🛡️サイバーセキュリティニュース公開 2026.06.03

NISTがAI専用サイバーセキュリティフレームワーク草案を公開

NIST IR 8596「Cyber AI Profile」が示すLLMシステムの新たなリスク管理指標

NISTがCSF 2.0の全6機能をAI固有リスクにマッピングした「Cyber AI Profile（NIST IR 8596）」初期公開草案（IPRD）を解説。プロンプトインジェクション・データポイズニング・モデル窃取など生成AIに直結するリスクカテゴリと、組織レベルでのリスク管理フレームワーク採用の意義をCISO・情報システム担当者向けに整理します。

読了約18分

LLMシステムや生成AIアプリの「個別の脆弱性と実装対策」は、OWASP LLM Top 10を始め多くの実装ガイドが扱っています。しかし、組織全体でAIリスクをどう管理するか——ガバナンス、識別、保護、検知、対応、復旧というサイクルをどう回すか——については、公的機関からの体系的なフレームワークがまだ少ない状況でした。

NISTがその空白を埋めようとしています。2025年12月に予備草案（Preliminary Public Draft）が公開され、2026年初頭に初期公開草案（Initial Public Review Draft、IPRD）としてリリースされた NIST IR 8596「Cybersecurity Framework Profile for Artificial Intelligence（Cyber AI Profile）」 は、既存のCSF 2.0の全6機能をAI固有のリスクにマッピングした初めての公式フレームワーク草案です。

本記事では、この草案が「何を、なぜ、どのように整理しているか」を読み解き、LLMシステムを組織に導入しているCISO・セキュリティアーキテクト・情報システム担当者が、フレームワーク採用で何が変わるかを具体的に示します。

NIST IR 8596とは何か：CSF 2.0とAI特化プロファイルの関係

CSF 2.0の「プロファイル」という概念

NIST Cybersecurity Framework（CSF）2.0は、2024年2月に公開された組織のサイバーセキュリティ態勢を評価・改善するための汎用フレームワークです。6つのコア機能——Govern（統治）、Identify（識別）、Protect（保護）、Detect（検知）、Respond（対応）、Recover（復旧）——を軸に、組織が現在の態勢と目標とする態勢のギャップを整理するための共通言語を提供します。

「プロファイル」とは、このCSF 2.0を特定のセクターや技術領域に適用するためのカスタマイズ版です。クラウドサービスプロバイダー向けや重要インフラ向けなど、さまざまなプロファイルが存在しますが、AI専用のプロファイルは今回のNIST IR 8596が初めてです。

Cyber AI Profileの策定背景

NIST IR 8596の策定は、NISTのナショナル・サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）が主導しています。2025年12月の予備草案公開時に、NISTは「AI時代にサイバーセキュリティを再考する」という問題提起をしており（NIST公式プレスリリース）、AIがサイバーセキュリティに与える変化を従来のフレームワークでは十分に捉えられないという認識が出発点になっています。

策定プロセスには、約6,500名が参加するコミュニティ・オブ・インタレスト（Community of Interest）が関与しています。業界・政府・学術機関から幅広い専門家が集まり、AIシステムが組織にもたらす新しいリスクの洗い出しとサブカテゴリの整理を行いました。

3つの統合領域：Cyber AI Profileが捉えるAIとセキュリティの交差点

NIST IR 8596の特徴は、AIとサイバーセキュリティの関係を単方向（AIを守る）ではなく、3つの方向から整理している点です。

領域1：AIシステムの保護（Securing AI Systems）

生成AIアプリ、LLMサービス、AIパイプライン自体を攻撃から守るための領域です。従来のソフトウェアセキュリティとは異なり、AIシステム固有の攻撃面——モデルウェイト、トレーニングデータ、推論パイプライン——を考慮する必要があります。

この領域では、プロンプトインジェクションやデータポイズニングのような新出リスクが従来のCSF 2.0のカテゴリには収まりきらないため、AI専用のサブカテゴリが必要とされていました。

領域2：AIを活用したサイバー防御（AI-Enabled Cybersecurity）

AIが防御側のツールとして機能する領域です。脅威インテリジェンスの自動分析、異常検知の高精度化、SOCアナリストの作業支援など、AIがセキュリティオペレーションを高度化する側面を扱います。

