CISAと国際パートナーが示した「OTに安全にAIを組み込む」基準線——効率化の果実を収穫しつつ、攻撃面と安全リスクをどう抑え込むか

今日の深掘りポイント

• 重要インフラのOTにAIを載せると、モデル・データ・推論基盤・運用オーケストレーションという新たな層が攻撃面として出現します。既存のICS防御だけでは隙が生じやすいです。
• 現場で最初にやるべきは「AIの利用態様の棚卸し」と「閉ループ（自動制御介入）／開ループ（助言のみ）の峻別」、そしてAI出力に対するガーデレール（ポリシーエンジン・二人承認・シミュレーション検証）の設定です。
• ガバナンスは、AI特有のリスク管理（データ・モデル・推論の健全性）とIEC 62443的なゾーン／導管分割、変更管理を統合するのが現実解です。
• 脅威は「モデル供給網」「データ汚染」「LLMやエージェントの指示注入」「クラウド推論APIの乱用」に収斂します。MITRE ATT&CK for ICSでの「Impair Process Control」と「Inhibit Response Function」に波及する前に検知・遮断する設計が鍵です。
• 実装は「シャドーモード→制約付き運用→限定的閉ループ」の段階移行が安全です。運用指標はドリフトと近接ミス（near miss）、オーバーライド頻度、AI提案採択率を見ます。

はじめに

米CISAと豪ACSCが中心となり、英NCSCなど国際パートナーの意見を取り入れた「重要インフラのOTにAIを安全に統合するためのガイダンス」が公表されたと報じられています。報道は、効率やコストの利点を認めつつ、OT環境固有の安全・セキュリティ課題に踏み込んだ内容であること、運営者にリスク理解とセキュア開発の実践、透明性とデータポリシー遵守を求めている点を伝えています。一次資料の公開ページや原本PDFは本稿時点で報道経由の確認に留まるため、以下の分析は公知の原則と現場知見をベースに、どこから着手すべきかを実務目線で解像度高く整理します。参考: Infosecurity Magazineの報道です。

本件は「いますぐ使える」性格が強く、また規制や調達仕様の言外の基準線にもなり得るため、CISOやSOC、OT側の運用責任者が共通の地図を持つ価値が高いです。新規性は中庸でも、実行可能性と信頼性が高く、短期アクションに落とし込める内容という印象です。

深掘り詳細

事実関係（公開情報から読み取れる点）

• 策定主体はCISAとACSC、英NCSCなどの国際パートナーが関与しています。重要インフラ運営者がOTシステムにAIを安全に組み込むためのガイダンスという位置づけです。
• リスク評価、セキュア開発慣行、透明性の確保、データ利用ポリシーの遵守、モデルの監視と更新が推奨されています。
• 対象となるAIは機械学習やLLMなど幅広く、OTにおける独自の安全・セキュリティ課題（レイテンシ、決定性、フェイルセーフ、既存規格との整合）に触れていると報じられています。
• 重要インフラにおけるAIの採用は拡大が見込まれ、併せて対策の高度化が必要という見通しが示されています。 参照: Infosecurity Magazineです。

インサイト（現場に刺さる設計と運用の勘所）

• AI統合で増える攻撃面は「モデル」「データ」「推論基盤」「オーケストレーション」の4層です。特にOTではヒストリアン／MESを経由したデータ汚染が制御ロジックに間接的に影響する経路が見落とされがちです。
• 安全の軸足は「AI-on-the-loop（助言・監査・最適化提案）」から始め、「AI-in-the-loop（閉ループ制御）」へは制約条件と独立した安全計装を担保して段階移行するのが現実的です。AIの非決定性はOTの決定性要求と相克するため、出力に物理的・論理的な安全包絡（safety envelope）を被せる発想が有効です。
• 供給網リスクは「モデル起源・改ざん検知・依存ライブラリ」まで遡及します。SBOMだけでなく、モデルカード／モデル署名／学習データの来歴（可能な範囲）を含む拡張的アテステーションが将来の調達要件になりやすいです。
• クラウド推論（LLM API等）は利便の裏で機微データの外部流出・誤取扱いとAPIキー窃取の2リスクが顕在化します。OTセグメントからのインターネット直結を許さず、プロキシやデータ損傷（脱識別・プロンプト検疫）を挟むのが前提です。
• モデルの有効性よりも「劣化・ドリフト・反転（Backdoor起動）を早期検知して安全側に倒す」運用が重要です。AI出力に対する二人承認、運転員の即時オーバーライド機能、フェイルセーフの既定動作、段階的ロールアウト（シャドーモード→限定適用→全体適用）を必須要件化すべきです。

メトリクスの読み解き（本件が「今すぐ動ける」理由）

• 実行可能性と信頼性の高さに比して、新規性はほどほどです。つまり「革新的な理論」ではなく「今あるOT/ICSの原則にAI特有の注意点を重ねた実装論」であり、現場は短期のプロセス整備から成果を出せます。
• 短期的な優先度は高く、導入が進むほど後戻りが難しくなる領域です。初期の設計・分離・承認プロセスの出来が、のちの事故率・停止時間に直結します。
• 前向きな効用（効率・コスト・品質の改善）は大きい一方、他の施策と違い「安全・規制と衝突」しやすいのがAI in OTの特性です。セキュリティ部門は安全部門と共同設計する必要があります。

