を直接的に実装しています。
  • NIST AI RMFガバナンス標準への対応: 開発チームが一貫して実装するとは限らないポリシー文書に任せるのではなく、モデルごと、ツールごとのアクセス制御メカニズムがシステムレベルでAIリスク管理の責任を確立します。
  • OWASP LLM01プロンプトインジェクションへの対応: プロンプトインジェクションのフィルタリングは、命令がAIモデルのコンテキストに到達する前にインフラレベルで適用されます。PIIの匿名化は、個人データや機密データがモデルに入力される前に傍受することで、OWASP LLM06の機密情報開示に対応し、AIセキュリティフレームワークが規定するデータ保護要件を満たします。
  • 監査可能な記録の生成: 不変の監査記録は、チームやアプリケーションごとに個別のロギングインフラストラクチャを必要とせずに、NIST AI RMF、ISO 42001、およびEU AI Actに示されている要件を満たします。
  • データプライバシーとデータレジデンシー要件への対応: VPCネイティブデプロイメントは、すべてのAIセキュリティフレームワークが示しているものの、それ自体では強制できない主権およびレジデンシー要件に準拠します。
  • フレームワークの指針と組織の実情とのギャップを埋める: インフラレベルでは、ガバナンスバインダーに文書化され、チーム間で一貫性のない適用がされるのではなく、すべてのポリシーがすべての実行リクエストに対して強制されます。

The fastest way to build, govern and scale your AI

Sign Up
Table of Contents

One Gateway for Every LLM, Agent and MCP Server

Book a 30-min with our AI expert

Book a Demo

The fastest way to build, govern and scale your AI

Book Demo
Summarize with
ChatGPT logo by OpenAI
Perplexity AI logo
Blurry red snowflake on white background, symmetrical frosty design with soft edges and abstract shape.

Discover More

No items found.
OpenRouter vs AI Gateway
July 4, 2026
|
5 min read

OpenRouter 対 AIゲートウェイ:どちらがあなたに最適ですか?

comparison
July 4, 2026
|
5 min read

プロンプトエンジニアリング:LLMとの対話方法を学ぶ

Thought Leadership
LLMs & GenAI
July 4, 2026
|
5 min read

True ML Talks #12 - Llama-Index共同創設者

True ML Talks
July 4, 2026
|
5 min read

AIワークロードがクラウド料金を膨らませていませんか?

Thought Leadership
No items found.

Recent Blogs

Black left pointing arrow symbol on white background, directional indicator.
Black left pointing arrow symbol on white background, directional indicator.

Frequently asked questions

What are the main AI security frameworks?

The primary AI security frameworks in 2026 are the NIST AI Risk Management Framework for governance and AI risk management; OWASP LLM Top 10 and Agentic Top 10 for engineering-level security vulnerabilities; MITRE ATLAS for adversarial threat intelligence; Google SAIF for secure AI framework development principles; and ISO 42001 for AI governance management system certification. Each covers a different layer of the AI security problem and must be used together for comprehensive coverage.

What is the framework for securing AI?

No singular AI security framework addresses all AI security concerns comprehensively. The NIST AI Risk Management Framework provides the foundational governance structure for AI risk management. However, building operational AI security requires layering multiple AI security frameworks together and implementing technical controls at the infrastructure layer where the AI system executes, ensuring that security measures apply to live traffic and not only to governance documentation.

Which AI security framework should a regulated industry organization prioritize first?

Start with the NIST AI RMF for governance and regulatory compliance. Layer in OWASP for engineering-level security vulnerabilities and prompt injection coverage. Add ISO 42001 if procurement processes or external compliance requirements require certification. Throughout this process, recognize that none of these AI security frameworks replace the need for runtime enforcement of live AI system traffic and sensitive data protection at the infrastructure layer.

How do AI security frameworks address the specific risks introduced by autonomous AI agents?

The OWASP Agentic Top 10 most directly addresses agent-level AI security risk, covering insecure tool use, excessive permissions, and multi-agent trust boundaries. MITRE ATLAS maps techniques applicable to agent exploitation. The NIST AI RMF and ISO 42001 provide governance structures extensible to agents but neither prescribes agent-specific technical controls. Enforcing AI security controls at the agent level requires infrastructure-level tooling that operates at runtime against every agent action.

Take a quick product tour
Start Product Tour
Product Tour