AIを活用した防御ツールを導入する際にも、そのツール自体のセキュリティ（モデルの信頼性、出力の妥当性、ハルシネーションによる誤検知リスクなど）を評価する必要があるという視点が含まれます。

領域3：AI起因の攻撃への対抗（Countering AI-Enabled Threats）

攻撃者がAIを悪用して行う脅威——ディープフェイクを使ったソーシャルエンジニアリング、AI生成のフィッシングメール、自動化された脆弱性探索——に対抗するための領域です。

この領域は、組織が自社のAI導入状況にかかわらず対処が求められるものであり、CSF 2.0のDetect（検知）とRespond（対応）の機能が特に重要になります。

CSF 2.0の6機能×AI固有リスクのマッピング：生成AI担当者が注目すべきサブカテゴリ

NIST IR 8596の中心的な価値は、CSF 2.0のコア機能をAI固有のリスクカテゴリと対応付けたサブカテゴリ体系にあります。LLMアプリに直結する主要なリスクカテゴリとその位置づけを整理します。

Govern（統治）：AI固有のガバナンス要件

CSF 2.0でGovern機能が追加されたのはバージョン2.0からで、「AIリスクに関する組織の方針・役割・責任の明確化」がここに位置します。AIシステムの調達基準、サードパーティAIサービスのリスク評価、AI利用に関するポリシーの整備が具体的な要素として含まれます。

多くの組織では「とりあえず使い始めた」段階であり、AIリスクに関するガバナンス文書が存在しないケースも多いでしょう。Cyber AI ProfileはGovern機能を出発点に位置付け、技術対策の前提として組織方針の整備を求めています。

Identify（識別）：AIシステムの資産管理とリスク評価

自組織で利用しているAIモデル、学習データ、APIエンドポイント、外部AIサービスへの依存関係を把握することが求められます。「シャドーAI」——IT部門を経由せず業務部門が導入した生成AIツール——の存在を識別することも含まれます。

**AI固有リスクとして特に言及されるのが「AIサプライチェーン攻撃」**です。外部から取得したモデルウェイトや公開データセットに、悪意ある操作が加えられているリスクを評価プロセスに組み込む必要があります。

Protect（保護）：プロンプトインジェクションとデータポイズニングへの対処

Protect機能にはAI固有の保護対策のサブカテゴリが設けられています。

プロンプトインジェクション（Prompt Injection） は、外部から入力されるテキストを通じてLLMの動作を意図せぬ方向に誘導する攻撃です。RAGシステムや外部ツールを使うLLMエージェントでは、信頼できないデータソースからの入力が攻撃ベクターになります。

データポイズニング（Data Poisoning） は、学習データやRAGのナレッジベースに悪意ある情報を混入させ、モデルの出力を歪める攻撃です。ファインチューニングを行う組織や、外部データを定期取り込みしているRAGシステムが対象になります。

これらのリスクに対するProtect機能での対応として、入力バリデーション、出力のサニタイズ、信頼できないデータソースの分離が主要な対策として位置付けられます。

Detect（検知）：AIシステムの異常動作モニタリング

従来のセキュリティ監視に加え、AIシステム固有の異常を検知する仕組みが求められます。

推論パイプラインへの異常なクエリパターン
モデル出力の統計的分布の急激な変化
本来の権限範囲を超えたツール呼び出し（LLMエージェントが外部APIを想定外に利用するケースなど）

現状、多くの組織ではアプリケーションログを取っていても「AIシステムとしての異常」を検知するロジックが存在しません。Cyber AI ProfileはDetect機能でこのギャップを埋めることを要求します。

Respond/Recover（対応・復旧）：AI特有のインシデント対応

AIシステムが関与するインシデントでは、従来とは異なる対応手順が必要です。モデルのロールバック方針、影響を受けたトレーニングデータの取り扱い、AI出力を根拠にした意思決定の遡及確認など、AI固有のシナリオが含まれます。

モデルウェイトの窃取（Model Theft） は、APIへの大量クエリを通じてモデルの知識や構造を抽出する攻撃です。知的財産としてのモデルを保護するとともに、窃取が検知された場合の対応手順をRecover機能として整備することが求められます。

実務担当者の視点：フレームワーク採用で何が変わるか

フレームワーク採用の実際的な意味

NIST IR 8596を組織が採用することで、まず変わるのは「AIリスクを議論するための共通言語」ができることです。

現状、「このLLMアプリは安全か」という問いに対する回答は、担当者によってバラバラです。セキュリティ部門はプロンプトインジェクションのPoCを気にし、法務はデータ保護規制を気にし、経営層はベンダーロックインを気にする。Cyber AI ProfileのGovern機能は、こうした観点を一つのフレームワーク上で整理する語彙を提供します。

