ETSI(欧州電気通信標準化機構)は2026年1月15日、AIモデルとシステムのための基本的なサイバーセキュリティ要件を定めた新標準規格ETSI EN 304 223を公開した。この規格は、AIサイバーセキュリティに関する世界初のグローバル適用可能なヨーロッパ標準である。各国の標準化機関による投票で正式に承認されている。
ETSI EN 304 223は、技術仕様書ETSI TS 104 223の原則を強化し、セキュアな設計、開発、展開、保守、終末期という5つのフェーズにわたって13の原則と要件を定義している。対象範囲は、ディープニューラルネットワークを組み込んだAIシステムで、生成AIを含む。今後公開予定の技術レポートETSI TR 104 159は、生成AIに特化した原則の適用を扱う。
ETSIは60カ国以上から900を超える会員組織を擁する非営利団体で、欧州連合によって認定された3つのヨーロッパ標準化機関のうちの1つである。
From: 
ETSI releases world-leading standard for securing AI
【編集部解説】
このETSI EN 304 223の公開は、AI技術が社会インフラに深く組み込まれつつある今、極めて重要な意味を持ちます。2024年に成立したEU AI Actは、高リスクAIシステムに対して厳格な要件を課していますが、その具体的な実装方法については標準化団体による技術仕様に委ねられていました。今回の標準規格は、まさにその空白を埋める役割を果たします。
従来のソフトウェアセキュリティとAIセキュリティには、本質的な違いがあります。従来のシステムは主にコードレベルの脆弱性や不正アクセスへの対策が中心でしたが、AIシステムは学習データそのものが攻撃対象となるのです。データポイズニング(学習データへの意図的な汚染)、モデル難読化(モデルの構造や動作を不透明にして解析を困難にする手法)、間接的プロンプトインジェクション(外部データを通じた悪意ある指示の注入)といった攻撃手法は、元記事で指摘されているAI特有の脅威です。
特に間接的プロンプトインジェクションは、生成AIが広範囲に活用される現在において重要な脅威ベクトルとなっています。攻撃者がウェブページなどの外部データに悪意ある指示を埋め込み、それをAIシステムが読み込むことで不正な動作を引き起こす手法で、従来のセキュリティ対策では防ぎきれません。
ETSI EN 304 223が採用する「ライフサイクル全体アプローチ」は、設計段階から廃棄まで一貫したセキュリティ要件を定めている点で画期的です。13の原則は、セキュアな設計・開発・展開・保守・終末期という5つのフェーズに分散配置されており、各段階で必要な対策が明確化されています。これにより、開発者、システム運用者、データ管理者、エンドユーザーといったステークホルダー全員が、自身の役割と責任を理解できる構造になっているのです。
この標準がカバーする範囲は、ディープニューラルネットワークを使用するすべてのAIシステムです。生成AIも含まれており、ChatGPTのような大規模言語モデルから画像生成AIまで、実世界で展開される幅広いシステムが対象となります。さらに注目すべきは、今後公開予定のETSI TR 104 159が、ディープフェイク、誤情報・偽情報、著作権侵害といった生成AI特有のリスクに特化した規範を提供する予定である点です。
サプライチェーン全体への影響も見逃せません。AIシステムは、クラウドベンダー、データプロバイダー、モデル開発者、インテグレーター、運用者という複雑なエコシステムで構成されています。この標準は、各プレイヤーに明確なベースライン要件を提供することで、サプライチェーン全体のセキュリティレベルの底上げを図っています。
各国標準化機関の投票によって正式承認されたことで、この標準はヨーロッパを超えたグローバルな影響力を持つことになりました。日本企業がEU市場でAI製品やサービスを提供する際、この標準への準拠が事実上の要件となる可能性が高く、今後の製品開発やサービス設計において考慮すべき重要な基準となるでしょう。
【用語解説】
ETSI EN 304 223
欧州電気通信標準化機構が2026年1月に公開した、AIモデルとシステムのサイバーセキュリティに関する基準要件を定めた標準規格である。ヨーロッパ標準(EN)として各国標準化機関の投票により正式承認されており、グローバルに適用可能な初のAIセキュリティ標準とされる。
