AIにおけるセキュリティ・バイ・デザインには、ライフサイクルの初期段階でリスク情報に基づいた要件を策定し、それを体系的にアーキテクチャ管理へと変換することが求められます。AI固有の脅威モデリングをデプロイメント前に実施することは、資産（データ、モデル、パイプライン）、信頼境界（特徴量ストア、トレーニング／推論サービス）、脅威イベント（ポイズニング、回避、モデル抽出）、そしてMLシステム固有の攻撃経路を特定できるため、最も効果的なアクションとなります。その出力（悪用／誤用事例、管理目標、検証計画）に基づき、プライバシー強化技術、アクセス制御、分離、監視、保証テストといった管理策の選択と優先順位付けが行われます。差分プライバシー（C）は漏洩リスクに対する強力な管理策ですが、数ある管理策の選択肢の一つに過ぎず、脅威モデリングの結果として選択されるべきです。IP許可リスト（B）とコンテナセグメンテーション（A）は、セキュリティ強化策として有効ですが、その範囲は狭く、脅威モデリングによって実現されるライフサイクル全体のガバナンスと設計トレーサビリティに取って代わるものではありません。
参考資料: AI セキュリティ管理™ (AAISM) 知識体系 - セキュア AI SDLC、AI 脅威モデリングおよび不正使用ケースの開発、アーキテクチャと制御の選択、リスクベースの設計保証。
AAISM 学習ガイド - AI 向けセキュリティ バイ デザイン、モデル/システム資産マッピング、脅威モデルからの制御目標。

AAISMは、実際のライフサイクルチェックポイントに結びついたガバナンスの有効性指標を重視しています。導入前にポリシーコンプライアンスレビューを完了したAIプロジェクトの数（および割合）は、ポリシーの施行と保証の先行指標です。これは、責任あるAI要件（リスク評価、影響評価、データ／プライバシーチェック、セキュリティ管理）が実践に根付いているかどうかを直接反映します。相談頻度（A）とレビュー頻度（D）は活動指標であり、成果指標ではありません。報告された違反（B）は遅行指標であり、誤解を招く可能性があります（数値が低い場合は、報告不足を示している可能性があります）。
参考資料:* AI セキュリティ管理™ (AAISM) 知識体系: プログラム KPI - ポリシーの採用、ステージゲートのコンプライアンス、監査の準備 * AAISM 学習ガイド: 責任ある AI のためのガバナンス指標 - レビューの範囲、合格/不合格率、例外処理

AAISM は、次のような AI 脅威管理マトリックスの重要性を強調しています。
* 脅威をマッピングする（例：中毒、流出、注入）
* 必要なコントロールを特定
* 保証/テスト活動を定義する
* すべてのAIコンポーネントにわたって一貫したカバレッジを確保
コントロールベースライン（A）は有用ですが、AIに特化したものではありません。レッドチーム演習（C）は事後対応型であり、包括的ではありません。
ベンダーレポート（D）は補足的なものであり、十分ではありません。
参考資料: AAISM 学習ガイド - AI リスク処理、脅威制御マッピング。

AAISM は、ディープラーニング システムは、内部表現が統計的、非線形であり、直接解釈できない複雑なニューラル アーキテクチャのために透明性が欠如していると指摘しています。
確率 (C) とデータ ソース (D) が不透明性に寄与していますが、根本的な原因はディープ ニューラル ネットワークの固有の複雑さと不透明性にあります。
参考資料: AAISM 学習ガイド - ディープラーニングにおける説明可能性の課題。

AAISMフレームワークによると、プロンプトインジェクションとは、モデルの意図された制御を無効化、バイパス、または悪用するために、悪意のある、または操作的な入力を意図的に作成する行為です。この場合、攻撃者はプロンプトの解釈と処理方法における弱点を悪用することで、モデルの出力の整合性を狙っています。ジェイルブレイクはプロンプトインジェクションのサブタイプであり、安全上の制限を無効化することを目的として特別に設計されています。一方、回避攻撃は他の機械学習コンテキストにおける分類の境界を標的とし、リモートコード実行はAI推論コンテキスト外のシステムレベルの悪用を指します。この攻撃を最も正確に分類するのはプロンプトインジェクションです。
参考文献:
AAISM試験内容概要 - AI技術と制御（プロンプトセキュリティと入力操作）AIセキュリティ管理学習ガイド - 出力の整合性に対する脅威