AIセキュリティの個別対策は進めてきたけれど、「結局うちは全体としてどのレベルなの?」と聞かれると答えられない——そんな状態の企業は少なくありません。
本記事では、プロンプトインジェクション対策からDLP、ガードレール、権限設計まで、当サイトで解説してきた14本のセキュリティ対策記事を「1枚のマトリクス」に統合します。NIST AI RMFの4機能(Govern・Map・Measure・Manage)とISO/IEC 42001の管理策にマッピングし、自社のAIセキュリティ態勢を経営層・監査法人・取引先に説明できる体系を構築しましょう。
巻末には、1時間で完了する自己診断チェックリストと取締役会向け報告テンプレートも用意しています。
なぜ「統合監査」が必要なのか——個別対策の限界
当サイトでは、AIセキュリティに関する個別対策を以下のように積み上げてきました。
| 対策カテゴリ | 記事テーマ | 対象 |
|---|---|---|
| 入力防御 | プロンプトインジェクション対策 | LLMアプリ全般 |
| 入力防御 | AIガードレール設計 | LLM出力制御 |
| データ保護 | RAGセキュリティ | 検索拡張生成 |
| データ保護 | AI環境DLP | 情報漏洩防止 |
| データ保護 | 鍵管理・シークレット管理 | APIキー・認証情報 |
| アクセス制御 | 権限エスカレーション防止 | 最小権限設計 |
| アクセス制御 | ゼロトラスト×AI | 信頼境界設計 |
| インフラ防御 | MCPサーバーセキュリティ | エージェント基盤 |
| インフラ防御 | サプライチェーン攻撃対策 | 依存関係管理 |
| 検知・対応 | ログ監査 | 異常検知・証跡 |
| 検知・対応 | インシデント対応 | 事後対策 |
| 検知・対応 | レッドチーミング | 攻撃シミュレーション |
| 組織・管理 | シャドーAI対策 | 未承認AI利用 |
| 組織・管理 | AIベンダー評価 | 外部サービス審査 |
これらはすべて重要な対策ですが、個別に読んでいくだけでは以下の問題が残ります。
問題1:全体の抜け漏れが見えない——14本の記事を読んでも「自社が未対応の領域」を体系的に把握するのは困難です。
問題2:経営層に説明できない——技術者向けの個別対策記事を、取締役会や監査法人向けに再構成する必要があります。
問題3:国際フレームワークとの対応が不明——NIST AI RMFやISO/IEC 42001への準拠状況を取引先に示せない企業が大半です。
2026年2月にNISTがAIエージェント向けセキュリティのRFI(情報提供依頼)を公開し、3月にはコメント期限を迎えました。ISO/IEC 42001の認証取得企業も急増しています。「個別対策から統合管理へ」のシフトは、もはや大企業だけの課題ではありません。
NIST AI RMFとISO/IEC 42001——2つのフレームワークを理解する
統合監査の軸となる2つの国際フレームワークを整理します。
NIST AI RMF(AI Risk Management Framework)とは
NISTが2023年1月に公開した、AIリスク管理のための任意フレームワークです。Govern(統治)・Map(特定)・Measure(測定)・Manage(管理)の4機能で構成されます。
| 機能 | 役割 | 経営層にとっての意味 |
|---|---|---|
| Govern | リスク管理の方針・体制・文化を確立する | 「誰が責任を持つか」が明確になる |
| Map | AIシステムが生むリスクの全体像を把握する | 「どこにリスクがあるか」が見える |
| Measure | リスクを定量・定性的に評価する | 「どのくらい危険か」が判断できる |
| Manage | リスクへの対処を計画・実行・監視する | 「何を、いつまでにやるか」が決まる |
2026年2月にはNISTが「AI Agent Standards Initiative」を立ち上げ、自律型AIエージェントのセキュリティ・相互運用性の標準化が本格始動しました。NIST AI RMFは任意フレームワークでありながら、公開から18カ月以内に大統領令、州法、連邦調達要件に組み込まれた実績があり、事実上の業界標準となりつつあります。
ISO/IEC 42001(AI管理システム)とは
2023年12月に発行された、世界初のAIマネジメントシステム認証規格です。ISO 27001(情報セキュリティ)と同じPDCA(Plan-Do-Check-Act)サイクルに基づき、AIの開発・提供・利用に関するリスクを継続的に管理する仕組みを要求します。
