ETSIが「EN 304 223」を公表──EU域内の実運用AIに最低セキュリティ要件という“土台”が敷かれます

今日の深掘りポイント

• 「AIの安全対策＝ベストプラクティス」から「実運用要件＝最低ライン」へ。EN 304 223はAIライフサイクル全体に13の原則を敷き、設計から廃棄までを監査可能なかたちで結びます。
• データポイズニング、間接的プロンプトインジェクション、モデル保護など“AI特有の面”を、既存のセキュリティ工学（ゼロトラスト、SSDLC、サプライチェーン管理）に統合する発想が核です。
• EUの「規制による標準化」の力学を踏まえると、域内調達・輸出・サプライチェーンで実質的なデファクトになる可能性が高いです（将来の整合法規との接続は仮説です）。
• 現場での即応は、AI資産棚卸しと運用証跡の整備、MLOpsとSecOpsの統合、ベンダー契約条項の更新から始めるのが最短距離です。
• 脅威は「データ経路」と「ツール連携の境界」に集中します。SOCは新しいテレメトリ（プロンプト/レスポンス、RAGコンテキスト、データ来歴）を標準監視面に載せる準備が要ります。

はじめに

欧州電気通信標準化機構（ETSI）が、実運用のAIモデル/システムに求めるセキュリティ要件をまとめた欧州標準「ETSI EN 304 223」を発表しました。AI固有のリスクを、従来のサイバーセキュリティ実務に橋渡しする構造で定義している点が肝です。AI主導の情報戦や経済安全保障のコンテクストでは、規格は技術仕様であると同時に“市場アクセスの通行証”でもあります。ゆえに、この一歩は内向きのセキュリティ強化に留まらず、EUサプライチェーンに関わるすべての日本企業の責務と機会を同時に広げる動きだと受け止めます。

一次情報は公開直後で限定的ですが、今回の告知から読み取れる要諦は「AIライフサイクル全体にまたがる実装可能な要件」「AI特有の脅威面の明示」「セキュリティ運用と監査を結ぶ証跡前提の設計」です。これらは、単なるチェックリストではなく、現場が回せる運用体系に落とす視点を強く求めてきます。

参考: 発表概要（Help Net Security）ETSI unveils European Standard for AI cybersecurity (EN 304 223)

深掘り詳細

事実（確認できるポイント）

• ETSIが新たな欧州標準「EN 304 223」を公表し、AIモデル/システムの実運用におけるセキュリティ要件を提示したと報じられています。対象は深層学習や生成AIを含み、運用環境を想定しています。
• 標準はAIライフサイクルの各段階（設計、開発、展開、運用、廃棄）をまたぐ13の原則・要件で構成され、AI特有のリスク（データポイズニング、モデルの難読化に伴う透明性リスク、間接的プロンプトインジェクション等）を明示しています。
• 目的は、設計から廃棄に至る一貫した対策と、既存のサイバーセキュリティ実務の統合を促すことです。
• 出典: Help Net Security

インサイト（編集部の視点）

• 実運用の“作法”を定める規範の登場です。AIセキュリティはこれまで「研究・ベストプラクティス」寄りでしたが、EN 304 223は「監査可能な実装要件」に踏み込んだのが大きな転換点です。設計原則だけでなく、運用・保守・廃棄における具体的な統制（データ来歴管理、モデルアーティファクト保護、推論時ガードレール、取替・ロールバック手順など）を要求してくるはずで、証跡主導の運用が前提になります。
• “AI特有の脅威面”の第一級市民化です。RAGやツール連携に潜む間接的プロンプトインジェクション、学習データ経路の汚染、モデル抽出・リバースエンジニアリングといった論点を、従来のATT&CK的な攻撃連鎖に沿ってオペレーション側で扱う必要が出ます。AIを「特殊装置」と見なすのではなく、ネットワーク、アイデンティティ、アプリケーション、データの各制御面に“AI面”を追加する設計に切り替えるタイミングです。
• EU規制エコシステムとの接続が鍵です。欧州は標準（EN）を他法令の整合標準に位置づける設計を得意とします。将来的にAI関連法や横断的なサイバー規制の「整合規格」に採択されれば、適合は事実上の市場参入条件になり得ます（この点は現時点では仮説です）。日本企業は“いつかやる”ではなく“先に仕込む”が競争優位になります。
• 現場の労力配分を変えます。最大のネックはツールの不足ではなく、MLOpsとSecOpsの分断です。EN 304 223が求めるであろう統制を満たすには、データサイエンス、プラットフォーム、セキュリティの分業を、単一の変更管理・証跡・検証ゲートで束ねる“Secure MLOps”体制が不可欠です。

脅威シナリオと影響

以下は、EN 304 223が前提とするであろう脅威に対し、MITREの枠組みに沿って現場実装に落ちる形で整理した仮説です。AI固有のTTPはMITRE ATLASの知見を参照しつつ、周辺インフラはMITRE ATT&CKの戦術で捉えます。

• シナリオ1：RAGデータベースの汚染（データポイズニング）

  • 想定攻撃の流れ（例）:
    • Initial Access/Privilege Escalation（CMSやナレッジ管理の脆弱性悪用）
    • Persistence（コンテンツ改ざんの自動化ジョブ設置）
    • Collection/Impact（RAGが改ざん文書を取り込み、誤誘導回答や有害ツール実行を誘発）
  • ATT&CK対応: Initial Access, Persistence, Impact 等（参考: MITRE ATT&CK）
  • ATLAS観点: Data Poisoning（AI学習/参照データの汚染というTTPの総称、参考: MITRE ATLAS）
  • 影響: 意思決定の誤誘導、誤った自動化アクションの実行、ブランド毀損、規制違反（誤情報拡散）

