結論:31統制は安全証明ではなく、修復を始める検知装置
AWSは2026年6月30日、AWS Security Hub CSPMの「AI Security Best Practices」standardを発表しました。Amazon Bedrock、Amazon Bedrock AgentCore、Amazon SageMakerの構成を31の自動security controlsで継続評価し、推奨構成から外れた場合にfindingを生成します。
対象領域として、network isolation、保存時・通信時の暗号化、VPC配置、KMS key、private container registry、authorizationなどが示されています。AgentCore runtime、gateway、memory、custom browser、SageMaker notebook、endpoint、model、monitoring jobなど幅広いAI資産を含みます。
経営者が誤解してはいけないのは、standardを有効化してfindingが0なら「AIアプリ全体が安全」とは限らないことです。
- AIへ渡す個人情報や機密情報が適切か
- agentのtool権限と人の承認が適切か
- prompt injectionや不正な外部データへ耐えられるか
- モデル出力を業務でどう確認するか
- findingを誰がいつ直し、例外を誰が承認するか
この記事は、AWSで生成AI・AIエージェントをPoCまたは本番運用し、Security Hubのfindingを経営判断へ変えたい経営者、CIO、情シス、クラウド責任者向けです。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
公式発表で確認できる範囲
横にスクロールして確認できます
| 項目 | 内容 |
|---|---|
| 発表日 | 2026年6月30日 |
| 統制数 | 31 automated security controls |
| 主な対象 | Bedrock、Bedrock AgentCore、SageMaker |
| 主な領域 | network、encryption、VPC、KMS、registry、authorization |
| 動作 | 推奨構成からの逸脱をfindingとして生成 |
| standard ID | standards/ai-security-best-practices/v/1.0.0 |
| 提供地域 | Security Hub CSPM提供地域 |
31統制の正確な項目、対象region、料金、既存リソースへの評価タイミングは公式User Guideと自社consoleで再確認してください。
自動統制で起きる5つの運用失敗
- 有効化を完了とする。 findingのowner、期限、修復方法が決まりません。
- Critical・Highだけを見る。 重要業務へ到達する複数のMediumや権限組合せを見落とします。
- Suppressを削除と同じ扱いにする。 例外理由、期限、代替策、承認者が残りません。
- 本番を直接直す。 AI endpoint、network、KMS変更で業務停止やデータアクセス障害が起きます。
- AWS設定だけでAI安全性を判断する。 prompt、model、data、tool、human approvalのリスクが残ります。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
GXO式「AWS AI Security運用5ゲート100点」
横にスクロールして確認できます
| ゲート | 配点 | 満点の証拠 | レッドフラグ |
|---|---|---|---|
| 対象・台帳 | 20 | account、region、resource、owner、業務を紐づける | 検証accountを対象外のまま放置 |
| リスク文脈 | 20 | data、internet、権限、tool、売上影響で再評価 | severityをそのまま採用 |
| 修復・試験 | 25 | IaC変更、検証、rollback、再評価を記録 | consoleで本番を手修正 |
| 例外・承認 | 15 | 理由、期限、代替制御、owner、経営承認 | 無期限Suppress |
| 継続運用 | 20 | 新規finding、再発、MTTR、未処理、月次報告 | finding件数だけを報告 |
合計点に関係なく緊急是正する条件
- 公開endpointから高権限agentや管理APIへ到達できる
- 暗号化されていない機密・個人データがAI資産にある
- notebook、runtime、browserが本番秘密情報へ過大アクセスできる
- 誰の所有か分からないAI資産が外部通信している
- findingをSuppressした理由・期限・代替策がない
最初に公開範囲、権限、秘密情報を絞り、必要なら対象resourceを停止・隔離します。
仮想記入例:Bedrock AgentCoreの顧客対応PoC
横にスクロールして確認できます
| ゲート | 得点 | 不足 |
|---|---|---|
| 対象・台帳 | 16/20 | 検証regionのownerが不明 |
| リスク文脈 | 11/20 | 顧客情報とtool権限を未分類 |
| 修復・試験 | 14/25 | IaCはあるがrollback未試験 |
| 例外・承認 | 7/15 | 2件Suppress、期限なし |
| 継続運用 | 8/20 | 月次確認のみ、通知担当不在 |
| 合計 | 56/100 | 本番接続を止めて是正 |
顧客データを匿名化した評価セットへ切り替え、AgentCoreのtoolを読取専用にします。Suppress中のfindingへ30日以内の期限と代替制御を設定し、IaCのpull requestと再評価結果を修復証拠にします。
findingから完了までの状態管理
横にスクロールして確認できます
| 状態 | 必要な証拠 |
|---|---|
| New | resource、control、owner、検出時刻 |
| Triaged | 業務、data、到達性、悪用経路、期限 |
| In progress | 修復PR、検証環境、rollback、担当 |
| Exception | 理由、期限、代替制御、承認者 |
| Resolved | 変更、回帰試験、Security Hub再評価 |
| Reopened | 再発原因、IaC・組織policyの是正 |
「Resolved」は担当者の口頭報告ではなく、同じcontrolが合格し、業務試験も通った状態にします。
ベンダー・運用会社へ確認する10問
- 31統制のうち対象外になるresourceと理由
- account・region追加時の自動適用方法
- findingと業務ownerを結ぶ方法
- IaC、Organizations、SCPとの整合性
- 高影響findingの通知・初動時間
- Suppressの期限切れを検知できるか
- 修復でAIアプリが止まる場合のrollback
- model、prompt、data、toolの別監査範囲
- 月次報告する未処理、再発、MTTR、例外件数
- 契約終了時に設定・証拠・runbookを引き渡すか
30日で作る運用
- 1週目:standard有効化範囲、AI資産台帳、業務ownerを確認
- 2週目:findingを業務影響と攻撃経路で再評価
- 3週目:上位findingをIaCで修復し、rollbackと再評価を試験
- 4週目:例外期限、月次指標、通知、再発防止を運用化
GXOの生成AIセキュリティでは、AWS設定だけでなくAIデータ、agent権限、tool、人承認まで診断します。クラウド構成や修復は脆弱性診断、AI本番化の要件はAI導入可否アセスメントへ接続します。
FAQ
31統制すべてが合格なら安全ですか
安全を保証するものではありません。AWS構成の重要な基準ですが、prompt injection、業務品質、データ利用目的、agentの外部操作などは別途確認が必要です。
findingはseverity順に直せばよいですか
severityに加え、外部到達性、data、権限、業務停止、攻撃経路を見ます。複数のfindingが組み合わさる場合もあります。
例外は認めない方がよいですか
業務上すぐ直せない場合はあり得ます。ただし期限、代替制御、owner、承認、再確認日を必須にします。
出典・確認日
- AWS「Security Hub CSPM launches AI Security Best Practices standard with 31 automated controls」(2026年6月30日発表、2026年7月14日確認)
- AWS Security Hub CSPM User Guide「AI Security Best Practices standard」(2026年7月14日確認)
control項目、料金、region、対象resource、評価仕様は変更される可能性があります。AWS公式文書と自社環境で最終確認してください。本記事の配点と仮想例はGXO独自であり、AWSの評価基準ではありません。






