カナダITSG-33とAI:エージェンティック環境におけるCSEセキュリティ管理フレームワークへの対応
カナダの連邦機関、その請負業者、政府機密情報を取り扱う民間企業は、文書処理、市民サービスのワークフロー、規制審査、プログラム管理などにAIエージェントを導入しています。
これらのワークフローの多くは、Protected AおよびProtected B情報を含みます。これは、カナダにおける機密政府データの分類であり、無断で開示されると個人、組織、または政府の運営に深刻な損害を与える可能性があるものです。
そのため、AIエージェントの導入は、カナダサイバーセキュリティセンターが発行する情報技術セキュリティガイダンスフレームワーク「ITSG-33」の適用範囲に確実に含まれます。
ITSG-33は、カナダのITセキュリティリスク管理フレームワークであり、NIST 800-53と密接に連携し、クラウドセキュリティ評価、契約セキュリティプログラム要件、カナダ連邦政府におけるFedRAMP相当のクラウド認証の基盤となっています。
米国の同様の基準と同じく、ITSG-33はAIエージェントや自動化システムが保護情報へアクセスする場合にも例外を設けていません。Protected Bデータへの人間の従業員アクセスを保護するためのアクセス制御、監査要件、暗号化義務、インシデント対応要件は、AIエージェントによるアクセスにも同様に適用されます。
本記事では、保護された政府情報を扱うAI対応ワークフローに対してITSG-33が求める要件、カナダの状況においてAIエージェント導入が生むコンプライアンスギャップ、Protected AおよびBデータへのAIエージェントアクセスを管理するためのベストプラクティス、そしてエージェントシステムに対するITSG-33のセキュリティ管理要件を満たすアーキテクチャとしてのデータレイヤーガバナンスの重要性について解説します。
要約
主旨:ITSG-33のセキュリティ管理(アクセス制御、監査とアカウンタビリティ、識別と認証、システムおよび通信の保護、インシデント対応)は、Protected AおよびProtected B情報にアクセスするAIエージェントにも適用されます。AIエージェントに対するセキュリティ管理の実装を更新せずに保護情報ワークフローへAIを導入しているカナダ政府機関や請負業者は、財務省事務局およびカナダサイバーセキュリティセンターによる監査対象となるコンプライアンスギャップを抱えています。
重要性:Protected Bデータを扱う組織は、連邦調達の失格、PIPEDAに基づく違反通知義務、ケベック州法25による最大1,000万カナダドルの罰則リスクに直面します。契約セキュリティプログラムは、Protected Bデータへのアクセス許可前に組織とそのセキュリティ体制を審査します。ITSG-33が求めるデータガバナンス管理が不十分なAI導入は、組織が保有するすべての政府契約に波及するコンプライアンスリスクとなります。
主なポイント
- ITSG-33のセキュリティ管理は、AIエージェントによるProtected AおよびB情報へのアクセスにも例外なく適用されます。このフレームワークは、アクセス主体が人間か自動化システムかを問わず、機密政府情報へのアクセスを管理します。AIエージェントがProtected Bデータを読み取り、処理、送信する場合、人間の従業員と同じアクセス制御、監査、暗号化要件が適用されます。
- Protected Bデータは、AIシステムによる処理時もカナダの管轄内に留める必要があります。Protected Bデータを処理するクラウドサービスは、カナダサイバーセキュリティセンターによるProtected B/中程度の完全性/中程度の可用性(PBMM)プロファイルでの評価が必要です。PBMM未評価のクラウドインフラやカナダ国内データレジデンシー保証のないインフラを経由するAI推論パイプラインは、ITSG-33が認めないデータ主権ギャップを生みます。
- ITSG-33の監査要件は、Protected Bアクセスイベントの操作レベルログを要求します。AU(監査とアカウンタビリティ)管理群は、保護情報へのアクセスを「何に」「誰が」「どの権限で」「いつ」アクセスしたかという操作レベルで記録することを求めます。共有サービスアカウント経由で動作するAIエージェントは、これらの要件を満たさないログしか生成できません。監査証跡は、すべてのProtected Bアクセスイベントを特定の認証済み個人に紐付ける必要があります。
- ITSG-33のアクセス制御要件は、AIエージェントワークフローにも操作レベルで拡張されます。AC管理群は、保護情報へのアクセスを認可されたユーザーやプロセスに限定し、ロールベースアクセス制御で最小権限原則を徹底することを求めます。AIエージェントの場合、アクセスは操作ごとに必要最小限に限定されなければならず、広範なサービスアカウント認証によるセッション単位のアクセス許可は認められません。
