C05 AI コンポーネントとユーザーのアクセス制御とアイデンティティ (Access Control & Identity for AI Components & Users)

管理目標

AI システムへの効果的なアクセス制御には、堅牢なアイデンティティ管理、コンテキストに応じた認可、ゼロトラスト原則に従ったランタイム強制が必要です。これらの制御により、人間、サービス、自律エージェントが、明示的に許可されたスコープ内でのみ、モデル、データ、計算リソースとやり取りでき、継続的検証と監査機能を備えています。

---

C5.1 アイデンティティ管理と認証 (Identity Management & Authentication)

多要素認証ですべてのエンティティに対して暗号論的に裏付けされたアイデンティティを確立します。

#	説明	レベル	ロール
5.1.1	検証: すべての人間のユーザーとサービスプリンシパルは、OIDC や SAML プロトコルを使用して、集中型エンタープライズアイデンティティプロバイダ (IdP) を通じて認証している。	1	D/V
5.1.2	検証: 高リスクの操作 (モデルのデプロイメント、重みのエクスポート、トレーニングデータへのアクセス、本番構成の変更) は、多要素認証またはセッション再バリデーションでのステップアップ認証を必要としている。	1	D/V
5.1.3	検証: 連合 AI エージェントは、最大有効期間が 24 時間であり、オリジンの暗号論的証明を含む、署名付き JWT アサーションを介して認証している。	3	D/V

---

C5.2 認可とポリシー (Authorization & Policy)

明示的なパーミッションモデルと監査証跡で、すべての AI リソースに対してアクセス制御を実装します。

#	説明	レベル	ロール
5.2.1	検証: すべての AI リソース (データセット、モデル、エンドポイント、ベクトルコレクション、エンベディングインデックス、計算インスタンス) は、明示的な許可リストとデフォルト拒否ポリシーで、ロールベースのアクセス制御を適用している。	1	D/V
5.2.2	検証: すべてのアクセス制御の変更は、タイムスタンプ、アクターアイデンティティ、リソース識別子、パーミッション変更とともに不変的にログ記録されている。	1	V
5.2.3	検証: データ分類ラベル (PII、PHI、独自など) は派生リソース (エンベディング、プロンプトキャッシュ、モデル出力) に自動的に伝播している。	2	D
5.2.4	検証: 不正アクセスの試みや権限昇格イベントはコンテキストメタデータとともにリアルタイムアラートをトリガーしている。	2	D/V
5.2.5	検証: 認可決定は専用のポリシーエンジン (OPA、Cedar、または同等のもの) に外部化されている。	1	D/V
5.2.6	検証: ポリシーは、ユーザーロールまたはグループ、リソース分類、リクエストコンテキスト、テナント分離、時間的制約など、動的な属性を実行時に評価している。	1	D/V
5.2.7	検証: ポリシーキャッシュの有効期間 (TTL) 値は、高機密リソースでは 5 分を超えず、キャッシュ無効化機能を持つ標準リソースでは 1 時間を超えていない。	3	D/V

---

C5.3 クエリ時のセキュリティ強化 (Query-Time Security Enforcement)

必須フィルタリングと低レベルセキュリティポリシーでのデータベース層のセキュリティ制御を実装します。

#	説明	レベル	ロール
5.3.1	検証: すべてのベクトルデータベースと SQL クエリは、データベースエンジンレベルで適用される必須のセキュリティフィルタ (テナント ID、機密ラベル、ユーザースコープ) を含んでいる。	1	D/V
5.3.2	検証: 行レベルセキュリティポリシーとフィールドレベルのマスキングは、すべてのベクトルデータベース、検索インデックス、トレーニングデータセットのポリシー検証で有効にされている。	1	D/V
5.3.3	検証: 失敗した認可評価は、クエリを直ちに中止し、明示的な認可エラーコードを返している。	2	D
5.3.4	検証: クエリ再試行メカニズムは、アクティブユーザーセッション内での動的なパーミッション変更を考慮して認可ポリシーを再評価している。	3	D/V

---

C5.4 出力フィルタリングとデータ損失防止 (Output Filtering & Data Loss Prevention)

AI 生成コンテンツでの不正なデータ公開を防ぐために、後処理制御を導入します。

#	説明	レベル	ロール
5.4.1	検証: 推論後フィルタリングメカニズムは、コンテンツを要求者に配信する前に、認可されていない PII、機密情報、独自データをスキャンして修正している。	1	D/V
5.4.2	検証: モデル出力内の引用、参照、ソース属性は呼び出し元のエンタイトルメントに対して検証されており、不正アクセスが検出された場合は削除されている。	1	D/V
5.4.3	検証: 出力形式の制限 (サニタイズされた PDF、メタデータが除去された画像、承認されたファイルタイプ) はユーザーパーミッションレベルとデータ分類に基づいて適用されている。	2	D

---

C5.5 マルチテナントの分離 (Multi-Tenant Isolation)

共有 AI インフラストラクチャ内のテナント間では暗号化と論理的分離を確保します。

#	説明	レベル	ロール
5.5.1	検証: メモリキャッシュ、エンベディングストア、キャッシュエントリ、一時ファイルはテナントごとに名前空間で分離されており、テナント削除またはセッション終了時に安全に消去している。	1	D/V
5.5.2	検証: すべての API リクエストは、セッションコンテキストとユーザーエンタイトルメントに対して暗号論的に検証された、認証済みのテナント識別子を含んでいる。	1	D/V
5.5.3	検証: ネットワークポリシーは、サービルメッシュとコンテナオーケストレーションプラットフォーム内でのテナント間通信に対して、デフォルト拒否のルールを実装している。	2	D
5.5.4	検証: 暗号鍵はテナントごとに一意であり、顧客管理鍵 (CMK) サポートがあり、テナントデータストア間で暗号論的に分離している。	3	D

---

C5.6 自律エージェント認可 (Autonomous Agent Authorization)

スコープ指定された機能トークンと継続的認可を通じて、AI エージェントと自律システムのパーミッションを制御します。

#	説明	レベル	ロール
5.6.1	検証: 自律エージェントは、許可されたアクション、アクセス可能なリソース、時間境界、操作上の制約を明示的に列挙する、スコープ指定された機能トークンを受け取っている。	1	D/V
5.6.2	検証: 高リスク機能 (ファイルシステムアクセス、コード実行、外部 API 呼び出し、金融取引) はデフォルトで無効にされており、明示的な認可を必要としている。	1	D/V
5.6.3	検証: 機能トークンはユーザーセッションにバインドされ、暗号論的完全性保護を備えており、オフラインシナリオでは永続化や再使用できないことを確保している。	2	D
5.6.4	検証: エージェントが開始したアクションは、ABAC ポリシーエンジンを通じて、認可を受けている。	2	V

---

参考情報

• NIST SP 800-162: Guide to Attribute Based Access Control (ABAC)

• NIST SP 800-207: Zero Trust Architecture

• NIST SP 800-63-3: Digital Identity Guidelines

• NIST IR 8360: Machine Learning for Access Control Policy Verification