C06 モデル、フレームワーク、データのサプライチェーンセキュリティ (Supply Chain Security for Models, Frameworks & Data)
管理目標
AI サプライチェーン攻撃は、バックドア、バイアス、実行可能コードを埋め込んで、サードパーティモデル、フレームワーク、データセットを悪用します。これらのコントロールは、エンドツーエンドの来歴、脆弱性管理、監視を提供し、モデルのライフサイクル全体を保護します。
C6.1 事前学習済みモデルの審査と来歴 (Pretrained Model Vetting & Provenance)
ファインチューニングやデプロイメントの前に、サードパーティのモデルのオリジン、ライセンス、隠し動作を評価および認証します。
6.1.1
検証: すべてのサードパーティモデルアーティファクトは、ソースリポジトリとコミットハッシュを識別する、署名付き来歴レコードを含んでいる。
1
D/V
6.1.2
検証: モデルは、インポート前に自動ツールを使用して、悪意のあるレイヤやトロイの木馬トリガーがないかスキャンされている。
1
D/V
6.1.3
検証: 転移学習は、隠し動作を検出するために、敵対的評価をファインチューンしている。
2
D
6.1.4
検証: モデルライセンス、輸出規制タグ、データオリジンステートメントは ML-BOM エントリに記録されている。
2
V
6.1.5
検証: 高リスクモデル (公開アップロードされた重み、未検証の作成者) は、人間によるレビューと承認が行われるまで、隔離されたままにしている。
3
D/V
C6.2 フレームワークとライブラリのスキャン (Framework & Library Scanning)
ランタイムスタックを安全に保つために、CVE や悪意のあるコードについて ML フレームワークとライブラリを継続的にスキャンします。
6.2.1
検証: CI パイプラインは AI フレームワークと重要なライブラリに対して依存関係スキャナを実行している。
1
D/V
6.2.2
検証: 重大な脆弱性 (CVSS ≥ 7.0) は本番イメージへの昇格をブロックしている。
1
D/V
6.2.3
検証: 静的コード解析はフォークまたはベンダー化された ML ライブラリに対して実行している。
2
D
6.2.4
検証: フレームワークのアップグレード提案は、パブリック CVE フィードを参照する、セキュリティ影響評価を含んでいる。
2
V
6.2.5
検証: ランタイムセンサーは、署名付き SBOM から逸脱する、予期しない動的ライブラリのロードについてアラートしている。
3
V
C6.3 依存関係の固定と検証 (Dependency Pinning & Verification)
すべての依存関係を不変のダイジェストに固定し、ビルドを再現し、同一かつ改竄のないアーティファクトを保証します。
6.3.1
検証: すべてのパッケージマネージャはロックファイルを介してバージョン固定を強制している。
1
D/V
6.3.2
検証: 不変ダイジェストは、コンテナ参照の変更可能タグの代わりに、使用されている。
1
D/V
6.3.3
検証: 再現可能なビルドチェックは、同一な出力を確保するために、CI 実行間でハッシュを比較している。
2
D
6.3.4
検証: ビルドアテステーションは監査の追跡可能性のために 18 か月間保存されている。
2
V
6.3.5
検証: 期限切れの依存関係は、固定されたバージョンを更新またはフォークするために、自動 PR をトリガーしている。
3
D
C6.4 信頼できるソースの強制 (Trusted Source Enforcement)
暗号論的に検証され、組織が承認したソースからのアーティファクトのダウンロードのみを許可し、それ以外のものはブロックします。
6.4.1
検証: モデルの重み、データセット、コンテナは、承認されたドメインまたは内部レジストリからのみダウンロードされている。
1
D/V
6.4.2
検証: Sigstore/Cosign 署名は、アーティファクトがローカルにキャッシュされる前に、発行者のアイデンティティを検証している。
1
D/V
6.4.3
検証: 送出 (egress) プロキシは、信頼できるソースポリシーを適用して、認証されていないアーティファクトダウンロードをブロックしている。
2
D
6.4.4
検証: リポジトリの許可リストは、各エントリのビジネス上の正当性の証跡とともに、四半期ごとにレビューされている。
2
V
6.4.5
検証: ポリシー違反はアーティファクトの隔離と、依存するパイプライン実行のロールバックをトリガーしている。
3
V
C6.5 サードパーティデータセットのリスク評価 (Third‑Party Dataset Risk Assessment)
外部データセットのポイズニング、バイアス、法令遵守を評価し、ライフサイクル全体にわたって監視します。
6.5.1
検証: 外部データセットはポイズニングリスクスコアリング (データフィンガープリンティング、外れ値検出) を受けている。
1
D/V
6.5.2
検証: バイアスメトリクス (人口統計的平等、機会均等) はデータセットの承認前に計算されている。
1
D
6.5.3
検証: データセットの来歴とライセンス条項は ML-BOM エントリに記録されている。
2
V
6.5.4
検証: 定期的な監視はホストされているデータセットのドリフトや破損を検出している。
2
V
6.5.5
検証: 許可されていないコンテンツ (著作権、PII) はトレーニング前に自動スクラビングで削除されている。
3
D
C6.6 サプライチェーン攻撃の監視 (Supply Chain Attack Monitoring)
CVE フィード、監査ログ分析、レッドチームシミュレーションを通じて、サプライチェーンの脅威を早期に検出します。
6.6.1
検証: CI/CD 監査ログは、異常なパッケージプルや改竄されたビルドステップを検出するために、SIEM に配信している。
1
V
6.6.2
検証: インシデント対応プレイブックは侵害されたモデルやライブラリのロールバック手順を含んでいる。
2
D
6.6.3
検証: 脅威インテリジェンスのエンリッチメントは、アラートトリアージで、ML 固有のインジケータ (モデルポイズニングの IoC など) をタグ付けしている。
3
V
C6.7 モデルアーティファクトのための ML-BOM (ML‑BOM for Model Artifacts)
詳細な ML 固有の SBOM (ML-BOM) を生成して署名することで、ダウンストリームのコンシューマがデプロイ時にコンポーネントの完全性を検証できます。
6.7.1
検証: すべてのモデルアーティファクトは、データセット、重み、ハイパーパラメータ、ライセンスをリストした ML-BOM を公開している。
1
D/V
6.7.2
検証: ML-BOM 生成と Cosign 署名は CI で自動化されており、マージに必要とされている。
1
D/V
6.7.3
検証: ML‑BOM 完全性チェックは、コンポーネントメタデータ (ハッシュ、ライセンス) が欠落している場合、失敗している。
2
D
6.7.4
検証: ダウンストリームのコンシューマは、デプロイ時にインポートされたモデルを検証するために、API を介して ML-BOM をクエリできる。
2
V
6.7.5
検証: ML-BOM はバージョン管理されており、不正な変更を検出するために差分を取られている。
3
V
参考情報
Last updated