2026年時点で、SAP、Miro、Reflections Info Systemsなど大手テクノロジー企業が認証を取得済みです。BSIやDNV、TÜV SÜD、SGSなどの主要認証機関がISO 42001の審査サービスを本格運用しており、取引先からの「AIガバナンス証明」としての要求が増加しています。
2つのフレームワークの関係
| 比較項目 | NIST AI RMF | ISO/IEC 42001 |
|---|---|---|
| 性質 | リスク管理フレームワーク(任意) | マネジメントシステム認証規格 |
| 構造 | Govern/Map/Measure/Manage | PDCA(Plan-Do-Check-Act) |
| 認証の有無 | なし(自己評価) | あり(第三者認証可能) |
| 適用範囲 | 米国発・グローバルで参照 | 国際規格・グローバル |
| 中小企業への適用 | 軽量な自己評価から開始可能 | 規模に応じたスコープ設定可能 |
| 相互補完性 | NIST AI RMFを「実務のHow」、ISO 42001を「ガバナンスのWhat」として組み合わせるのが最も効果的 | |
統合マッピング——NIST AI RMF × 既存14対策記事
ここからが本記事の核心です。当サイトの14本のセキュリティ対策記事を、NIST AI RMFの4機能にマッピングします。このマトリクス1枚で「自社がどの機能を、どの対策でカバーしているか」を一望できます。
Govern(統治)——方針・体制・責任の確立
| 対策テーマ | Governとの関連 | 具体的なアクション |
|---|---|---|
| シャドーAI対策 | 未承認AI利用のポリシー策定 | AI利用ポリシーを策定し、承認プロセスを文書化する |
| AIベンダー評価 | 外部委託先のリスク管理方針 | ベンダー選定基準と評価プロセスを確立する |
| 権限エスカレーション防止 | アクセス権限の管理方針 | 最小権限の原則をポリシーとして文書化する |
| 社内AIセキュリティ | 組織全体のセキュリティ方針 | AI利用に関する社内ルール・教育体制を整備する |
Map(特定)——リスクの全体像を把握する
| 対策テーマ | Mapとの関連 | 具体的なアクション |
|---|---|---|
| プロンプトインジェクション | 入力経路のリスク特定 | LLMへの入力ポイントを洗い出し、攻撃面を整理する |
| OWASP LLM Top 10 | LLM固有リスクの体系的把握 | OWASP Top 10に沿って自社リスクを棚卸しする |
| RAGセキュリティ | データパイプラインのリスク特定 | RAG構成におけるデータフローと信頼境界を図式化する |
| MCPサーバーセキュリティ | エージェント基盤のリスク特定 | MCP接続先とツール呼び出しの権限を棚卸しする |
| A2Aプロトコル | エージェント間通信のリスク特定 | エージェント間のデータフローと認証方式を整理する |
| サプライチェーン攻撃 | 依存関係のリスク特定 | モデル・ライブラリ・データの供給元を一覧化する |
Measure(測定)——リスクを定量・定性的に評価する
| 対策テーマ | Measureとの関連 | 具体的なアクション |
|---|---|---|
| レッドチーミング | 攻撃シミュレーションによる評価 | 定期的にレッドチームテストを実施し、脆弱性を定量化する |
| ログ監査 | 異常検知メトリクスの収集 | AI利用ログから異常パターンを検出する仕組みを構築する |
| AI環境DLP | データ漏洩リスクの測定 | 機密データの分類と漏洩シナリオのリスクスコアを算定する |
| 鍵管理 | 認証情報の管理状況評価 | APIキー・シークレットのローテーション状況を監査する |
Manage(管理)——リスクへの対処を計画・実行・監視する
| 対策テーマ | Manageとの関連 | 具体的なアクション |
|---|---|---|
| AIガードレール | リスク軽減策の実装 | 入出力フィルタリングルールを実装・運用する |
| ゼロトラスト×AI | 信頼境界の継続的制御 | ゼロトラストアーキテクチャをAI環境に適用する |
| インシデント対応 | インシデント発生時の対処 | AI固有インシデントの対応手順書を整備・訓練する |