既存のOWASP LLM Top 10との使い分け

OWASP LLM Top 10やMCPセキュリティガイドは、「どの脆弱性が存在し、どう実装で対処するか」という技術レイヤーの実践ガイドです。Cyber AI Profileは、そうした技術対策を「組織として体系的に実施するための管理フレームワーク」であり、両者は相互補完の関係にあります。

たとえば、OWASPがプロンプトインジェクションへの対策実装を指示する場合、Cyber AI ProfileはProtect機能の中でその対策をどのポリシーと紐付け、誰が担当し、どう効果測定するかを組織構造として整備することを求めます。

今すぐ着手できる実務アクション

NIST IR 8596は草案段階ですが、フレームワークの方向性は固まっています。最終版を待たずに今から準備できることがあります。

ステップ1: AIシステムのインベントリ作成（Identify機能の出発点）

組織内で利用しているAIシステム——クラウドAPIで呼び出すLLM、社内構築のRAGシステム、業務部門が個人利用しているSaaS型生成AIツール——を一覧化します。「シャドーAI」の把握がなければ、以降のリスク管理は機能しません。

ステップ2: AIリスクの責任者の明確化（Govern機能の出発点）

AIシステムのセキュリティについて、誰が最終責任を持つかを明文化します。多くの組織ではIT部門、情報セキュリティ部門、AI活用推進部門の間で責任が曖昧になっています。

ステップ3: 外部AIサービスのリスク評価プロセスの整備（サプライチェーンリスク）

新しいAIツールやモデルを導入する際の評価チェックリストを作成します。提供元の信頼性、モデルの来歴（どのデータで学習されたか）、APIアクセスの認証方式などを評価項目に含めます。

プロンプト例：AIリスクインベントリの初期作成に活用する

Cyber AI ProfileのIdentify機能への対応として、組織内のAIシステムを整理する際に活用できるプロンプト例です。

あなたは情報セキュリティ担当者です。
以下の情報を元に、NIST IR 8596「Cyber AI Profile」のIdentify機能に対応した
AIシステムインベントリの初期リストを作成してください。

【収集情報】
- 利用しているAIサービス: [サービス名・用途を箇条書きで入力]
- AIを組み込んだ社内システム: [システム名・AIの役割を箇条書きで入力]
- 外部APIで呼び出しているLLM: [プロバイダー名・モデル名を入力]

【出力形式】
各システムについて以下の項目を整理してください:
1. システム名・提供元
2. 利用部門・用途
3. 外部データ取り込みの有無（RAG等）
4. 主なリスク類型（プロンプトインジェクション/データポイズニング/
   モデル窃取/サプライチェーン/その他）
5. 現在の対策状況（あれば）
6. Cyber AI ProfileのCSF機能上の優先課題（Govern/Identify/Protect/Detect/Respond/Recover）

このプロンプトはそのままChatGPT・Claude・Geminiなどで使用できます。ただし、社外のAIサービスに機密情報を入力しないよう注意してください。実際の運用では、システム名や組織固有の情報を入力する前に情報分類ポリシーを確認することを推奨します。

次はこれ！

NIST IR 8596でフレームワークの全体像を把握したら、次は実際にどのAIツールを組織に導入すべきか、セキュリティ以外の観点も含めて検討できます。AIツール5つを自腹で比較検証したnote記事で、実務での使い分けを深掘りしています。

よくある質問（FAQ）

NIST IR 8596はいつ最終版が公開されますか？

現時点（2026年6月）では確定した最終版の公開スケジュールは公表されていません。初期公開草案（IPRD）に対するパブリックコメント期間が終了した後、コメントの審査と文書の修正を経て最終版が公開される予定です。最新情報はNIST CSRCの公式ページ（csrc.nist.gov/pubs/ir/8596/iprd）でご確認ください。

