この記事ではセキュリティに特化して解説します。AIセキュリティ全般は サプライチェーンセキュリティ完全ガイド2026|攻撃手法・防御ツール・実践チェックリスト をご覧ください。
CISO Assistantとは:130以上のフレームワークに対応するオープンソースGRCプラットフォーム
CISO Assistantは、セキュリティのガバナンス・リスク・コンプライアンス(GRC)を一元管理するオープンソースプラットフォームです。GitHubで3,900以上のスターを集め、ISO 27001・NIST CSF・SOC2・PCI DSS・NIS2・DORAなど130以上のセキュリティフレームワークに対応しています。
intuitem(フランスのサイバーセキュリティ・クラウド・データ/AIに特化した企業)が開発・メンテナンスを行っており、コミュニティエディションとしてMIT相当のライセンスでオープンソース公開されています。
多くの企業でセキュリティ管理はExcelスプレッドシートとGoogle Sheetsで行われています。フレームワークの項目を手動でコピーし、対応状況を色分けし、監査前に急いで整備するという属人的な作業です。CISO Assistantはこの状況に対して「シングルハブとして複数のサイバーセキュリティ概念をスマートなリンクで接続する」というアプローチで応えます。
特筆すべき設計原則はデカップリング(分離)です。コンプライアンス(準拠確認)とセキュリティコントロール(実装)を意図的に分離することで、1つのコントロール実装を複数のフレームワークのコンプライアンス証跡として再利用できます。
関連するセキュリティ実践についてはHackerAIも参照してください。
技術アーキテクチャ:マルチパラダイムGRCプラットフォームの設計
CISO Assistantのアーキテクチャは、DjangoバックエンドとSvelteKitフロントエンドを組み合わせた構成です。
SvelteKit Frontend"] --> B["Django REST API
バックエンド"] B --> C["PostgreSQL
データベース"] B --> D["ライブラリ管理
_gtfobins形式
130+フレームワーク定義"] B --> E["AIエンジン
LLMチャット連携
オプション"] F["CLI ツール
インポート/エクスポート"] --> B G["Kafka
外部連携
オプション"] --> B style A fill:#d4f1f9,stroke:#333 style B fill:#ffdfba,stroke:#333 style C fill:#c9e4ca,stroke:#333 style D fill:#f9f9f9,stroke:#333 style E fill:#ffd7d7,stroke:#333
コアコンセプト:デカップリング
CISO Assistantの設計思想の核心はコンプライアンスとコントロールの分離です。
フレームワーク(例:ISO 27001)
└── コントロール項目(例:A.9.1.1 アクセス制御方針)
└── アセスメント(このコントロールへの準拠状況を評価)
実装済みコントロール(例:パスワードポリシーの実施)
└── 複数フレームワークのコントロール項目にマッピング可能
├── ISO 27001 A.9.1.1
├── NIST CSF PR.AC-1
└── CIS Controls 5.2
1つのセキュリティ対応を複数フレームワークの証跡として再利用できるため、重複した作業を大幅に削減できます。
ライブラリシステム
フレームワーク定義はDomain Specific Language(DSL)で記述されたライブラリとして管理されています。GitHubの /backend/library/libraries/ ディレクトリに全フレームワークのライブラリファイルが収録されています。
API-Firstアプローチ
すべての操作はREST APIとして公開されており、UIとAPIは完全に分離されています。APIドキュメントはSwaggerで公開(ca-api-doc.pages.dev)されており、外部ツールとの統合や自動化パイプラインへの組み込みが可能です。
セットアップと導入手順
前提条件
- Docker と Docker Compose がインストールされていること
- Windowsの場合はWSL2が必要
クイックスタート
# リポジトリをクローン(mainブランチ)
git clone --single-branch -b main https://github.com/intuitem/ciso-assistant-community.git
cd ciso-assistant-community
# スターターシークレットを生成してDockerコンテナを起動
./docker-compose.sh
スクリプトが初回セットアップ(シークレット生成、データベース初期化、初期管理者アカウント作成)を自動処理します。起動後は https://localhost でアクセスできます。
初回ログイン時に管理者アカウントを設定し、チームメンバーをロールベースで招待できます。
