Wizの「State of AI in the Cloud 2025」レポートによれば、85%の組織が何らかの形でAIを活用し、74%がマネージドAIサービスを利用している。しかし、生成AI(GenAI)の急速な普及に従来のセキュリティツールは追いついていない。この盲点を埋めるために登場したのがAI-SPM(AI Security Posture Management:AIセキュリティポスチャ管理)である。本稿では、AI-SPMの概念、主要ベンダーの動向、そして導入の指針を解説する。

AI-SPMとは何か

AI-SPM(AIセキュリティポスチャ管理)とは、AIモデル、データ、リソースのセキュリティを確保し、規制へのコンプライアンスを維持し、新たなリスクへの耐性を高めるための戦略的アプローチである。データセキュリティポスチャ管理(DSPM)と同様に、AIモデル、推論データ、モデルデプロイメント、リスク相関にわたるエンドツーエンドの可視性を提供する。

従来のセキュリティツールがインフラやアプリケーションの保護に焦点を当てていたのに対し、AI-SPMはAI自体を保護する。モデルがどこに存在するかだけでなく、どのように振る舞うかを監視し、ドリフト(変動)、脆弱性、GenAIシステム固有のエクスポージャーを検出する。Amazon Bedrock、Azure AI Foundry、Google Vertex AIなどの環境をスキャンし、すべてのAIモデルと関連リソース、データソース、学習・ファインチューニング・デプロイに関わるデータパイプラインの完全なインベントリを生成する。

なぜ今AI-SPMが必要なのか

OWASP(Open Worldwide Application Security Project)は2025年版「LLM Applications Top 10」でAIアプリケーション固有のセキュリティリスクを整理した。プロンプトインジェクション、機密情報の漏洩、サプライチェーン、データ・モデルポイズニング、不適切な出力処理、過剰なエージェンシー、システムプロンプト漏洩、ベクトル・エンベディングの脆弱性、誤情報が主要リスクとして挙げられている。

特にプロンプトインジェクションは深刻である。OWASPの分析によれば、セキュリティ監査で評価されたプロダクションAIデプロイメントの73%以上でプロンプトインジェクション脆弱性が発見されている。LLMは信頼されたシステムプロンプトと信頼されていないユーザー入力の両方を自然言語として消費するため、データ型に基づいてコマンドと入力を区別できない。悪意のあるユーザーがシステムプロンプトに見える入力を書けば、LLMは攻撃者の意のままに操られる可能性がある。

AI-SPMの主要機能

AI-SPMは、AIスタックのインベントリ化、脆弱性の特定、攻撃経路のマッピング、リスクの軽減と対応を支援する。具体的には以下の機能を提供する。

AI資産の発見とインベントリ:クラウド環境に分散するAIモデル、学習データ、推論エンドポイント、関連するインフラを自動的に発見し、一元的に把握する。シャドーAI(IT部門が把握していないAI利用)の検出も重要な機能である。

AI BOM(Bill of Materials)の生成:Microsoft Defenderの用語では「AI BOM」と呼ばれるが、組織のAIワークロードを構成する要素の詳細を特定する。これにより、脆弱性の影響範囲を迅速に評価できる。

リスク相関と攻撃経路分析:WizのSecurity Graphのように、モデル利用、データフロー、権限を単一の相関ビューに接続し、攻撃経路を可視化する。単体では低リスクに見える問題も、組み合わせにより重大なリスクとなる場合を特定できる。

コンプライアンスとポリシー適用:EU AI ActやNIST AI RMFなどの規制フレームワークへの準拠状況を継続的に評価し、ポリシー違反を検出する。

主要ベンダーの動向

2025年から2026年にかけて、クラウドセキュリティベンダーは既存のCSPM(Cloud Security Posture Management)プラットフォームをGenAIサービスに拡張する形でAI-SPMを展開している。

Wiz:Wizは既存のポスチャプラットフォームを包括的なAIツールに統合・拡張し、リーダーシップを確立しつつある。Security Graphを活用し、モデル利用、データフロー、権限を単一の相関ビューに接続する点が特徴である。

Palo Alto Networks:Dig Securityを買収し、Prisma Cloud AI-SPMとしてリブランドした。Amazon、Google Cloud、Azure AIサービスのトップレベルスキャンをサポートし、AIコンテンツの発見、モデルデータとシークレットの分類・検査が可能である。

Microsoft Defender for Cloud:Defender CSPMプランは、生成AIアプリケーションとAIエージェントをライフサイクル全体にわたって保護する。AIワークロードを発見し、組織のAI BOMの詳細を特定することで、脆弱性の特定と対処を支援する。

その他、SentinelOne、Zscaler、Cyeraなども独自のAI-SPMソリューションを展開しており、CSO Onlineは9つのAI-SPMツールを比較したバイヤーズガイドを公開している。

2026年、AI-SPMは「必須」になる

Palo Alto Networksは「6 Cybersecurity Predictions for the AI Economy in 2026」(Harvard Business Review掲載)の中で、AI-SPMツールは現在も利用可能だが、2026年にはAIワークロードとデータ量の爆発的増加に伴い、クラウド環境における「交渉の余地のない必須要件」になると予測している。

組織がAI-SPM導入を検討する際のポイントは以下の通りである。まず、既存のクラウドセキュリティ投資との統合性を評価する。CSPM、DSPM、CNAPPとの連携がスムーズなソリューションが望ましい。次に、利用中のAIプラットフォーム(AWS、Azure、GCP)のサポート状況を確認する。そして、プロンプトインジェクションやデータ漏洩など、OWASP LLM Top 10に対応した検出・防御機能の有無を評価する。

FAQ

AI-SPMとCSPMの違いは?

CSPM(Cloud Security Posture Management)はクラウドインフラ全般の設定ミスや脆弱性を管理する。AI-SPMはAIモデル、学習データ、推論エンドポイントなどAI固有の資産とリスクに特化している。多くのベンダーは既存のCSPMをAI-SPMに拡張している。

AI-SPMはプロンプトインジェクション攻撃を防げるか?

AI-SPMは脆弱性の検出と攻撃経路の可視化に優れるが、リアルタイムのプロンプトインジェクション防御には別途LLMファイアウォールやガードレールソリューション(Lakera、Protect AI LLM Guardなど)との組み合わせが推奨される。

どの組織がAI-SPMを導入すべきか?

本番環境で生成AIを運用している組織、規制業界(金融、医療、政府)でAIを活用している組織、マルチクラウド環境でAIワークロードを分散している組織は特に導入を検討すべきである。シャドーAIのリスクが懸念される場合も有効である。

AI-SPM導入のコストは?

多くのベンダーは既存のクラウドセキュリティプラットフォームの拡張としてAI-SPMを提供しているため、追加コストは比較的抑えられる場合が多い。ただし、AI資産の規模やスキャン頻度により費用は変動する。詳細は各ベンダーへの問い合わせが必要である。

参考文献