C05 AI コンポーネントとユーザーのアクセス制御とアイデンティティ (Access Control & Identity for AI Components & Users)

管理目標

AI システムへの効果的なアクセス制御には、堅牢なアイデンティティ管理、コンテキストに応じた認可、ゼロトラスト原則に従ったランタイム強制が必要です。これらの制御により、人間、サービス、自律エージェントが、明示的に許可されたスコープ内でのみ、モデル、データ、計算リソースとやり取りでき、継続的検証と監査機能を備えています。

---

C5.1 アイデンティティ管理と認証 (Identity Management & Authentication)

リスクレベルに適した認証強度で、AI システムとやり取りするすべてのエンティティに対して検証済みのアイデンティティを確立します。

#	説明	レベル	ロール
5.1.1	検証: すべての人間のユーザーとサービスプリンシパルは、業界標準のフェデレーションプロトコル (OIDC, SAML など) を使用して、集中型エンタープライズアイデンティティプロバイダを通じて認証している。	1	D/V
5.1.2	検証: 高リスクの操作 (モデルのデプロイメント、重みのエクスポート、トレーニングデータへのアクセス、本番構成の変更) は、多要素認証またはセッション再バリデーションでのステップアップ認証を必要としている。	2	D/V
5.1.3	検証: 連合またはマルチシステムデプロイメントの AI エージェントは、リスクレベルに適した最大有効期間を持ち、オリジンの暗号論的証明を含む、有効期間が短く、暗号で署名された認証トークン (署名付き JWT アサーションなど) を介して認証している。	3	D/V

---

C5.2 認可とポリシー (Authorization & Policy)

明示的なパーミッションモデルと監査証跡で、すべての AI リソースに対してアクセス制御を実装します。

#	説明	レベル	ロール
5.2.1	検証: すべての AI リソース (データセット、モデル、エンドポイント、ベクトルコレクション、エンベディングインデックス、計算インスタンス) は、明示的な許可リストとデフォルト拒否ポリシーで、アクセス制御 (RBAC, ABAC など) を適用している。	1	D/V
5.2.2	検証: すべてのアクセス制御の変更は、タイムスタンプ、アクターアイデンティティ、リソース識別子、パーミッション変更とともにログ記録されている。	1	V
5.2.3	検証: アクセス制御監査ログは不変に保存され、改竄防止している。	2	V
5.2.4	検証: データ分類ラベル (PII、PHI、独自など) は派生リソース (エンベディング、プロンプトキャッシュ、モデル出力) に自動的に伝播している。	2	D
5.2.5	検証: 不正アクセスの試みや権限昇格イベントはコンテキストメタデータとともにリアルタイムアラートをトリガーしている。	2	D/V
5.2.6	検証: 認可決定は専用のポリシー決定ポイント (OPA、Cedar、または同等のものなど) に外部化されている。	1	D/V
5.2.7	検証: ポリシーは、ユーザーロールまたはグループ、リソース分類、リクエストコンテキスト、テナント分離、時間的制約など、動的な属性を実行時に評価している。	3	D/V
5.2.8	検証: ポリシーキャッシュの TTL 値はリソースの機密性に基づいて定義され、高機密リソースでは TTL がより短くなり、キャッシュ無効化機能が利用可能になる。	3	D/V

---

C5.3 クエリ時のセキュリティ強化 (Query-Time Security Enforcement)

データアクセス層での認可を適用し、AI クエリによる不正なデータ取得を防止します。

#	説明	レベル	ロール
5.3.1	検証: すべてのデータストアクエリ (ベクトルデータベース、SQL データベース、検索インデックスなど) は、データアクセス層で適用される必須のセキュリティフィルタ (テナント ID、機密ラベル、ユーザースコープ) を含んでいる。	1	D/V
5.3.2	検証: 失敗した認可評価は、クエリを直ちに中止し、明示的な認可エラーコードを返している。	1	D
5.3.3	検証: 行レベルセキュリティポリシーとフィールドレベルのマスキングは、AI システムで使用される機密データを含むすべてのデータストアに対して、ポリシー継承で有効にされている。	2	D/V
5.3.4	検証: クエリ再試行メカニズムは、アクティブセッション内での動的なパーミッション変更を考慮して認可ポリシーを再評価している。	3	D/V