- AI導入に対する契約セキュリティプログラムの評価は、調達資格リスクとなります。Protected Bデータを含む連邦契約を目指す組織は、AIシステムを含む情報システム全体が該当分類レベルのセキュリティ管理を満たしていることを証明しなければなりません。ITSG-33準拠のアクセス制御、監査証跡、データレジデンシーを示せないAI導入は、単なる技術的ギャップにとどまらず、契約資格そのもののリスクとなります。
AI対応ワークフローに対するITSG-33の要件
ITSG-33は、NIST SP 800-53に沿って技術的、運用的、管理的な3つのクラスに整理されたセキュリティ管理カタログを提供しています。Protected B/PBMM準拠において、AIエージェント導入で特に重要となるのは、アクセス制御(AC)、監査とアカウンタビリティ(AU)、識別と認証(IA)、システムおよび通信の保護(SC)の4つの管理群です。これらは多くのAI導入で現状十分に実装されていません。
アクセス制御(AC管理群)
ITSG-33のAC管理は、Protected B情報へのアクセスを認可されたユーザーやプロセスに限定し、最小権限原則を徹底することを求めます。AIエージェントの場合、第一に、アクセス前に認証可能なIDを持つ必要があります。第二に、アクセス権限は特定タスクに必要な最小範囲に限定されなければなりません。たとえば、保護されたドキュメントフォルダの閲覧権限を持つエージェントが、すべてのファイルをダウンロードしたり、外部にデータを送信したり、隣接する保護情報カテゴリにアクセスしたりすることは自動的に認められません。操作レベルで評価される属性ベースアクセス制御(ABAC)が、エージェントシステムにおけるこの要件を満たす仕組みです。
監査とアカウンタビリティ(AU管理群)
AU管理群は、Protected Bデータへのすべてのアクセスに対する包括的な監査ログを要求し、ログの改ざん防止も義務付けています。監査記録には、誰が、何に、どの操作を、いつ実施したかが記録され、コンプライアンス監査やフォレンジック調査に対応できる形式でなければなりません。共有サービスアカウントで動作するAIエージェントは、APIコールレベルのインフラログしか残せず、操作レベルの詳細や個人の特定、改ざん防止が不十分です。標準的なAI推論ログは、Protected BアクセスイベントのITSG-33準拠監査記録とはなりません。
識別と認証(IA管理群)
ITSG-33のIA管理は、保護情報へのアクセス前にユーザーやプロセスを一意に識別・認証することを求めます。Protected Bシステムへのアクセスには多要素認証が必須です。AIエージェントの場合、各エージェントにワークフロー単位で一意のID認証情報を付与し、タスクを委任した人間の認可者と紐付ける必要があります。複数エージェントで認証情報を共有したり、認証記録から特定の人間の意思決定者を追跡できない場合、IA管理の要件を満たすことはできません。
システムおよび通信の保護(SC管理群)
SC管理は、Protected Bデータの転送時・保存時にAES-256暗号化を義務付けています。AIエージェント導入では、推論パイプラインのすべての構成要素(APIコール、モデル推論環境、ベクターデータベース、一時ストレージ、出力配信チャネル)で、検証済み暗号化実装によるProtected Bデータの暗号化が必要です。Protected Bデータの機密性、完全性、可用性は、エージェントが関与するすべてのデータ経路で維持されなければなりません。
Protected Bのデータレジデンシー:クラウド評価要件
AI導入におけるITSG-33の最も実務的に重要な要件の一つが、クラウドサービスの評価義務です。Protected Bワークロードを処理するクラウドサービスは、カナダサイバーセキュリティセンターによるPBMMプロファイル評価を受けなければなりません。
この評価は、クラウドインフラがProtected Bデータのセキュリティ管理要件(カナダ国内のデータレジデンシーを含む)を満たしていることを検証します。PBMM未評価のクラウドサービスや、カナダ国内データレジデンシーが文書化されていないサービスを経由してProtected Bデータを処理するAIエージェントは、該当分類レベルで許容されるインフラの外で運用されていることになります。
主要なハイパースケーラーのカナダリージョンを含む一般的な商用クラウドリージョンは、PBMM評価を受けていない限り、この要件を自動的に満たすものではありません。
どのデータコンプライアンス基準が重要か?