NIST AI RMF（AI Risk Management Framework）とCyber AI Profileの違いは何ですか？

NIST AI RMF（AI 100-1）は、AIシステムのリスク全般——精度、公平性、説明可能性、信頼性など——を管理するフレームワークです。一方、NIST IR 8596のCyber AI ProfileはAIシステムに特化したサイバーセキュリティリスクの管理に絞り、CSF 2.0との整合性を保ちながらAI固有のセキュリティサブカテゴリを追加したものです。両者は補完関係にあり、AI RMFがAIの全体的な信頼性を扱うのに対し、Cyber AI ProfileはサイバーセキュリティCISO・情報システム部門が主な利用者として想定されています。

OWASP LLM Top 10とどう使い分ければいいですか？

OWASP LLM Top 10は開発者・セキュリティエンジニア向けの「どの脆弱性があり、どうコードレベルで対処するか」という実装ガイドです。NIST IR 8596は経営層・CISO・情報システム部門向けの「組織としてAIリスクをどう管理するか」というガバナンスフレームワークです。実務では、OWASP LLM Top 10で技術対策を決め、Cyber AI Profileでその技術対策をどのポリシーや組織体制と紐付けるかを整理するという使い分けが自然です。

中小企業や限られたリソースの組織でも適用できますか？

CSF 2.0と同様、NIST IR 8596はスケーラブルな設計を意図しています。すべてのサブカテゴリを一度に対応する必要はなく、自組織のAIシステムの規模・リスクレベルに応じて優先順位を付けて段階的に適用することが推奨されます。まずIdentify機能でAIシステムのインベントリを作り、最もリスクが高いシステムからProtect/Detect機能の対応を進めるアプローチが現実的です。

NIST IR 8596への準拠は法的に義務付けられていますか？

現時点では、NIST IR 8596への準拠は法的義務ではありません。NISTのフレームワークは自発的な採用を前提としています。ただし、米国政府機関との取引や特定の規制業種（金融、医療など）では、NISTフレームワークへの準拠が実質的な要件として求められるケースが増えています。日本国内では現時点で直接の法的根拠はありませんが、経済産業省のAIセキュリティガイダンス等との整合性を取る観点から参照する価値があります。

まとめ

NIST IR 8596「Cyber AI Profile」は、AI専用のサイバーセキュリティフレームワークとして初めてCSF 2.0の6機能にAI固有のリスクをマッピングした草案文書です。

主なポイントを振り返ります。

**初期公開草案（IPRD）**であり、最終版に向けてコメント募集中。内容は変更される可能性がある
「AIシステムの保護」「AIを活用した防御」「AI起因の攻撃への対抗」という3領域を統合して扱う
プロンプトインジェクション、データポイズニング、モデルウェイト窃取、AIサプライチェーン攻撃という生成AI固有のリスクが体系的にサブカテゴリ化されている
OWASP LLM Top 10やCISAのエージェントAIガイドとは異なり、組織レベルのリスク管理フレームワークとして機能する
今すぐ着手できる実務アクションは「AIシステムのインベントリ作成」「AIリスクの責任者の明確化」「外部AIサービスの評価プロセス整備」の3点

AIを業務に取り入れる組織にとって、個別の対策実装と並行して組織体制・ガバナンスを整えることが、持続可能なAIリスク管理の基盤になります。

MCPのtool poisoning・rug pull・サプライチェーン攻撃から守る：LLMアプリ開発者のための防御設計チェックリスト — MCP固有のリスクを実装レベルで対処するための防御設計チェックリスト。Cyber AI ProfileのProtect機能の技術的実装先として参照できる
NSAがMCPセキュリティ設計指針を公開：AIエージェント自動化のトラストゾーン分離・DLP・入力検証ガイダンス解説 — NSA AISCによる公式ガイダンスとNIST IR 8596は補完関係にある。エージェントAIの設計段階での具体的な対策はこちら
社内RAGのナレッジポイズニング対策ガイド：データ汚染リスクの把握から検知・防止設計まで — Cyber AI ProfileのIdentify/Protect機能で対象となるデータポイズニングリスクの実装対策を詳しく解説
AIエージェントのアイデンティティ管理：JITエフェメラル認証情報とマルチエージェント認可伝播の実装ガイド — エージェントAIの認証・認可設計はCyber AI ProfileのProtect機能の重要要素。実装ガイドとして併読推奨

参考リンク

タグ #AI安全性 #セキュリティ設計 #プロンプトインジェクション #データセキュリティ

Azure AI Content Safety Prompt Shields 実装ガイド：直接・間接プロンプトインジェクション検知とGroundedness APIでRAGの事実乖離を防ぐ