| シャドーAI対策 | 未承認利用の継続的監視 | シャドーAI検出ツールの導入と定期スキャンを実施する |
ISO/IEC 42001 管理策との対応表
ISO/IEC 42001は、附属書(Annex)に具体的な管理策を定めています。ここでは主要な管理策と、当サイトの対策記事の対応関係を示します。
| ISO 42001 管理策カテゴリ | 管理策の概要 | 対応する記事 |
|---|---|---|
| A.2 AIポリシー | AIに関する方針と目的の策定 | シャドーAI、社内AIセキュリティ |
| A.3 内部組織 | AIに関する役割・責任の割当 | 権限エスカレーション防止 |
| A.4 AIシステムのリソース | データ・モデル・インフラの管理 | RAGセキュリティ、サプライチェーン攻撃 |
| A.5 AIシステムの影響評価 | AIの社会的・倫理的影響評価 | OWASP LLM、レッドチーミング |
| A.6 AIシステムのライフサイクル | 開発〜運用〜廃棄の管理 | MCPサーバー、A2Aプロトコル |
| A.7 データ管理 | 学習データ・運用データの品質管理 | DLP、鍵管理 |
| A.8 情報セキュリティ | AIシステムのセキュリティ対策 | プロンプトインジェクション、ガードレール、ゼロトラスト |
| A.9 監視・測定 | パフォーマンスとリスクの継続監視 | ログ監査、レッドチーミング |
| A.10 改善 | インシデントからの学習と是正 | インシデント対応 |
| A.11 第三者管理 | 外部サプライヤー・ベンダーの管理 | AIベンダー評価、サプライチェーン攻撃 |
1時間で完了する「AIセキュリティ自己診断チェックリスト」
以下のチェックリストを使えば、自社のAIセキュリティ態勢を約1時間で自己診断できます。各項目を「対応済み(◎)」「部分対応(○)」「未対応(×)」で評価し、優先度の高い未対応項目から着手してください。
【Govern】方針・体制(目安:15分)
| # | チェック項目 | 対応状況 | 参照記事 |
|---|---|---|---|
| G-1 | AI利用ポリシーが文書化され、全社員に周知されているか | ◎ / ○ / × | シャドーAI |
| G-2 | AIセキュリティの責任者(CISO等)が明確に任命されているか | ◎ / ○ / × | 社内AIセキュリティ |
| G-3 | AI利用の承認プロセス(新ツール導入時)が整備されているか | ◎ / ○ / × | シャドーAI |
| G-4 | 最小権限の原則がポリシーとして明文化されているか | ◎ / ○ / × | 権限エスカレーション |
| G-5 | AIベンダーの選定基準・評価プロセスが文書化されているか | ◎ / ○ / × | ベンダー評価 |
| G-6 | AIに関するセキュリティ教育を年1回以上実施しているか | ◎ / ○ / × | 社内AIセキュリティ |
【Map】リスク特定(目安:15分)
| # | チェック項目 | 対応状況 | 参照記事 |
|---|---|---|---|
| M-1 | 自社で利用中のAIサービス・モデルを一覧化しているか | ◎ / ○ / × | シャドーAI |
| M-2 | LLMへの入力ポイント(ユーザー入力・API・RAG)を把握しているか | ◎ / ○ / × | プロンプトインジェクション |
| M-3 | OWASP LLM Top 10に沿ったリスクの棚卸しを実施したか | ◎ / ○ / × | OWASP LLM |
| M-4 | RAGパイプラインのデータフローと信頼境界を図式化しているか | ◎ / ○ / × | RAGセキュリティ |
| M-5 | MCP/エージェント接続先とツール権限を把握しているか | ◎ / ○ / × | MCPサーバー、A2A |
| M-6 | AIモデル・ライブラリ・データのサプライチェーンを一覧化しているか | ◎ / ○ / × | サプライチェーン |
【Measure】リスク評価(目安:15分)
| # | チェック項目 | 対応状況 | 参照記事 |
|---|---|---|---|
| S-1 | レッドチームテストまたはペネトレーションテストを年1回以上実施しているか | ◎ / ○ / × | レッドチーミング |
| S-2 | AI利用ログを収集し、異常検知の仕組みがあるか | ◎ / ○ / × | ログ監査 |
| S-3 | 機密データの分類が完了し、AIへの入力制限が明確か | ◎ / ○ / × | DLP |
