AI サプライチェーン攻撃は、バックドア、バイアス、実行可能コードを埋め込んで、サードパーティモデル、フレームワーク、データセットを悪用します。これらのコントロールは、エンドツーエンドのトレーサビリティ、脆弱性管理、監視を提供し、モデルのライフサイクル全体を保護します。
C6.1 事前学習済みモデルの審査とオリジンの完全性 (Pretrained Model Vetting & Origin Integrity)
ファインチューニングやデプロイメントの前に、サードパーティのモデルのオリジン、ライセンス、隠し動作を評価および認証します。
検証: すべてのサードパーティモデルアーティファクトは、そのソース、バージョン、完全性チェックサムを識別する、署名付きオリジンおよび完全性レコードを含んでいる。
検証: モデルは、インポート前に自動ツールを使用して、悪意のあるレイヤやトロイの木馬トリガーがないかスキャンされている。
検証: モデルライセンス、輸出規制タグ、データオリジンステートメントは AI BOM エントリに記録されている。
検証: 高リスクモデル (公開アップロードされた重み、未検証の作成者など) は、人間によるレビューと承認が行われるまで、隔離されたままにしている。
検証: 転移学習は、隠し動作を検出するために、敵対的評価をファインチューンしている。
C6.2 フレームワークとライブラリのスキャン (Framework & Library Scanning)
ランタイムスタックを安全に保つために、脆弱性や悪意のあるコードについて AI フレームワークとライブラリを継続的にスキャンします。
検証: CI パイプラインは AI フレームワークと重要なライブラリに対して依存関係スキャナを実行している。
検証: 重大なおよび深刻度の高い脆弱性は本番イメージへの昇格をブロックしている。
検証: 静的コード解析はフォークまたはベンダー化された AI ライブラリに対して実行している。
検証: フレームワークのアップグレード提案は、パブリック脆弱性フィードを参照する、セキュリティ影響評価を含んでいる。
検証: ランタイムセンサーは、署名付き SBOM から逸脱する、予期しない動的ライブラリのロードについてアラートしている。
C6.3 依存関係の固定と検証 (Dependency Pinning & Verification)
すべての依存関係を不変のダイジェストに固定し、ビルドを検証し、改竄のないアーティファクトを保証します。
検証: すべてのパッケージマネージャはロックファイルを介してバージョン固定を強制している。
検証: 不変ダイジェストは、コンテナ参照の変更可能タグの代わりに、使用されている。
検証: 期限切れまたは保守されていない依存関係は、固定されたバージョンを更新または置換するために、自動通知をトリガーしている。
検証: ビルドアテステーションは監査の追跡可能性のために組織のポリシーで定義された期間保存されている。
検証: 再現可能なビルドチェックは、同一な出力を確保するために、CI 実行間でハッシュを比較している。
C6.4 信頼できるソースの強制 (Trusted Source Enforcement)
暗号論的に検証され、組織が承認したソースからのアーティファクトのダウンロードのみを許可し、それ以外のものはブロックします。
検証: モデルの重み、データセット、コンテナは、承認されたソースまたは内部レジストリからのみダウンロードされている。
検証: 暗号署名は、アーティファクトがローカルにキャッシュされる前に、発行者のアイデンティティを検証している。
検証: 送出 (egress) コントロールは、信頼できるソースポリシーを適用して、認証されていないアーティファクトダウンロードをブロックしている。
検証: リポジトリの許可リストは、各エントリのビジネス上の正当性の証跡とともに、定期的にレビューされている。
検証: ポリシー違反はアーティファクトの隔離と、依存するパイプライン実行のロールバックをトリガーしている。
C6.5 サードパーティデータセットのリスク評価 (Third-Party Dataset Risk Assessment)
外部データセットのポイズニング、バイアス、法令遵守を評価し、ライフサイクル全体にわたって監視します。
検証: 外部データセットはポイズニングリスクスコアリング (データフィンガープリンティング、外れ値検出) を受けている。
検証: 許可されていないコンテンツ (著作権で保護されたマテリアル、PII など) はトレーニング前に自動スクラビングで検出され、削除されている。
検証: データセットのオリジン、リネージ、ライセンス条項は AI BOM エントリに記録されている。
検証: バイアスメトリクス (人口統計的平等、機会均等など) はデータセットの承認前に計算されている。
検証: 定期的な監視はホストされているデータセットのドリフトや破損を検出している。
C6.6 サプライチェーン攻撃の監視 (Supply Chain Attack Monitoring)
脆弱性フィード、監査ログ分析、インシデント対応の準備を通じて、サプライチェーンの脅威を早期に検出します。
検証: インシデント対応プレイブックは侵害されたモデルやライブラリのロールバック手順を含んでいる。
検証: CI/CD 監査ログは、異常なパッケージプルや改竄されたビルドステップを検出するために、一元化されたセキュリティ監視に配信されている。
検証: 脅威インテリジェンスのエンリッチメントは、アラートトリアージで、AI 固有のインジケータ (モデルポイズニングの侵害インジケータなど) をタグ付けしている。
C6.7 モデルアーティファクトのための AI BOM (AI BOM for Model Artifacts)
詳細な AI 固有の部品表 (AI BOM) を生成して署名することで、ダウンストリームのコンシューマがデプロイ時にコンポーネントの完全性を検証できます。
検証: すべてのモデルアーティファクトは、データセット、重み、ハイパーパラメータ、ライセンスをリストした AI BOM を公開している。
検証: AI BOM 生成と暗号署名は CI で自動化されており、マージに必要とされている。
検証: AI BOM 完全性チェックは、コンポーネントメタデータ (ハッシュおよびライセンス) が欠落している場合、失敗している。
検証: ダウンストリームのコンシューマは、デプロイ時にインポートされたモデルを検証するために、API を介して AI BOM をクエリできる。
検証: AI BOM はバージョン管理されており、不正な変更を検出するために差分を取られている。