1. カタログ内の AI コンプライアンスフレームワーク
カタログはライブのレジストリです — カウントをハードコードするのではなく Compliance → Catalog で閲覧してください、パックは時間とともに追加されます。 本稿執筆時点で、一般的なセキュリティおよび AI ガバナンス標準、セクター規制、 そして幅広い地域プライバシー法にまたがります。コンソールはそれらを 5 つの カテゴリタブにグループ化します:ai、privacy、security、financial、 healthcare。AI ガバナンス
AI ガバナンス
eu_ai_act · nist_ai_rmf · iso_42001 · owasp_llm ·
colorado_ai。OWASP LLM Top 10 は、コントロールマッピングビューだけでなく
実在するインストール可能なパック(owasp_llm)として出荷されます —
OWASP LLM Top 10を参照。セキュリティ & ISMS
セキュリティ & ISMS
soc2 · iso_27001 · nist_800_53 · cmmc。コンテンツとアクションの
プレーンにマッピングされた、一般的な信頼と情報セキュリティの標準。金融
金融
pci_dss · glba · dora_eu。決済、銀行、運用レジリエンスの規制 — PAN
マスキング、シークレット衛生、危険なツールのコントロール、egress エビデンス。ヘルスケア
ヘルスケア
hipaa · hitrust。PHI リダクション、非識別化、伝送セキュリティの egress
ガード。プライバシー(グローバル & 地域)
プライバシー(グローバル & 地域)
gdpr · uk_gdpr · ccpa · china_pipl · appi_jp · pipa_kr ·
lgpd_br · pipeda_ca · dpdp_in · privacy_au · pdpa_sg ·
vcdpa_va · cpa_co · ctdpa_ct · ucpa_ut · tdpsa_tx · ferpa ·
coppa。それぞれが、管轄に合わせたデータ最小化、特別カテゴリの取り扱い、
処理記録のコントロールを運びます。2. フレームワークにとって「エビデンス」が意味すること
パックのインストールは、ワークスペースに 2 つの実在する編集可能なオブジェクトを 実体化し、それらがレポートが読むものです:- ひとつの ガードレール — フレームワークがリクエストと レスポンスに期待するコンテンツプレーンのコントロール(PII、PHI、シークレット、 安全でない出力);
- ひとつ以上の ファイアウォール ポリシールール — アクションプレーンのコントロール(どのツール呼び出し、MCP ディスパッチ、 egress 宛先が許可または監査されるか)。
| エビデンスセクション | 何を捕捉するか |
|---|---|
| Coverage | スコープ内のどのコントロールがインストール済みパックによって満たされるか |
| Enforcement | 各コントロールがライブか、まだ観察モードか |
| Change log | コントロールの背後にあるポリシー編集のバージョン管理された履歴 |
フレームワークのスコープ内チェックリストは、パックがカバーするコントロールと、
ゲートウェイで決して自動化できない組織的条項(従業員研修、BAA、DPIA、物理アクセス)
の和集合です。それらの組織的項目は常にガイダンス付きの開示された ⚠ Gap
としてレンダリングされます — そのため完全性は正直で、決して密かに 100% には
なりません。
3. ひとつの具体的なフロー:SOC 2
SOC 2 エビデンスが必要だとします。有料プランのワークスペース管理者として、 コンソールの Compliance → Catalog からパックをインストールします。コンソール があなたのセッションを使って管理ルートを駆動します(リレーキーではなく):soc2 パックは、機密 PII をマスクしガードレール決定を記録するガードレール、
加えてすべてのツールディスパッチを監査するファイアウォールルールを実体化します
— TSC CC6.1、CC7.2 にマッピングされます。それは観察モードで着地するため、
マッチとイベントのフィードを見守る間、エージェントの活動は一切中断されません。
フィードがクリーンに見えたら、ゴーライブしてレポートを生成します:
4. レジストリをプログラムで読む
カタログと準備状況の読み取りはメンバーに開放されているため、レビュアーや CI ジョブ は、書き込みアクセスなしで現在のフレームワークリストとコントロールごとのステータス を引き出せます。コンソールはこれらの管理ルートにあなたのセッションを使います:5. フレームワークから基礎となるコントロールへ
フレームワークは、直接設定もできるコントロールのビューです。パックが配置するものを 理解またはチューニングしたい — あるいは同じカバレッジを手で構築したい — なら、 詳細なリファレンスは:ガードレール
コンテンツプレーンのリファレンス — PII と PHI のエンティティ、シークレット、
安全でない出力、そしてパックが使う block / mask / flag アクション。
エージェントファイアウォール
アクションプレーンのリファレンス — ツール、MCP、egress のルール、そしてパックの
ファイアウォールポリシーの背後にある audit / deny / sanitize 判定。
パックに含まれるもの
各フレームワークが実体化する正確なガードレールとファイアウォールのオブジェクト。
コントロールマトリクス
フレームワークを横断してマッピングされたすべてのコントロールをひとつのグリッドに。
6. フレームワークごとのページ
独自の特化したページを持つフレームワーク:SOC 2
HIPAA
GDPR
EU AI Act
ISO 27001
ISO 42001
NIST AI RMF
OWASP LLM Top 10
PCI DSS
CCPA
7. これがどう位置づけられるか
観察 vs 強制
まずすべてのパックを観察モードで着地させ;ゴーライブ前にシグナルを読む。
署名付きレポート
レポートがどうハッシュ化され署名されるか、そして監査人が何を検証するか。
責任共有
ゲートウェイが保護するものと、あなたのものとして残るもの — あらゆる
フレームワーク主張の背後にある正直な境界。
強制モード
観察、監査、強制 — ゴーライブの背後にある共通の語彙。