| S-4 | APIキー・シークレットのローテーションを定期的に実施しているか | ◎ / ○ / × | 鍵管理 |
| S-5 | AIモデルの出力品質(ハルシネーション率等)を定量的に測定しているか | ◎ / ○ / × | レッドチーミング |
【Manage】リスク対処(目安:15分)
| # | チェック項目 | 対応状況 | 参照記事 |
|---|---|---|---|
| R-1 | 入出力のフィルタリング(ガードレール)を実装しているか | ◎ / ○ / × | ガードレール |
| R-2 | ゼロトラストの原則をAI環境に適用しているか | ◎ / ○ / × | ゼロトラスト |
| R-3 | AI固有のインシデント対応手順書があり、訓練を実施しているか | ◎ / ○ / × | インシデント対応 |
| R-4 | シャドーAIの定期スキャン・検出の仕組みがあるか | ◎ / ○ / × | シャドーAI |
| R-5 | ベンダーのセキュリティ態勢を定期的に再評価しているか | ◎ / ○ / × | ベンダー評価 |
| R-6 | インシデント発生後の再発防止策を文書化し、改善サイクルを回しているか | ◎ / ○ / × | インシデント対応 |
診断結果の読み方
| ◎の数 | 成熟度レベル | 推奨アクション |
|---|---|---|
| 20〜23個 | レベル4:最適化 | 継続的改善とISO 42001認証取得を検討 |
| 14〜19個 | レベル3:体系化 | 未対応領域を優先的に埋め、経営報告体制を整備 |
| 8〜13個 | レベル2:部分対応 | Govern(方針)とMap(リスク特定)から着手 |
| 0〜7個 | レベル1:初期段階 | AI利用ポリシーの策定と資産棚卸しが最優先 |
経営層・取締役会への報告テンプレート
チェックリストの結果を、経営層に報告するためのテンプレートです。以下の構成でA4 1枚〜2枚にまとめます。
■ AIセキュリティ態勢報告書 【報告日】2026年○月○日 【報告者】○○部 ○○○○ 【対象期間】2026年○月〜○月 ━━━━━━━━━━━━━━━━━━ 1. 総合評価 ━━━━━━━━━━━━━━━━━━ 成熟度レベル:レベル○(○○段階) チェックリスト対応状況:◎ ○個 / ○ ○個 / × ○個(全23項目) ━━━━━━━━━━━━━━━━━━ 2. NIST AI RMF機能別スコア ━━━━━━━━━━━━━━━━━━ ・Govern(統治):○/6項目対応済み ・Map(特定):○/6項目対応済み ・Measure(測定):○/5項目対応済み ・Manage(管理):○/6項目対応済み ━━━━━━━━━━━━━━━━━━ 3. 主要リスクと対応状況 ━━━━━━━━━━━━━━━━━━ 【高リスク・未対応】 ・(例)AI固有のインシデント対応手順が未整備 ・(例)シャドーAIの検出メカニズムが未導入 【中リスク・部分対応】 ・(例)APIキーのローテーションが一部手動 ━━━━━━━━━━━━━━━━━━ 4. 改善計画(次の四半期) ━━━━━━━━━━━━━━━━━━ ・優先度1:○○の整備(担当:○○、期限:○月○日) ・優先度2:○○の導入(担当:○○、期限:○月○日) ・優先度3:○○の実施(担当:○○、期限:○月○日) ━━━━━━━━━━━━━━━━━━ 5. ISO/IEC 42001への準拠状況 ━━━━━━━━━━━━━━━━━━ ・対応済み管理策:○/11カテゴリ ・認証取得計画:(取得予定 / 検討中 / 未検討) ━━━━━━━━━━━━━━━━━━ 6. 経営判断事項 ━━━━━━━━━━━━━━━━━━ ・(例)ISO 42001認証取得に向けた予算承認(○○万円) ・(例)セキュリティ専任人材の採用承認
2026年の最新動向——NISTエージェント標準化とCSA AI Controls Matrix
統合監査を進めるうえで押さえておくべき2026年の最新動向をまとめます。
NIST AI Agent Standards Initiative(2026年2月〜)
NISTは2026年2月17日、「AI Agent Standards Initiative」を発足させました。自律型AIエージェントの安全性・相互運用性に関する業界標準の策定を推進するもので、以下の3本柱で構成されます。
第1の柱:業界主導の標準策定——AIエージェントの認証・認可・ログ管理に関する自主基準を策定し、ISOなど国際標準化機構への米国リーダーシップを確立します。