Read Now
AI導入が生むITSG-33コンプライアンスギャップ
AIエージェント導入がITSG-33適用環境にもたらすコンプライアンスギャップは、他の規制フレームワークで見られるものと構造的に類似していますが、カナダ独自のデータレジデンシーとPBMMクラウド評価要件という追加的な側面があります。これはアプリケーション層の設定だけでは解決できないインフラレベルのリスクを生みます。
Protected B AIワークロードにおける未評価クラウドインフラ
カナダのAI導入で最も一般的なITSG-33ギャップは、PBMMプロファイルで評価されていないクラウドインフラの利用です。主要なAIプラットフォーム(商用LLMプロバイダー、AIオーケストレーションサービス、ベクターデータベースベンダー)は、通常、カナダ政府向けにCSE PBMM評価を受けていないマルチリージョンクラウドインフラ上で運用されています。これらのプラットフォームをProtected Bワークフローに導入する組織は、アプリケーション層のアクセス制御設定に関係なく、許容範囲外のインフラで政府機密情報を処理していることになります。
共有サービスアカウントと個人特定の欠如
ITSG-33は、共有サービスアカウント認証情報を利用したAIエージェント導入では要件を満たせません。複数のAIエージェントがサービスアカウントを共有すると、監査ログで特定のProtected Bアクセスイベントを特定の認可個人に紐付けることができません。契約セキュリティプログラムは、保護情報に誰がアクセスしたかを証明することを求めており、サービスアカウント名しか記録されていない監査証跡ではProtected Bデータの要件を満たしません。
AI推論パイプライン全体での暗号化カバレッジ不足
ITSG-33のSC管理は、Protected Bデータの転送時・保存時にAES-256暗号化を義務付けています。AI推論パイプラインは、モデルへのAPIコール、モデル推論環境、ベクターデータベース、出力配信経路など、複数の転送・保存ポイントを含みます。主要アプリケーション層での暗号化のみを確認している組織は、パイプラインのすべてのポイントでのカバレッジを検証していない場合があります。暗号化されていない区間ごとに、Protected Bデータが通過した場合はSC管理のギャップとなります。
ITSG-33準拠のAIエージェントによる保護情報アクセスのベストプラクティス
1. Protected B AIワークロードにはPBMM評価済みクラウドインフラを利用
Protected Bデータを処理するAI推論パイプラインは、カナダサイバーセキュリティセンターによるPBMMプロファイル評価を受け、カナダ国内データレジデンシーが文書化されたクラウドインフラ上で運用する必要があります。Protected Bワークフローを導入する前に、AIベンダーやクラウドプロバイダーからPBMM評価の具体的な文書を取得してください。FedRAMP Moderate認証のみではCSE PBMM評価の代替にはなりません。
2. すべてのAIエージェントワークフローに一意のID認証情報を割り当て
Protected B情報へアクセスするすべてのAIエージェントは、ワークフロー単位で一意のID認証情報を持ち、タスクを委任した特定の人間の認可者と紐付けて運用する必要があります。共有サービスアカウントや共用APIキーでは、ITSG-33のIA管理要件を満たせません。認証イベントと委任チェーンはすべての監査記録に記載され、契約セキュリティプログラムおよびITSG-33 AU管理が求める個人特定を実現します。
3. ABACによる操作レベルアクセス制御の徹底
AIエージェントによるProtected Bデータリクエストごとに、認証済みプロファイル、要求データの分類レベル、ワークフローコンテキスト、操作内容を評価するABACを実装してください。操作レベルでの最小権限徹底により、Protected Bドキュメントの閲覧権限を持つエージェントが自動的にダウンロードや外部転送、タスク範囲外の記録へのアクセスを行うことはできません。
4. すべてのProtected Bエージェントアクセスイベントに対する改ざん防止監査ログの実装