READMEでは「mainブランチは開発上流であり、本番では利用しないこと」と明示されています。本番環境ではGitHubのTagsで安定版リリースを確認するか、公式Dockerイメージのビルド済み版(prebuilt images)を使用してください。
特定アーキテクチャへの対応
# アーキテクチャが一致しない場合はsourceからビルド
./docker-compose-build.sh
対応アーキテクチャはDockerのprebuilt imageとして提供されています。Macの Apple Silicon(arm64)でも動作します。
詳細な設定カスタマイズ
# docker-compose.yml のカスタマイズ例(メール設定)
services:
backend:
environment:
- EMAIL_HOST=smtp.example.com
- EMAIL_PORT=587
- [email protected]
- EMAIL_HOST_PASSWORD=your-smtp-password
- [email protected]
詳細な設定オプションは 公式ドキュメント で確認できます。
主要機能の詳細
リスクアセスメント
リスクレジスター機能では識別したリスクを一覧管理し、対応状況をリアルタイムで追跡します。リスクの定性評価(可能性×影響度のマトリクス)と定量評価(リスクの数値化)の両方に対応しています。
リスクアセスメントの主要コンポーネント:
- リスク識別(何が起きうるか)
- 脅威とアセットの関連付け
- 可能性と影響度の評価
- 残存リスクの計算
- 対応策(Accept/Mitigate/Transfer/Avoid)の選択
- 対応状況のトラッキング
コンプライアンスマッピング
フレームワークを選択するとコントロール項目が自動的にロードされます。複数フレームワークを同時に評価できるため、ISO 27001の準拠確認をしながら同じコントロールをNIST CSFにもマッピングできます。
サードパーティリスク管理(TPRM)
CISO Assistantはサードパーティ(ベンダー・委託先)のリスク管理にも対応しています。Vendor Due Diligenceのライブラリも収録されており、ベンダー評価の標準化が可能です。
レポートと監査資料の自動生成
ダッシュボードのデータから監査資料を自動生成できます。コンプライアンス準拠状況のサマリーレポート、リスクヒートマップ、対応状況の進捗レポートなどをエクスポートできます。
AI エンジン連携(オプション)
LLMを使ったAIエンジンとの連携機能も実装されています。設定方法は /backend/chat/README.md に記載されています。
CISO AssistantのGitHubトピックには
mcp が含まれており、Model Context Protocol経由でのAIツール統合が検討・実装されています。セキュリティ管理とAIエージェントの統合についてはMCP活用事例としても注目されています。対応フレームワーク一覧(主要なもの)
130以上のフレームワークから主要なものを紹介します。
| カテゴリ | フレームワーク |
|---|---|
| 国際標準 | ISO 27001:2022、ISO 42001:2023(AI)、ISO 22301:2019(BCP) |
| 米国政府・標準 | NIST CSF v1.1/v2.0、NIST SP 800-53 rev5、NIST SP 800-171 rev2/rev3、FedRAMP rev5 |
| 業界規格 | PCI DSS 4.0.1、SOC2、HIPAA(NIST SP 800-66)、SWIFT CSCF v2025 |
| 欧州規制 | NIS2、DORA(Act/RTS/ITS/GL)、GDPR、EU AI Act、CRA |
| セキュリティベストプラクティス | CIS Controls v8、OWASP ASVS v4/v5、CMMC v2、TISAX |
| フランス | ANSSI各種ガイドライン、SecNumCloud、RGS v2.0 |
| 脅威カタログ | MITRE ATT&CK v18.1、MITRE D3FEND、OWASP Top 10 |
特筆すべきは MITRE ATT&CK v18.1 と MITRE D3FEND が脅威カタログとして組み込まれている点です。攻撃手法(ATT&CK)と防御策(D3FEND)をコンプライアンスコントロールにマッピングする独自のワークフローが構築できます。
コミュニティ貢献によるフレームワークも多数追加されており、日本語圏向けには直接適用できるものは少ないものの、グローバル展開している日本企業が海外の規制要件に対応する際に特に有用です。
競合ツールとの比較
GRC(ガバナンス・リスク・コンプライアンス)ツールは商用製品が多いカテゴリです。CISO Assistantがどのように位置づけられるかを整理します。
| 比較項目 | CISO Assistant | ServiceNow GRC | OneTrust | Drata | Vanta |
|---|---|---|---|---|---|
| ライセンス | OSS(無料) | 商用 | 商用 | 商用 | 商用 |
| 月額費用目安 | 0円(セルフホスト) | 数十万円〜 | 数万円〜 | 数万円〜 | 数万円〜 |
| 対応フレームワーク数 | 130以上 | 多数 | 多数 | 30〜 | 30〜 |
| オンプレ運用 | ✅ | ❌ | ❌ | ❌ | ❌ |
| API公開 | ✅ REST API | ✅ | ✅ | ✅ | ✅ |
| MITRE ATT&CK統合 | ✅ | △ | △ | ❌ | ❌ |
| AIエンジン(オプション) | ✅ LLM統合可 | △ | △ | ❌ | ❌ |
| コントロール自動検証 | △ 手動主体 | ✅ | ✅ | ✅ 自動証拠収集 | ✅ 自動証拠収集 |
CISO Assistantの弱点は、DratoやVantaのような「AWSやGitHubと連携してコントロールの準拠証拠を自動収集する」機能が現時点では限定的な点です。商用ツールが自動証拠収集で差別化している領域では、現時点では手動での対応が必要な部分があります。
一方、オンプレミス運用が可能で、130以上のフレームワークを無料で使え、API-firstで自動化しやすい点は商用ツールにない大きな優位性です。
実践的なユースケース
ユースケース1:ISO 27001認証取得の準備
# CISO Assistantで ISO 27001:2022 プロジェクトを開始
# 1. ログイン後、新規プロジェクトを作成
# 2. フレームワーク選択画面で「ISO 27001:2022」を選択
# 3. 全コントロール項目(附属書A含む)が自動ロード
# 4. 各コントロールに対して評価ステータスを入力
# - Compliant / Partially Compliant / Non-Compliant / Not Applicable
# 進捗はダッシュボードで自動集計・可視化
ユースケース2:NIS2とDORAへの同時対応(金融機関向け)
欧州の金融機関はNIS2とDORAの両方に対応する必要があります。CISO Assistantのデカップリング機能を使うと、1つのコントロール実装を両フレームワークのコンプライアンス証跡として登録できます。
例:「インシデント対応計画の策定と演練」
→ NIS2 Article 21 (f) インシデント管理 にマッピング
→ DORA Article 18 ICTリスク管理フレームワーク にもマッピング
1つの実装で両フレームワークの対応状況が更新される
ユースケース3:ベンダーセキュリティ評価の標準化
# Vendor Due Diligenceライブラリを使ったベンダー評価
# 1. 新規サードパーティエンティティを作成
# 2. 評価用ライブラリとして「Vendor Due Diligence - simple baseline」を選択
# 3. 評価担当者をアサイン
# 4. 回答結果をダッシュボードで一覧管理
ユースケース4:MITRE ATT&CKに基づく脅威モデリング
# ATT&CKフレームワークを使った脅威モデリング
# 1. 「Mitre ATT&CK v18.1」を脅威カタログとして選択
# 2. 関連する攻撃手法(Tactic/Technique)を特定
# 3. 「Mitre D3FEND」の対応防御策にマッピング
# 4. 既存のセキュリティコントロールとの対応状況を評価
CISO AssistantのREST APIを使うことで、コンプライアンス状況のデータを外部システムに連携できます。週次のコンプライアンスステータスを自動でSlackに通知するスクリプトや、Grafanaダッシュボードへのデータエクスポートなどが実装可能です。
よくある質問・つまずきポイント
FAQ:セットアップと運用でよくある問題
Q: docker-compose.shが実行できない(Permission denied)
chmod +x docker-compose.sh でスクリプトに実行権限を付与してください。Windowsの場合はWSL2のターミナルから実行してください。
Q: https://localhost にアクセスしてもERR_CONNECTION_REFUSEDになる
コンテナが起動完了するまで数十秒かかります。docker-compose logs -f でコンテナのログを確認し、起動完了のメッセージが出るまで待ってください。
Q: 自分のカスタムフレームワークを追加したい
CISO AssistantのDSLを使って独自のライブラリファイルを作成できます。GitHubの /backend/library/libraries/ ディレクトリのファイルを参考に作成し、UIからインポートできます。
Q: 既存のExcelベースのリスク台帳をインポートできますか? ExcelインポートはUIとCLIの両方から対応しています。ただし、CISO AssistantのデータモデルにあわせたExcelフォーマットへの変換が必要です。
Q: SaaSクラウド版はありますか? intuitemが提供するSaaSフリートライアルがあります。セルフホストが難しい場合の選択肢として利用できます。
Q: データのバックアップはどうすればいいですか?
PostgreSQLのデータはDockerボリュームで管理されています。docker-compose down + ボリュームのバックアップ + docker-compose up の手順が基本です。本番環境では定期バックアップの仕組みを別途構築してください。
ローカルAIエンジンのセットアップ
LLM連携機能を使う場合は /backend/chat/README.md を参照してください。Ollamaなどのローカルモデルとの統合にも対応しています。
# ローカルAIエンジンの設定例(概念)
# docker-compose.yml に AI エンジンの設定を追加
services:
ai-engine:
image: ollama/ollama
volumes:
- ollama_data:/root/.ollama
environment:
- OLLAMA_HOST=0.0.0.0
CISO Assistantのデータモデルと拡張方法
CISO Assistantの機能を最大限活用するためには、コアデータモデルの理解が重要です。
コアオブジェクトの関係
CISO Assistantのデータモデルは、コンプライアンスとコントロールを意図的に分離した設計です。
Domain(ドメイン)
└── Framework(フレームワーク)
└── RequirementNode(要求事項ノード)
└── RequirementAssessment(アセスメント)
├── Score(スコア)
├── Evidence(証拠)
└── Observation(観察・所見)
Asset(アセット)
└── Risk(リスク)
└── RiskAssessment(リスクアセスメント)
├── Likelihood(可能性)
├── Impact(影響度)
├── RiskLevel(リスクレベル)
└── Treatment(対応策)
AppliedControl(適用済みコントロール)
├── → RequirementAssessment(複数のフレームワーク要件にリンク)
└── → Risk(リスクの軽減策としてリンク)
この構造により、1つのAppliedControlを複数のフレームワーク要件とリスクに関連付けることができます。
カスタムフレームワークの定義
CISO AssistantのDSL(Domain Specific Language)を使って独自のフレームワークを定義できます。
# カスタムフレームワークのDSL例
urn: urn:intuitem:risk:library:custom-security-policy-v1
locale: ja
ref_id: CUSTOM-POLICY-V1
name: 社内セキュリティポリシー v1.0
description: 自社のセキュリティポリシーに基づくコントロールフレームワーク
copyright: Your Organization 2026
version: 1
provider: Your Organization
packager: admin
objects:
framework:
urn: urn:intuitem:risk:framework:custom-policy-v1
ref_id: CUSTOM-POLICY
name: 社内セキュリティポリシー
description: 自社基準のセキュリティ管理フレームワーク
requirement_nodes:
- urn: urn:intuitem:risk:req_node:custom-policy:1
ref_id: "1"
name: アクセス管理
requirement_nodes:
- urn: urn:intuitem:risk:req_node:custom-policy:1.1
ref_id: "1.1"
name: パスワードポリシー
description: 最低8文字、英数字記号を含むパスワードを強制する
annotation: 四半期ごとのレビューを実施すること
REST APIの活用例
CISO AssistantのAPIを使った自動化例:
import requests
# CISO Assistant API クライアントの設定
BASE_URL = "https://localhost/api"
session = requests.Session()
session.verify = False # 開発環境でのSSL検証スキップ
# ログイン
auth_response = session.post(f"{BASE_URL}/auth/login/", json={
