ガイドライン  ·  2026-07-16

CREST AI Charter を9つの原則で AI対応サイバーセキュリティサービスを開始

ガイドラインMedium 影響度Global
2026年7月9日、浸透テスト、インシデント対応、脅威インテリジェンス、SOCプロバイダーを認定する国際会員組織であり、UK NCSC CHECK、CBEST、Dubai Cyber Forceなどの政府公認スキームを運営するCRESTが、CREST AI Charterを開始しました。このCharterは17か国以上の60~73社の創設署名企業の支持を受けています。Charterは、サイバーセキュリティサービス提供における責任あるAI使用のための9つの原則を中心に構築されています。これらの原則は、説明責任とガバナンス、使用の透明性、ドキュメンテーションと監査可能性、境界と管理(人的監督)、データ処理/主権/クライアント管理、セキュリティと機密性、AIツール化の安全な開発、サプライチェーン保証、および回復力/事業継続性です。この原則は2026年3月に最初にプレビューされ、CREST技術ワーキンググループの入力とCRESTConの業界イベントでの検証に続いて最終化されました。CRESTは、Charterに続く正式で独立した評価可能なAIセキュリティ標準を、協働ワーキンググループと研究と並行して開発することを述べています。
これは、(クライアントシステムへの特権付きアクセスを保有する)サイバーセキュリティサービスプロバイダーが自らのサービス提供においてAIを使用する方法を具体的に管理する最初の国境を越えた業界自己規制枠組みです。攻撃の対象としてのAIシステムを管理するフレームワーク(例:OWASP LLM Top 10、MITRE ATLAS)またはセキュリティ保護される製品としてのAI(NIST AI RMF)を管理するフレームワークとは異なります。CREST認定は公認の国家スキーム(UK NCSC CHECK、Bank of England CBEST、Dubai DESC Cyber Force、UK CAA ASSURE)を支えているため、CREST のAI原則は、規制当局と買い手がAI対応浸透テスト、レッドチーミング、SOCサービスを評価する際に指す事実上のベースラインになる可能性があります。CREST自体は、将来のコンプライアンスの断片化を減らすために政府/規制当局の承認を求めていることを述べています。
セキュリティサービスの買い手は、プロバイダーがCREST AI Charterの署名者であるかどうかを尋ね、Charterが義務付けている透明性/ドキュメンテーション成果物(AI使用開示、人的監督管理、データ主権条件)をリクエストする必要があります。プロバイダーは、CRESTの計画された正式で監査可能な標準に先立ち、現在、内部AIツール化の実践を9つの原則に照らし合わせる必要があります。
CREST AI Charter (official)Infosecurity Magazine - New AI Security Charter Backed by Over 70 Cyber FirmsComputer Weekly - Cyber body Crest launches AI security charterCompare the Cloud - CREST AI Charter signs up 60 cybersecurity firms across 17 countries on launch day
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →