何が起きたか
クラウドセキュリティアライアンス(CSA)は2026年5月19日にAIセキュリティ成熟度モデル(AISMM)バージョン1.0をリリースし、2026年5月20日にブログ投稿を行いました。AISMMは、エンタープライズセキュリティプログラムがAIの安全な採用とセキュアな利用能力を測定および改善するのを支援するために設計された、12カテゴリ、5レベルのCMM準拠の成熟度モデルです。3つのドメインをカバーする12のカテゴリには、AIアセット可視性、AIアイデンティティおよびアクセス管理、AIサプライチェーンセキュリティ、プロンプトおよび出力ガバナンス、モデルリスク管理、およびエージェンティックAI監視が含まれます。「特定のAIプロジェクトに対してどのコントロールを導入すべきか」に答えるCSA AIコントロールマトリックス(AICM)とは異なり、AISMMは「各成熟度レベルでエンタープライズAIを管理するセキュリティプログラムはどのようなものか」に答えます。AICMと直接整合し、自社ホスト型、PaaS、およびAPI/SaaS AIパターンの導入タイプフィールドが組み込まれています。フレームワークはその統制目的に対する公開フィードバックへの招待とともにリリースされました。
なぜ重要か
AISMMは真の隙間を埋めます。ほとんどの組織はプロジェクトレベルでAIセキュリティコントロールをマップしていますが、全体的な準備状況を評価するためのプログラムレベルのベンチマークが不足しています。5レベルのCMM構造により、NIST CSFが一般的なサイバーセキュリティプログラムに対応する方法と同様に、取締役会対応の成熟度評価として直接使用できます。AICM整合は、CSA AIコントロールマトリックスにすでに投資している組織が重複なく拡張できることを意味します。コンサルタントは、本日エンタープライズクライアントとのAIセキュリティ成熟度評価用の診断フレームワークとしてこれを使用できます。
必要な対応
cloudsecurityalliance.orgからAISMMワークブックをダウンロードし、12のカテゴリに対して初期的な自己評価を実施してください。お客様のプログラムが現在どの成熟度レベルにあるかを特定し、最もギャップが大きい2~3つのカテゴリを構造化されたAIセキュリティ改善ロードマップとしてリーダーシップに提示してください。フレームワークをクライアントとのAIセキュリティギャップ評価エンゲージメントの提案構造として使用してください。