脅威シナリオと影響

以下は仮説シナリオですが、MITRE ATT&CKの視点に沿ってOTで起こり得る連鎖を具体化します。

• シナリオ1：ヒストリアン経由のデータ汚染→誤学習・誤推論→不適切な最適化提案

  • 連鎖: エンタープライズ側での初期侵入（フィッシング/有効アカウントの悪用）→OT DMZへの横移動→ヒストリアンのデータ改ざん（Enterprise側のData Manipulation）→モデル再学習/推論精度劣化→運転員がAI提案を受け入れ、工程が不安定化です。
  • ATT&CK対応: Enterpriseの「Initial Access」「Lateral Movement」「Collection／Exfiltration」「Impact: Data Manipulation」、ICSの「Impair Process Control」に該当し得ます。
  • 影響: 逐次な品質低下、保全計画の誤誘導、結果として計画外停止や安全マージン低下です。

• シナリオ2：LLMエージェントへの指示注入（Prompt Injection）→自動化ワークフローの誤動作

  • 連鎖: HMIや保全ログに紛れた悪性テキスト→RAG/エージェントが誤った指示列を生成→自動化された手順が制御系にコマンド送信です。
  • ATT&CK対応: Enterpriseの「Command and Control」的挙動に乗じた「Execution」「Defense Evasion」、ICSでは「Inhibit Response Function」「Unauthorized Command Messages」に相当するリスクです。
  • 影響: アラーム抑止、インターロックの無効化、工程逸脱の加速です。

• シナリオ3：モデル供給網の侵害（バックドア付きモデル/コンテナ）

  • 連鎖: サードパーティのモデル/イメージの置換→特定パターンで隠し挙動発火→外部へのデータ送信またはセットポイントの異常変更です。
  • ATT&CK対応: Enterpriseの「Supply Chain Compromise」「Credential Access」「Execution」、ICSの「Modify Control Logic」「Impair Process Control」の呼び水です。
  • 影響: 長期潜伏→選択的な破壊やスパイ活動、規制違反のデータ流出です。

• シナリオ4：クラウド推論APIのキー漏えい→経済的DoSと監視盲点

  • 連鎖: 構成管理の不備でAPIキー流出→攻撃者が大量推論でクォータ枯渇→監視AIが沈黙、誤検知増加です。
  • ATT&CK対応: Enterpriseの「Credential Access」「Resource Hijacking」「Impact: Service Exhaustion」、間接的にICSでの「Inhibit Response Function」に波及します。
  • 影響: 検知遅延、運用者負荷増、インシデント同時多発時の被害拡大です。

緩和の原則（共通）

• データ経路の不可変性と二重化（ヒストリアンはWORM/署名、推論は読み取り専用経路を原則）です。
• AI出力に対するポリシーエンジン（制御域の安全包絡・ホワイトリスト・レート制御）です。
• 供給網のアテステーション（モデル署名検証、SBOM＋モデルカード、リリースごとの隔離テスト）です。
• クラウドAPIのプロキシ化、キーの短寿命化/スコープ化、動的クォータ監視です。
• 運用ではシャドーモードと二人承認、即時オーバーライド、フェイルセーフ基準の徹底です。

セキュリティ担当者のアクション

短期から中期に分け、実際に手を動かす順で整理します。

• 0–30日：棚卸しと「止血」

  • OTで稼働/計画中のAI機能を全て棚卸しし、以下で分類します。
    • 役割: 助言（可視化/予兆）か、制御介入（自動設定/最適化）か。
    • 閉ループの有無、影響範囲（安全計装/SISとの関係）です。
    • データ流路: 取得元（ヒストリアン/PLC/HMI）、推論場所（エッジ/クラウド）、接続先（外部API）です。
  • OTセグメントのインターネット直出しを遮断し、クラウド推論は専用プロキシ経由・脱識別・DLP検疫を義務化します。
  • AI出力が制御系に到達する経路に「二人承認」か「実機シミュレーション通過」を追加します。

• 31–60日：ガーデレールと健全性監視の実装

  • AI出力の安全包絡（安全域を超えるコマンドは機械的に拒否）とレート制御を導入します。
  • モデル/データの健全性モニタリング（概念ドリフト、外れ値率、提案採択率、オーバーライド率、near miss報告）を可視化します。
  • 供給網対策の標準調達条項（モデル署名、SBOM/モデルカード、学習/評価の要約、脆弱性対応SLA）を策定します。

• 61–90日：検証と演習

  • シャドーモード運用で90日分の実データに対する差分評価を実施し、KPI（品質・エネルギー・安全逸脱率）への影響を定量化します。
  • AI特有のインシデント対応プレイブック（キー漏えい、推論停止、誤作動、プロンプト注入、データ汚染）を作り、SOCとOTの合同演習を行います。
  • 変更管理に「モデル更新」を正式に組み込み、ロールバック手順とバージョン固定（pinning）を標準化します。

• 中期（3–12か月）：アーキテクチャとガバナンスの定着

  • AIはOTのゾーン/導管設計の「新しいコンポーネント」として、専用セグメント化（推論サーバ/機能安全ゲートウェイ/プロキシ）を行います。
  • 安全部門と共同で、AI-in-the-loop化の段階基準（適用範囲、停止基準、フェイルオーバー先）を合意します。
  • ベンダー評価には「モデルの由来・保守・評価手法」を含め、第三者評価やペネトレーションテストを要件化します。

最後に、本ガイダンスは「すぐにやれるが、後でやり直しが効きづらい設計領域」に正面から光を当てています。OTの制約（安全・決定性・停止コスト）を守りながらAIの利点を取りにいくために、段階的導入と強固なガーデレール、そして供給網・データ・推論の3点監査を最初から設計に織り込むべきです。現場は今日から棚卸しと遮断、来月からガーデレールと健全性監視、四半期内に演習とモデル変更管理、という順で着手すると効果が出やすいです。

参考情報

• 報道: Infosecurity Magazine「US Releases Guidance on Secure AI Deployment in OT Environments」https://www.infosecurity-magazine.com/news/us-guidance-secure-ai-ot/ です。