第2の柱:オープンソースプロトコルの育成——Model Context Protocol(MCP)などの新興プロトコルを、ベンダーロックインを防ぐ相互運用性の基盤として位置づけています。
第3の柱:パブリックトラストの構築——医療・金融・教育など分野別のリスニングセッションを2026年4月に開催し、セクター固有の要件を収集します。
NIST AI RMFがわずか18カ月で大統領令・州法・調達要件に組み込まれた前例を踏まえると、このエージェント標準も短期間で事実上の義務化に近づく可能性があります。MCPサーバーセキュリティとA2Aプロトコルの対策は、今のうちに着手しておくことを強く推奨します。
Cyber AI Profile(NIST IR 8596)
NISTは2025年末〜2026年初頭にかけて、Cybersecurity Framework(CSF)とAI RMFを統合した「Cyber AI Profile」の予備草案を公開しました。CSFの6機能(Govern/Identify/Protect/Detect/Respond/Recover)にAI固有のリスク考慮事項を追加したもので、SP 800-53の既存統制を5つのAIユースケース(生成AI、予測AI、シングル/マルチエージェント、AI開発者向け)にオーバーレイする構成です。
CSA AI Controls Matrix(AICM)
Cloud Security Alliance(CSA)は、クラウドセキュリティの知見をAIに拡張した「AI Controls Matrix」を発行しています。ISO 42001、ISO 27001、NIST AI RMF 1.0、EU AI Actなど主要フレームワークとのクロスマッピングが含まれ、自己評価用の質問票(AI-CAIQ)も付属しています。
実践ロードマップ——中小企業が今日から始める5ステップ
「フレームワークは理解できたが、何から手をつければいいか分からない」という方のために、中小企業向けの実践ロードマップを示します。
ステップ1(1日目):AI資産の棚卸し
まず、自社で利用しているAIサービス・モデル・ツールをすべてリストアップします。「情シス部門が把握していないサービス」が存在するのが普通です。シャドーAI対策記事の手法を参考に、全従業員への簡易アンケートやネットワークログの確認から着手しましょう。
ステップ2(1週間目):チェックリストで自己診断
本記事の23項目チェックリストを使い、現状の成熟度レベルを判定します。「◎」がつかない項目が、あなたの会社の最も脆弱なポイントです。
ステップ3(1カ月目):Govern(方針)の整備
チェックリストの結果に基づき、最優先でAI利用ポリシーを策定します。社内AIセキュリティ記事のテンプレートを活用し、以下を文書化してください。
【AI利用ポリシーに含めるべき最低限の項目】 ・承認済みAIツールの一覧と利用条件 ・機密データのAIへの入力禁止ルール ・AIセキュリティの責任者と報告ライン ・新規AIツール導入時の承認フロー ・インシデント発生時の連絡先と初動手順
ステップ4(3カ月目):Map & Measureの実行
ポリシー策定後、OWASP LLM Top 10に沿ったリスク棚卸し(参照)と、最低1回のセキュリティテスト(レッドチーミング参照)を実施します。予算が限られる場合は、プロンプトインジェクションのテストから始めるのが費用対効果が高い選択です。
ステップ5(6カ月目):経営報告と改善サイクル
前述の報告テンプレートを使い、初回の経営報告を実施します。ここで重要なのは、「完璧を報告する」のではなく「現状と計画を報告する」ことです。経営層が知りたいのは「うちは安全か?」ではなく「何がリスクで、いつまでに何をするのか」です。以降、四半期ごとにチェックリストを再評価し、PDCAサイクルを回していきます。
よくある質問(Q&A)
Q1. 中小企業でもNIST AI RMFやISO 42001に対応する必要がありますか?
NIST AI RMFは任意のフレームワークであり、ISO 42001も認証が義務化されているわけではありません。ただし、大手企業との取引や入札案件では「AIガバナンス態勢」を問われるケースが増えています。また、NIST AI RMFは公開から18カ月で州法や調達要件に組み込まれた実績があり、「いずれ必要になる」と考えて早めに準備するのが現実的です。全項目を完璧に対応する必要はなく、自社の規模とリスクに応じた「スコーピング」が鍵です。
Q2. チェックリストの23項目すべてに対応しないと危険ですか?