---

C5.4 出力フィルタリングとデータ損失防止 (Output Filtering & Data Loss Prevention)

AI 生成コンテンツでの不正なデータ公開を防ぐために、後処理制御を導入します。

#	説明	レベル	ロール
5.4.1	検証: 推論後フィルタリングメカニズムは、要求者が受信することを認可されていない機密情報や専有データをレスポンスに含むことを防いでいる。	1	D/V
5.4.2	検証: モデル出力内の引用、参照、ソース属性は呼び出し元のエンタイトルメントに対して検証されており、不正アクセスが検出された場合は削除されている。	2	D/V
5.4.3	検証: 出力形式の制限 (サニタイズされたドキュメント、メタデータが除去された画像、承認されたファイルタイプ) はユーザーパーミッションレベルとデータ分類に基づいて適用されている。	2	D

---

C5.5 マルチテナントの分離 (Multi-Tenant Isolation)

共有 AI インフラストラクチャ内のテナント間では論理的および暗号的な分離を確保します。

#	説明	レベル	ロール
5.5.1	検証: ネットワークポリシーは、テナント間通信に対して、デフォルト拒否のルールを実装している。	2	D
5.5.2	検証: すべての API リクエストは、セッションコンテキストとユーザーエンタイトルメントに対して暗号論的に検証された、認証済みのテナント識別子を含んでいる。	1	D/V
5.5.3	検証: メモリキャッシュ、エンベディングストア、キャッシュエントリ (結果キャッシュ、エンベディングキャッシュなど)、一時ファイルはテナントごとに名前空間で分離されており、テナント削除またはセッション終了時に安全に消去している。	2	D/V
5.5.4	検証: 暗号鍵はテナントごとに一意であり、顧客管理鍵 (CMK) サポートがあり、テナントデータストア間で暗号論的に分離している。	3	D
5.5.5	検証: 推論時の KV キャッシュエントリは認証されたセッションまたはテナントアイデンティティによって分割され、自動プレフィックスキャッシュは、タイミングベースのプロンプト再構築攻撃を防ぐために、異なるセキュリティプリンシパル間ではキャッシュされたプレフィックスを共有していない。	2	D

---

C5.6 自律エージェント認可 (Autonomous Agent Authorization)

スコープ指定された機能トークンと継続的認可を通じて、AI エージェントと自律システムのパーミッションを制御します。

#	説明	レベル	ロール
5.6.1	検証: 自律エージェントは、許可されたアクション、アクセス可能なリソース、時間境界、操作上の制約を明示的に列挙する、スコープ指定された機能トークンを受け取っている。	1	D/V
5.6.2	検証: 高リスク機能 (ファイルシステムアクセス、コード実行、外部 API 呼び出し、金融取引) はデフォルトで無効にされており、明示的な認可を必要としている。	1	D/V
5.6.3	検証: 機能トークンはユーザーセッションにバインドされ、暗号論的完全性保護を備えており、セッション間では永続化や再使用できない。	2	D
5.6.4	検証: エージェントが開始したアクションは、コンテキスト属性 (ユーザーアイデンティティ、リソースの機密性、アクションの種類、環境コンテキストなど) を評価するポリシー決定ポイントを通じて、認可を受けている。	2	V

---

参考情報

• NIST SP 800-162: Guide to Attribute Based Access Control (ABAC)

• NIST SP 800-207: Zero Trust Architecture

• NIST SP 800-63-3: Digital Identity Guidelines

• NIST IR 8360: Machine Learning for Access Control Policy Verification

• I Know What You Asked: Prompt Leakage via KV-Cache Sharing in Multi-Tenant LLM Serving (NDSS 2025)