"username": "[email protected]",
"password": "your-password"
})
token = auth_response.json()["token"]
session.headers.update({"Authorization": f"Token {token}"})
# リスクアセスメントの一覧取得
risks = session.get(f"{BASE_URL}/risk-assessments/").json()
print(f"Total risk assessments: {risks['count']}")
# コンプライアンス状況のサマリーを取得して外部システムに通知
for assessment in risks['results']:
compliance_rate = assessment.get('compliance_score', 0)
if compliance_rate < 70:
# Slackへの通知(例)
print(f"[WARNING] {assessment['name']}: {compliance_rate}% compliance")
日本語環境でのCISO Assistant活用
CISO Assistantは日本語ドキュメントが少ない点が課題ですが、日本の企業がグローバルなセキュリティフレームワークへの対応を進める際に活用できる場面は多くあります。
日本関連のフレームワーク対応状況
現時点(2026年4月)でCISO Assistantが提供するフレームワークのうち、日本語圏の組織に関連するもの:
| フレームワーク | 対象組織 | CISO Assistant対応 |
|---|---|---|
| ISO 27001:2022 | グローバル展開企業・ISMS認証 | ✅ 完全対応 |
| SOC 2 | SaaS企業(北米向け顧客対応) | ✅ 完全対応 |
| PCI DSS 4.0.1 | クレジットカード処理事業者 | ✅ 完全対応 |
| NIST CSF v2.0 | 重要インフラ・政府関連 | ✅ 完全対応 |
| GDPR | 欧州向け個人データ取扱企業 | ✅ 完全対応 |
| EU AI Act | EU向けAI開発・提供企業 | ✅ 完全対応 |
個人情報保護法(日本)やISMAPについては、現時点でCISO Assistantにネイティブ対応はありませんが、カスタムフレームワーク機能を使って定義することは可能です。
英語環境での運用Tips
# CISO Assistantを日本語UIでも使いやすくするための設定
# コントロール項目の説明に日本語アノテーションを追加
# カスタムフレームワーク定義で日本語名称・説明を設定
# 参照: locale フィールドに 'ja' を設定可能
mainブランチのコードは開発版であり、本番環境では使用しないことが公式に推奨されています。本番運用ではGitHubのリリースタグを確認し、安定版のDockerイメージを使用してください。また、PostgreSQLのデータ定期バックアップを必ず設定してください。
関連記事: サプライチェーンセキュリティ完全ガイド2026|攻撃手法・防御ツール・実践チェックリスト
まとめ
CISO Assistantは、高額な商用GRCツールへの代替として実力のあるオープンソースソリューションです。130以上のセキュリティフレームワーク対応、API-first設計、コンプライアンスとコントロールのデカップリングという3つの特徴が、セキュリティ担当者の作業効率を大幅に向上させます。
特に効果的なユースケース:
- ISO 27001認証取得を目指すスタートアップ・中堅企業
- NIS2・DORA対応が必要な欧州向け事業を展開する企業
- 複数の顧客向けに異なるセキュリティフレームワークへの対応を管理するMSSP(マネージドセキュリティサービスプロバイダー)
- オンプレミスでGRCツールを運用する必要がある組織(セキュリティ上の理由やデータローカライゼーション要件)
Excelベースのリスク管理からの脱却を検討している組織にとって、CISO Assistantは「まず試してみる」価値のある選択肢です。Docker一発での起動というシンプルなセットアップと、活発なGitHubコミュニティによる継続的なフレームワーク追加が、採用のハードルを下げています。
MITREのATT&CKとD3FENDを脅威カタログとして組み込んでいる点は、他のGRCツールと比べた際の独自の強みです。攻撃手法に基づいた防御策の優先順位付けという、より実践的なセキュリティ管理への移行を支援します。