• シナリオ2：間接的プロンプトインジェクション（RAG/ブラウジング/ツール連携）

  • 想定攻撃の流れ（例）:
    • Resource Development（攻撃者がウェブ/文書に悪性指示を埋め込み）
    • Execution（AIが外部コンテンツを取り込み、内部ガードをバイパスして指示を実行）
    • Exfiltration/Impact（ツール呼び出しで秘匿情報漏えい、権限外操作）
  • ATT&CK対応: Defense Evasion, Exfiltration, Command and Control 等
  • ATLAS観点: Prompt Injection（間接/直接の誘導によるモデル振る舞いの乗っ取り）
  • 影響: データ漏えい、業務プロセスの破壊、規制上の重大インシデント

• シナリオ3：モデル抽出・モデル盗難（知財・安全機構の喪失）

  • 想定攻撃の流れ（例）:
    • Discovery/Collection（API呼び出しやローカル権限からモデル特性抽出）
    • Exfiltration（モデルウェイト/トークナイザー/安全フィルタの持ち出し）
    • Impact（検出回避手口の開発、フィルタ回避、クローンモデルの不正流通）
  • ATT&CK対応: Discovery, Collection, Exfiltration
  • ATLAS観点: Model Extraction/Model Theft
  • 影響: セーフティ機構の迂回、競合優位の喪失、再攻撃のコスト低減

• シナリオ4：敵対的例（Adversarial Examples）による検出バイパス

  • 想定攻撃の流れ（例）:
    • Resource Development（対抗データ生成）
    • Execution/Defense Evasion（入力微細改変で分類/フィルタの回避）
  • ATT&CK対応: Defense Evasion
  • ATLAS観点: Evasion via Adversarial Examples
  • 影響: コンテンツモデレーション破綻、検出の見逃し、コンプライアンス違反

EN 304 223は、これらのシナリオを通じて「どこでテレメトリを取り、どの境界で抑止するか」を具体化するはずです。特に、データ来歴（プロベナンス）の担保、推論境界のサニタイズ、ツール実行の権限分離、モデルアーティファクトの保護（署名・暗号・アクセス制御）、そして回収・ロールバック手順の定義は、最小構成としての“動く対策”です。

セキュリティ担当者のアクション

最短で効果が出る順に、現場実装の勘所を整理します。

1. AI資産の棚卸しと重要度分類から始めます。
   • モデル（社内/外部API）、データパイプライン、RAGソース、ツール連携（プラグイン/関数呼び出し）を一覧化し、バージョンと責任者をひもづけます。
2. EN 304 223仮適合ギャップ評価を実施します。
   • ライフサイクル各段階（設計/開発/展開/運用/廃棄）に対し、現行統制と欠落点を洗い出し、オーナーと期限を設定します。
3. MLOpsとSecOpsを単一の変更管理と証跡で束ねます。
   • データ/モデル/プロンプトテンプレート/安全ポリシーに対し、コード同等のレビュー・署名・リリースゲートを設定します。
4. データ来歴（プロベナンス）と改ざん検知を標準化します。
   • 学習/参照データの取得経路、ハッシュ/署名、許可済みソースのホワイトリスト化、取り込み前スキャンを必須化します。
5. 間接的プロンプトインジェクション対策を“境界パターン”として定義します。
   • 未信頼コンテンツを明示的にタグ付け、指示と事実を分離、ツール実行は人間確認かポリシーベース承認、RAGはドメイン許可制＋埋め込み前のサニタイズを徹底します。
6. モデルアーティファクトの保護を強化します。
   • モデル/トークナイザー/安全フィルタ/評価セットを暗号・署名・アクセス制御下に置き、実行環境の整合性（イメージ署名/アテステーション）を検証します。
7. 推論テレメトリを“監査可能”にします。
   • プロンプト/レスポンス、RAG引用、ツール実行、モデル/ポリシーバージョン、エラー/ブロック事象を構造化ログとして保存し、PII最小化と保持期間を明示します。
8. AIレッドチームと自動評価（eval）を反復運用に組み込みます。
   • ジェイルブレイク/注入/ポイズニング/抽出のテストスイートを整備し、リリースゲートの合否基準を定義、回帰検出を自動化します。
9. AIインシデント対応ランブックを用意します。
   • 兆候（出力逸脱、異常ツール呼び出し等）の検知、緊急停止・ロールバック、データ隔離、原因究明と再学習の手順を明文化します。
10. 調達・委託の契約条項を更新します。
    • EN 304 223準拠の誓約、評価・監査への協力、モデル/データのSBOM/来歴開示、安全更新のSLA、脆弱性開示体制を要求します。
11. 権限分離とシークレット管理を徹底します。
    • ツール用認証情報はモデルから分離、最小権限、使い捨てトークン、レート制限、egressコントロールを適用します。
12. ガバナンスとロードマップを引き直します。
    • 経営・法務・現場を含む審査会で優先度と投資計画を確定し、監査に耐える証跡の“見える化”を半年スパンで仕上げます。

上の一連は、目新しい魔法ではありません。ですが、AI特有の脅威を「既存の優良実務に織り込む」ための実務の足場です。EN 304 223の狙いも、まさにそこにあるはずです。今動けば、規制準拠は“ついでの成果”になります。後追いだと、準拠は“本業”になってしまいます。ここが分岐点です。

参考情報

• ETSI unveils European Standard for AI cybersecurity (EN 304 223)（発表概要）: https://www.helpnetsecurity.com/2026/01/19/etsi-european-standard-ai-security/
• MITRE ATT&CK（攻撃者TTPの知識体系）: https://attack.mitre.org/
• MITRE ATLAS（Adversarial MLのTTP体系）: https://atlas.mitre.org/