IBMは2025年6月24日、AIセキュリティとガバナンスの統合ソリューションを発表した。同社のwatsonx.governanceとGuardium AI Securityを統合し、組織がAI導入に伴うセキュリティとガバナンスのリスクを一元管理できるようにする。
この統合ソリューションは先週フィラデルフィアで開催されたAWS re:Inforceカンファレンスで発表され、最初にAmazon Web Servicesで提供される。他のクラウドプラットフォームへの対応は後日実施予定である。
統合ツールはISO 42001やEU AI法を含む各種フレームワークへの準拠を支援する。IBMセキュリティ・ランタイム製品担当VP Suja Viswesan氏は、顧客のAI導入段階に応じてエンドツーエンドでの対応が必要と述べている。同社はマサチューセッツ州レキシントンのスタートアップAllTrue.aiとパートナーシップを締結し、クラウド環境、コードリポジトリ、組み込みシステムでのAI使用発見機能を強化する。
統合ソリューションにはAIエージェントの開発から展開までの監視・管理機能、展開前のリスク評価、監査証跡管理、エージェント型AIツールのカタログ機能が含まれる。
From: 
IBM Pushes for More Collaboration Between Security, Governance
【編集部解説】
IBMの今回の発表は、企業のAI活用における「セキュリティとガバナンスの統合」という新たなアプローチを示しています。従来、これらは別々の部門が担当することが多く、連携不足が課題となっていました。
技術的な革新性について
watsonx.governanceとGuardium AI Securityの統合により、AI導入から運用まで一貫した管理が可能になります。特に注目すべきは「シャドーAI」の検出機能で、組織内で無許可で使用されているAIツールを自動発見できる点です。これまで見えなかった潜在的なリスクを可視化することで、企業のAI統制が格段に向上します。
規制対応の重要性
EU AI法やISO 42001などの規制フレームワークへの対応支援は、グローバル企業にとって極めて重要です。IBMのソリューションは、これらの複雑な規制要件を自動化により効率的に管理できる仕組みを提供しています。
AIエージェントの管理課題
AIエージェントは自律的に動作するため、従来のソフトウェアとは異なる管理アプローチが必要です。IBMのソリューションでは、エージェントの行動監査、パフォーマンス監視、リスク評価を統合的に実施できます。これにより、AIエージェントが意図しない行動を取るリスクを大幅に軽減できるでしょう。
潜在的な課題とリスク
一方で、統合ソリューションの複雑性は新たな課題も生み出します。多くの企業では、セキュリティチームとガバナンスチームの文化や優先順位が異なるため、統合運用には組織変革が必要になる可能性があります。
長期的な影響
この動きは、AI統制の業界標準を形成する可能性があります。他の大手ベンダーも類似のアプローチを採用すれば、企業のAI活用はより安全で持続可能なものになるでしょう。特に、AllTrue.aiとの提携により実現する分散型AI環境での包括的な監視機能は、今後のAI活用の基盤となる重要な技術です。
【用語解説】
プロンプトインジェクション
AIシステムに対する攻撃手法の一つで、悪意のあるユーザー入力によって開発者の指示を上書きし、AIの動作を意図しない方向に操作する脆弱性である。
シャドーAI
組織内で許可されていないAIツールやモデルが無断で使用されている状態を指す。セキュリティリスクとガバナンス違反の原因となる。
レッドチーム
システムの脆弱性を発見するために攻撃者の視点でテストを行う専門チーム。AIセキュリティにおいては、プロンプトインジェクションなどの攻撃に対する耐性をテストする。
ベクターデータベース
AIの埋め込み表現(ベクター)を効率的に保存・検索するために設計されたデータベース。生成AIやRAG(Retrieval-Augmented Generation)システムで重要な役割を果たす。
AIエージェント
自律的に動作し、目標達成のために複数のタスクを実行できるAIシステム。人間の介入なしに判断を下し、行動を取ることができる。
GRC(Governance, Risk management, and Compliance)
ガバナンス、リスク管理、コンプライアンスの統合的なアプローチ。組織の目標達成と規制遵守を支援する枠組みである。
【参考リンク】
IBM watsonx.governance(外部)
IBMのAIガバナンスツールキット。生成AIと機械学習モデルの責任ある開発・運用を支援する。
IBM Guardium AI Security(外部)
シャドーAIの発見、AIモデルとユースケースの保護、悪意のあるプロンプトからのリアルタイム保護を提供。
AllTrue.ai(外部)
マサチューセッツ州レキシントンを拠点とするAIリスク管理プラットフォーム企業。
ISO 42001(外部)
AI管理システム(AIMS)の国際標準規格。組織内でのAI技術の倫理的、安全で透明な開発・展開・利用を促進。
【参考動画】
【参考記事】
IBM Creates Integrated Solution for AI Security and Governance(外部)
IBMが生成AIシステムとAIエージェントの安全で責任ある運用を支援するため、2つの製品を統合し機能強化を実施。
IBM Unveils First Software for Agentic Governance, Security(外部)
IBMがエージェント型AIシステムの大規模管理のため、watsonx.governanceとGuardium AI Securityを完全統合。
【編集部後記】
皆さんの組織では、AIツールの導入や管理についてどのような課題を感じていらっしゃいますか?
特に、部門間でのAI活用方針の違いや、セキュリティとガバナンスの連携不足に悩まれている方も多いのではないでしょうか。IBMの統合アプローチは一つの解決策を示していますが、実際の現場では異なる課題もあるかもしれません。
ぜひ皆さんの体験や見解をお聞かせください。一緒に考えていければと思います。
AI(人工知能)ニュースをinnovaTopiaでもっと読む
サイバーセキュリティニュースをinnovaTopiaでもっと読む