すべてに「◎」がつかないと危険、というわけではありません。重要なのは、自社のAI利用状況に照らして「対応すべき項目」と「現時点では不要な項目」を意識的に判断することです。たとえば、RAGを使っていない企業であればM-4(RAGパイプラインの図式化)は当面不要です。ただし「不要と判断した理由」を記録しておくことが、監査対応では重要になります。
Q3. ISO 42001の認証取得にはどのくらいの期間と費用がかかりますか?
組織の規模とAI利用の成熟度によりますが、一般的には基盤的な導入に3〜6カ月、組織全体への統合に12〜24カ月が目安です。費用は認証機関やスコープにより大きく異なるため、BSI、DNV、TÜV SÜDなどの認証機関に見積りを依頼してください。まずはNIST AI RMFの自己評価から始め、ISO 42001認証に段階的にステップアップする方法がコスト効率に優れています。
Q4. 既存のISO 27001認証があれば、ISO 42001は不要ですか?
ISO 27001は情報セキュリティ全般をカバーする規格であり、AI固有のリスク(データバイアス、ハルシネーション、AIモデルのライフサイクル管理、倫理的配慮など)は対象外です。ISO 42001はISO 27001と統合して運用することが推奨されており、「ISO 27001があるからAIガバナンスも万全」とはなりません。ただし、ISO 27001で構築した管理体制をISO 42001の基盤として活用できるため、認証取得のハードルは新規よりも大幅に低くなります。
Q5. AIエージェント(MCP、A2A等)を使っていない場合、エージェント関連の項目は無視してよいですか?
現時点でエージェントを利用していない場合、M-5(MCP/A2A接続先の把握)は「該当なし」として問題ありません。ただし、2026年のNIST AI Agent Standards Initiativeが示すように、エージェント型AIの業務利用は急速に拡大しています。「今は使っていないが、今後の導入を想定して知識だけは持っておく」ことを推奨します。MCPサーバーセキュリティとA2Aプロトコルの概要記事に目を通しておくだけでも、導入時のリスク評価がスムーズになります。
まとめ——「14記事の知見」を「1枚のマトリクス」に
本記事では、当サイトのAIセキュリティ対策14記事を、NIST AI RMFの4機能(Govern・Map・Measure・Manage)とISO/IEC 42001の管理策にマッピングし、統合的な監査・報告フレームワークとして再構成しました。
ポイントを3つにまとめます。
1. 個別対策から統合管理へ。14本の対策記事は、NIST AI RMFの4機能にマッピングすることで「漏れなく・ダブりなく」管理できます。各記事の実装が「フレームワークのどこに位置づけられるか」を意識することで、経営層・監査法人・取引先に体系的な説明が可能になります。
2. 自己診断は「完璧」を目指さない。23項目のチェックリストは、現状把握と優先順位づけのためのツールです。「◎が少ない=危険」ではなく、「自社のリスクに対して何が足りないか」を明らかにすることが目的です。
3. 報告することが、改善の第一歩。経営層への報告テンプレートを使い、四半期ごとにPDCAサイクルを回しましょう。AIセキュリティは「一度対策して終わり」ではなく、継続的に進化させるべきものです。
参考リンク
- NIST AI Risk Management Framework(公式)
- NIST AI Agent Standards Initiative(2026年2月発足)
- ISO/IEC 42001:2023 — AI Management Systems(ISO公式)
- NIST IR 8596 Cyber AI Profile(予備草案PDF)
- CSA AI Controls Matrix 解説(Cloud Security Alliance)
関連記事(内部リンク):
プロンプトインジェクション対策 | OWASP LLM Top 10 | 社内AIセキュリティ | MCPサーバーセキュリティ | RAGセキュリティ | A2Aプロトコル | ゼロトラスト×AI | レッドチーミング | サプライチェーン攻撃 | シャドーAI対策 | インシデント対応 | ログ監査 | AI環境DLP | AIベンダー評価 | 鍵管理 | AIガードレール | 権限エスカレーション防止
免責事項:本記事は2026年3月時点の公開情報に基づく情報提供であり、法的・監査上のアドバイスではありません。NIST AI RMFは任意のフレームワークであり、ISO/IEC 42001の認証取得は法的義務ではありません。具体的なコンプライアンス対応については、情報セキュリティの専門家やISO認証コンサルタントにご相談ください。フレームワークの内容は更新される可能性があるため、最新情報は各公式ソースで確認してください。
コメント