何が起きたか
Cloud Security Alliance (CSA) は 2026 年 5 月 19 日に AI Security Maturity Model (AISMM) バージョン 1.0 をリリースし、2026 年 5 月 20 日にブログ投稿を行いました。AISMM は 12 カテゴリ、5 レベルの CMM 準拠の成熟度モデルで、エンタープライズセキュリティプログラムが AI を安全に採用・保護する能力を測定・改善するために設計されています。3 つのドメインと 12 のカテゴリをカバーしており、AI アセット可視性、AI アイデンティティおよびアクセス管理、AI サプライチェーンセキュリティ、プロンプト・出力ガバナンス、モデルリスク管理、エージェント AI オーバーサイトが含まれます。「特定の AI プロジェクトにはどのようなコントロールが必要か」に答える CSA AI Controls Matrix (AICM) とは異なり、AISMM は「各成熟度レベルですべてのエンタープライズ AI を管理するセキュリティプログラムはどのような姿か」に答えます。AICM と直接整合し、セルフホスト型、PaaS、API/SaaS AI パターンのためのデプロイメントタイプフィールドを組み込んでいます。フレームワークはコントロール目標に関する公開フィードバックへの招待とともにリリースされました。
なぜ重要か
AISMM は本物のギャップを埋めています。ほとんどの組織は AI セキュリティコントロールをプロジェクトレベルでマッピングしていますが、全体的な準備状況を評価するためのプログラムレベルのベンチマークがありません。5 レベルの CMM 構造により、NIST CSF が一般的なサイバーセキュリティプログラムに対応する方法と同様に、ボードレディの成熟度評価として直接利用できます。AICM との整合性は、CSA の AI Controls Matrix に既に投資している組織が重複なく上位レベルに拡張できることを意味します。コンサルタントは、本日エンタープライズクライアントとの AI セキュリティ成熟度評価のための診断フレームワークとしてこれを使用できます。
必要な対応
cloudsecurityalliance.org から AISMM ワークブックをダウンロードし、12 のカテゴリに対する予備的な自己評価を実施してください。貴社のプログラムが現在どのレベルに位置しているかを特定し、最もギャップの大きい 2 つ、3 つのカテゴリをリーダーシップに構造化された AI セキュリティ改善ロードマップとして提示してください。フレームワークをクライアントとの AI セキュリティギャップ評価エンゲージメントの提案構造として使用してください。