データポイズニング
AIの学習データに意図的に汚染されたデータを混入させることで、モデルの判断を誤らせる攻撃手法である。例えば画像認識AIの訓練データに誤ったラベルを付与することで、特定の対象を誤認識させることができる。
モデル難読化
AIモデルの内部構造やパラメータ、動作ロジックを意図的に不透明にする手法である。攻撃者がモデルの仕組みを解析して脆弱性を発見したり、知的財産を盗用したりすることを防ぐ防御技術として使われる一方で、悪意ある目的でモデルの動作を隠蔽する攻撃手法としても利用される可能性がある。
間接的プロンプトインジェクション
攻撃者がウェブページやドキュメントなどの外部データに悪意ある指示を埋め込み、それをAIシステムが読み込むことで不正な動作を引き起こす攻撃手法である。生成AIが外部情報を参照する際の新しい脅威ベクトルとして認識されている。
ディープニューラルネットワーク
人間の脳の神経回路を模倣した多層構造を持つ機械学習モデルである。画像認識、音声認識、自然言語処理など幅広い分野で使用され、現代のAIシステムの中核技術となっている。
EU AI Act
2024年に欧州連合で成立したAI規制法である。AIシステムをリスクレベル別に分類し、高リスクシステムには厳格な要件を課す。技術的な実装方法については標準化団体による技術仕様に委ねられている。
ライフサイクルアプローチ
製品やシステムの設計、開発、展開、保守、廃棄という全段階にわたって一貫した管理や要件を適用する手法である。ETSI EN 304 223では、AIシステムのセキュリティを全フェーズで確保するために採用されている。
【参考リンク】
ETSI(欧州電気通信標準化機構)公式サイト(外部)
欧州連合が認定する3つの標準化機関の1つ。60カ国以上から900超の会員組織が参加し、5G、IoT、サイバーセキュリティなど幅広い技術領域の標準化を推進している。
EU AI Act 標準化ポータル(外部)
欧州委員会が運営するAI法の標準化に関する公式情報サイト。ETSIをはじめとする標準化機関による技術仕様の策定状況や最新情報を提供している。
【参考記事】
Meeting the new ETSI standard for AI security(外部)
ETSI EN 304 223の技術的詳細について解説。データポイズニング、モデルインバージョン、プロンプトインジェクションなどAI特有の攻撃手法を説明している。
ETSI sets out new European standard to strengthen AI cyber security(外部)
英国テクノロジー業界団体techUKによる分析記事。ETSI EN 304 223が各国標準化機関の投票により正式承認されたプロセスを詳述している。
New ETSI standard sets global baseline for securing AI systems(外部)
ETSI TS 104 223からEN 304 223への移行プロセスと、ライフサイクル全体にわたる13の原則の構造について解説している。
Standardisation of the AI Act(外部)
欧州委員会の公式ページ。EU AI ActとETSI標準規格の関係性、標準化プロセスの最新状況を提供しており、2026年1月14日に更新されている。
Securing the AI-Enabled Supply Chain With Vendor Management(外部)
AIサプライチェーンのセキュリティリスクとベンダー管理の重要性について論じた専門記事。エコシステム全体のセキュリティ管理手法を解説している。
【編集部後記】
AIが日常生活やビジネスの隅々まで浸透しつつある今、私たちは便利さの恩恵を受ける一方で、新しいリスクとも向き合う必要があります。データポイズニングやプロンプトインジェクションといった攻撃手法は、従来のセキュリティ知識だけでは対応できない領域です。
皆さんの会社や組織では、AIシステムのセキュリティについてどのような対策を講じていますか?開発段階から廃棄まで、ライフサイクル全体を見据えた管理体制は整っているでしょうか。
このETSI標準は、AIを安全に活用するための羅針盤となるかもしれません。ぜひ一度、自社のAI活用とセキュリティ対策を見直すきっかけにしてみてください。
