はじめに

米国政府および主要な西側同盟国は、2025年12月4日水曜日、重要インフラ事業者が人工知能（AI）を安全に利用するための新たなガイダンスを発表しました。この指針は、AI技術に対する企業の熱狂を、潜在的なリスクへの警告によって抑制することを目的としています。

ガイダンスの主要原則

このガイダンス文書は、AIを運用技術（OT）に統合するための4つの主要原則を提示しており、インフラ事業者がAI導入を検討する際に考慮すべき課題を詳述しています。これには以下の内容が含まれます。

• 一般的なリスク認識： AIがもたらす固有のリスクを理解すること。
• 必要性とリスク評価： AI利用の明確な正当性を確立し、リスクを評価すること。
• AIモデルのガバナンス： AIモデルの運用と管理に関する体制を構築すること。
• 運用上のフェールセーフ： 運用停止時にも安全を確保する仕組みを導入すること。

このガイダンスは、CISA、FBI、NSAが、オーストラリア、カナダ、ドイツ、オランダ、ニュージーランド、英国のサイバーセキュリティ機関と協力して作成されました。

企業への具体的な提言

文書は、重要インフラ事業者に以下の行動を強く促しています。

• AIの固有のリスクを理解し、従業員に自動システムの使用法について教育する。
• AIを使用する明確な根拠を確立し、ベンダーとの強力なセキュリティ期待値を設定する。
• 既存の運用技術へのAI統合の課題を慎重に評価する。
• 明確なAI使用および説明責任手順を策定し、実装前にAIシステムを徹底的にテストする。
• 規制および安全要件へのAIの準拠を継続的に検証する。
• 人間が介入する「ヒューマン・イン・ザ・ループ」プロトコルを通じてAIシステムを監督し、潜在的に危険な行動が人間の監視なしに実行されないようにする。
• AIシステムが重要業務を中断することなく「優雅に機能停止する」フェールセーフメカニズムを備える。
• 新しいAIの使用に対応するため、サイバーインシデント対応計画を更新する。
• 既存の手順へのAIシステムの統合方法を見直し、OT環境へのAI統合に焦点を当てた新しい安全な使用および実装手順を作成する。

背景とこれまでの取り組み

米国政府は、AIブームの初期から、そのリスクに関する警告とともに、重要インフラ事業者における技術への熱意を抑制しようと努めてきました。2024年11月には、国土安全保障省（DHS）が、開発者からクラウドプロバイダー、インフラ事業者までの各エンティティにおけるAI関連の役割に関する提案を公開しています。また、2025年7月に発表されたホワイトハウスのAI行動計画では、DHSに対し、インフラプロバイダーとのAI関連セキュリティ警告の共有を拡大するよう指示しました。

警告と課題

現在の重要インフラシステムは、セキュリティ上の脆弱性に溢れており、政府関係者は、インフラ事業者が十分な安全対策なしにAIを新しい方法で実装することで、新たな弱点を作り出すことを懸念しています。特に水道部門のような広範に分散したコミュニティの多くのインフラプロバイダーは、サイバーセキュリティ予算が乏しく、専任のセキュリティ担当者がいないため、幹部が最新の技術を急いで導入する際に、組織内で異議を唱える者が少ない可能性があります。

---

元記事: https://www.cybersecuritydive.com/news/ai-critical-infrastructure-government-guidance/807052/