GXO
サイバーセキュリティ

AWSのAIセキュリティ31統制を有効化して終わらない|修復・例外・再検証100点運用

10分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

サイバーセキュリティ

結論:31統制は安全証明ではなく、修復を始める検知装置

AWSは2026年6月30日、AWS Security Hub CSPMの「AI Security Best Practices」standardを発表しました。Amazon Bedrock、Amazon Bedrock AgentCore、Amazon SageMakerの構成を31の自動security controlsで継続評価し、推奨構成から外れた場合にfindingを生成します。

対象領域として、network isolation、保存時・通信時の暗号化、VPC配置、KMS key、private container registry、authorizationなどが示されています。AgentCore runtime、gateway、memory、custom browser、SageMaker notebook、endpoint、model、monitoring jobなど幅広いAI資産を含みます。

経営者が誤解してはいけないのは、standardを有効化してfindingが0なら「AIアプリ全体が安全」とは限らないことです。

  • AIへ渡す個人情報や機密情報が適切か
  • agentのtool権限と人の承認が適切か
  • prompt injectionや不正な外部データへ耐えられるか
  • モデル出力を業務でどう確認するか
  • findingを誰がいつ直し、例外を誰が承認するか

この記事は、AWSで生成AI・AIエージェントをPoCまたは本番運用し、Security Hubのfindingを経営判断へ変えたい経営者、CIO、情シス、クラウド責任者向けです。

FREE CONSULTATION

この記事の内容について、専門家に相談できます

AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。

無料で相談する

公式発表で確認できる範囲

横にスクロールして確認できます

項目内容
発表日2026年6月30日
統制数31 automated security controls
主な対象Bedrock、Bedrock AgentCore、SageMaker
主な領域network、encryption、VPC、KMS、registry、authorization
動作推奨構成からの逸脱をfindingとして生成
standard IDstandards/ai-security-best-practices/v/1.0.0
提供地域Security Hub CSPM提供地域

31統制の正確な項目、対象region、料金、既存リソースへの評価タイミングは公式User Guideと自社consoleで再確認してください。

自動統制で起きる5つの運用失敗

  1. 有効化を完了とする。 findingのowner、期限、修復方法が決まりません。
  2. Critical・Highだけを見る。 重要業務へ到達する複数のMediumや権限組合せを見落とします。
  3. Suppressを削除と同じ扱いにする。 例外理由、期限、代替策、承認者が残りません。
  4. 本番を直接直す。 AI endpoint、network、KMS変更で業務停止やデータアクセス障害が起きます。
  5. AWS設定だけでAI安全性を判断する。 prompt、model、data、tool、human approvalのリスクが残ります。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

GXO式「AWS AI Security運用5ゲート100点」

横にスクロールして確認できます

ゲート配点満点の証拠レッドフラグ
対象・台帳20account、region、resource、owner、業務を紐づける検証accountを対象外のまま放置
リスク文脈20data、internet、権限、tool、売上影響で再評価severityをそのまま採用
修復・試験25IaC変更、検証、rollback、再評価を記録consoleで本番を手修正
例外・承認15理由、期限、代替制御、owner、経営承認無期限Suppress
継続運用20新規finding、再発、MTTR、未処理、月次報告finding件数だけを報告

合計点に関係なく緊急是正する条件

  • 公開endpointから高権限agentや管理APIへ到達できる
  • 暗号化されていない機密・個人データがAI資産にある
  • notebook、runtime、browserが本番秘密情報へ過大アクセスできる
  • 誰の所有か分からないAI資産が外部通信している
  • findingをSuppressした理由・期限・代替策がない

最初に公開範囲、権限、秘密情報を絞り、必要なら対象resourceを停止・隔離します。

仮想記入例:Bedrock AgentCoreの顧客対応PoC

横にスクロールして確認できます

ゲート得点不足
対象・台帳16/20検証regionのownerが不明
リスク文脈11/20顧客情報とtool権限を未分類
修復・試験14/25IaCはあるがrollback未試験
例外・承認7/152件Suppress、期限なし
継続運用8/20月次確認のみ、通知担当不在
合計56/100本番接続を止めて是正

顧客データを匿名化した評価セットへ切り替え、AgentCoreのtoolを読取専用にします。Suppress中のfindingへ30日以内の期限と代替制御を設定し、IaCのpull requestと再評価結果を修復証拠にします。

findingから完了までの状態管理

横にスクロールして確認できます

状態必要な証拠
Newresource、control、owner、検出時刻
Triaged業務、data、到達性、悪用経路、期限
In progress修復PR、検証環境、rollback、担当
Exception理由、期限、代替制御、承認者
Resolved変更、回帰試験、Security Hub再評価
Reopened再発原因、IaC・組織policyの是正

「Resolved」は担当者の口頭報告ではなく、同じcontrolが合格し、業務試験も通った状態にします。

ベンダー・運用会社へ確認する10問

  1. 31統制のうち対象外になるresourceと理由
  2. account・region追加時の自動適用方法
  3. findingと業務ownerを結ぶ方法
  4. IaC、Organizations、SCPとの整合性
  5. 高影響findingの通知・初動時間
  6. Suppressの期限切れを検知できるか
  7. 修復でAIアプリが止まる場合のrollback
  8. model、prompt、data、toolの別監査範囲
  9. 月次報告する未処理、再発、MTTR、例外件数
  10. 契約終了時に設定・証拠・runbookを引き渡すか

30日で作る運用

  • 1週目:standard有効化範囲、AI資産台帳、業務ownerを確認
  • 2週目:findingを業務影響と攻撃経路で再評価
  • 3週目:上位findingをIaCで修復し、rollbackと再評価を試験
  • 4週目:例外期限、月次指標、通知、再発防止を運用化

GXOの生成AIセキュリティでは、AWS設定だけでなくAIデータ、agent権限、tool、人承認まで診断します。クラウド構成や修復は脆弱性診断、AI本番化の要件はAI導入可否アセスメントへ接続します。

FAQ

31統制すべてが合格なら安全ですか

安全を保証するものではありません。AWS構成の重要な基準ですが、prompt injection、業務品質、データ利用目的、agentの外部操作などは別途確認が必要です。

findingはseverity順に直せばよいですか

severityに加え、外部到達性、data、権限、業務停止、攻撃経路を見ます。複数のfindingが組み合わさる場合もあります。

例外は認めない方がよいですか

業務上すぐ直せない場合はあり得ます。ただし期限、代替制御、owner、承認、再確認日を必須にします。

出典・確認日

control項目、料金、region、対象resource、評価仕様は変更される可能性があります。AWS公式文書と自社環境で最終確認してください。本記事の配点と仮想例はGXO独自であり、AWSの評価基準ではありません。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK