何が起きたか
オーストラリア信号局(ASD)は、Information Security Manual(ISM)の2026年6月版(261ページ)を公表し、AI セキュリティコンテンツを含む新しいおよび改訂されたコントロールを追加しました。新しいコントロールには、ISM-2121が含まれており、十分なサイバーセキュリティ知識を持たないソフトウェア開発者はプロジェクトに使用されないことが要求されます。AIモデルを使用して脆弱性評価とペネトレーションテストを拡張することを推奨するコントロール、イベント検出用のAIモデルを備えた脅威インテリジェンスサービスの推奨、および ISM-2107 を含む3つの新しいOPSEC コントロール(許可されていないプラットフォームに業務関連のスキル、職務、およびセキュリティクリアランスを投稿することを制限する)があります。政府データを処理するすべてのオーストラリア政府機関および組織はISMに従う必要があります。
なぜ重要か
ASD ISMはすべてのオーストラリア政府機関の強制的なベースラインであり、政府請負業者の事実上の標準です。2026年6月の更新は、AI固有の開発審査とAI増強セキュリティテストを規範的コントロールとして組み込む最初の版であり、セキュリティ運用におけるAIツール機能がオーストラリアでは現在、オプションではなくコンプライアンスの期待値であることを示しています。
必要な対応
オーストラリア政府機関:ISM 2026年6月の変更ドキュメントを確認する、開発者審査プロセスが ISM-2121 を満たすことを確認する、ペネトレーションテストおよび脆弱性評価手順を更新してAI増強コントロールを反映させる。