すべてのAIエージェントによるProtected B操作ごとに、認証済みエージェントID、人間の認可者、アクセスした具体的データ、実施操作、ポリシー評価結果、タイムスタンプを記録した操作レベルの監査ログを導入してください。ログは改ざん防止措置を施し、財務省の記録管理ポリシーに従って保持し、組織のSIEMに連携してリアルタイムの異常検知に活用します。
5. AI関連のProtected Bインシデントに対応するインシデント対応計画の更新
ITSG-33は、すべての関連サイバーセキュリティイベントに対応可能なインシデント対応計画を求めます。AI導入により、無許可エージェントアクセス、プロンプトインジェクションによるデータ流出、モデルの侵害、ベンダー側のカナダデータレジデンシー影響など、新たなProtected Bインシデントカテゴリが生じます。各カテゴリごとに、検知基準、封じ込め手順、PIPEDAおよび財務省違反通知要件に基づく通知義務を明確に定義してください。
KiteworksによるAIエージェント導入のITSG-33準拠支援
ITSG-33の下でAIエージェントによるProtected B情報アクセスを管理するには、モデル層ではなくデータ層で、かつカナダ国内データレジデンシーを確保した上で、フレームワークが要求するセキュリティ管理を強制できるプラットフォームが必要です。Kiteworksプライベートデータネットワークは、カナダ政府機関およびその請負業者に対し、AIエージェントによる保護政府情報へのすべての操作前に、認証済みID、ABACポリシー、FIPS 140-3レベル1認証暗号化、操作ごとの改ざん防止監査ログを強制するガバナンスアーキテクチャを提供します。
ITSG-33 IAおよびAU管理に対応した一意のエージェントIDと委任チェーン
Kiteworksは、Protected Bアクセス前にすべてのAIエージェントを認証し、タスクを委任した人間の認可者と紐付いたワークフロー単位の一意認証情報を使用します。委任チェーン(認可者ID、エージェントID、アクセスしたProtected Bデータ、実施操作)はすべての監査ログエントリに記録されます。これにより、個人特定を求めるITSG-33のIA管理要件を満たし、契約セキュリティプログラム評価が求めるAU管理の監査記録(すべての保護情報アクセスイベントを特定の認可個人に紐付けた改ざん防止ログ)を提供します。
ITSG-33 AC管理と最小権限徹底のための操作レベルABAC
Kiteworksのデータポリシーエンジンは、エージェントの認証済みプロファイル、要求データの分類レベル、ワークフローコンテキスト、操作内容など多次元ポリシーに基づき、すべてのエージェントによるProtected Bデータリクエストを評価します。Protected B記録の閲覧権限を持つエージェントが自動的にダウンロードや外部転送、認可範囲外のProtected Bデータへのアクセスを行うことはできません。この操作単位の強制により、AIエージェントアクセスにおけるITSG-33の最小権限AC管理を満たし、従来のセッション単位サービスアカウント認証の不十分さを解消します。
FIPS 140-3暗号化とSIEM連携監査証跡
Kiteworks経由でアクセスされるすべてのProtected Bデータは、転送時・保存時ともにFIPS 140-3認証暗号化で保護され、エージェントデータ経路のすべてのポイントでITSG-33のSC管理要件を満たします。すべてのProtected B操作は、改ざん防止の操作レベル監査ログとして記録され、組織のSIEMに直接連携されます。ITSG-33準拠評価や違反通知評価でProtected B AIワークフローのアクセス管理証拠が求められた場合、複数のインフラログを調査する必要なく、証拠パッケージとしてレポートを提出できます。
カナダ国内データレジデンシーを支える柔軟な導入オプション
Kiteworksは、オンプレミス、プライベートクラウド、ハイブリッド構成など、Protected Bデータをカナダ国内に留める導入オプションを提供し、Protected BクラウドワークロードのITSG-33データレジデンシー要件を満たします。カナダ政府認定インフラ内でKiteworksを導入することで、AIエージェントによるProtected BデータアクセスがCSE評価済み境界内に確実に収まります。セキュアな導入オプションは、オンプレミスリポジトリとクラウドホストAIワークフロー間で保護情報が移動するハイブリッド環境にも同じガバナンスアーキテクチャを拡張します。
Protected BワークフローにAIエージェントを導入しつつITSG-33準拠体制を損なわずに運用したいカナダ政府機関・請負業者向けに、KiteworksはすべてのAIエージェントによる保護政府情報操作をデザイン段階から防御可能にするガバナンス基盤を提供します。Kiteworksのガバメント向けソリューション詳細やデモのご依頼はこちら。
よくある質問
ITSG-33は、Protected B情報へアクセスするAIエージェントにも適用されます。フレームワークのAC、AU、IA、SC管理は、アクセス主体が人間従業員か自動化プロセスかを問わず、保護政府情報へのアクセスを管理します。AIエージェントがProtected Bデータを読み取り、処理、送信する場合、人間従業員と同じアクセス制御、監査ログ、認証、暗号化要件が適用されます。ITSG-33準拠には、Protected Bデータに関与するAIエージェントワークフローにもセキュリティ管理実装を拡張することが求められます。
いいえ。ITSG-33は、Protected Bデータを処理するクラウドサービスがカナダサイバーセキュリティセンターによるPBMMプロファイル評価を受けることを要求しています。ベンダーのSOC2認証、ISO 27001認証、FedRAMP Moderate認証であっても、カナダ連邦政府におけるCSE PBMM評価の代替にはなりません。Protected Bワークフローを導入する前に、クラウドプロバイダーやAIベンダーからPBMM評価の具体的な文書を取得してください。Protected Bのデータ主権には、CSE評価によるカナダ国内データレジデンシーの確認が必要であり、他フレームワークに基づくベンダー証明では不十分です。
ITSG-33のAU管理群は、Protected Bアクセスイベントの監査記録として、アクセス主体(またはプロセス)の認証済みID、アクセスした具体的データ、実施操作、改ざん防止タイムスタンプを操作レベルで記録することを求めています。AIエージェントの場合、すべてのProtected B操作を、エージェントの一意認証情報、ワークフローを委任した人間の認可者、アクセスした具体的なProtected Bドキュメントや記録、操作種別とともに記録する必要があります。APIコールやセッションイベントのみを記録するインフラログやAI推論ログでは、この要件を満たせません。監査証跡の品質は、ITSG-33準拠証拠の基盤となります。
ITSG-33は、Protected Bデータを処理するクラウドサービスがPBMMプロファイル評価を受け、カナダ国内データレジデンシーが確認されていることを要求します。つまり、AIプラットフォームは、Protected Bデータをカナダ国外のインフラやPBMM準拠評価を受けていないクラウドリージョン経由でルーティングしてはなりません。AIプラットフォーム評価時には、モデルホスティング、APIゲートウェイ、ベクターデータベース、出力配信など推論パイプラインの各構成要素がPBMMデータレジデンシー要件を満たしているかを確認してください。すべてのProtected B処理をカナダ評価済みインフラ内で完結させる導入オプションのみが、ITSG-33 Protected B準拠要件を満たすアーキテクチャとなります。
契約セキュリティプログラムは、政府契約でProtected Bデータへのアクセス許可を与える前に、組織とそのセキュリティ体制を審査します。Protected Bデータに対するITSG-33準拠のアクセス制御、監査証跡、データレジデンシーを証明できないAI導入は、セキュリティ体制のギャップとなり、契約資格に影響を及ぼします。調達リスクに加え、Protected Bデータの不十分な保護は、PIPEDAに基づく違反通知義務やケベック州法25による罰則リスクも生じます。Protected Bデータを含む連邦契約申請前に、AI導入をITSG-33 PBMM管理要件に照らして正式にリスク評価することを推奨します。
追加リソース
- ブログ記事
手頃なAIプライバシー保護のためのゼロトラスト戦略 - ブログ記事
77%の組織がAIデータセキュリティで失敗している理由 - 電子書籍
AIガバナンスギャップ:なぜ91%の小規模企業が2025年にデータセキュリティでロシアンルーレットをしているのか - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている