企業導入
NemoClaw導入時のセキュリティ監査チェックリスト|CISO向けガイド
公開: 2026年3月18日
更新: 2026年3月18日
セキュリティ監査の目的と進め方
AIエージェント基盤であるNemoClawの導入にあたり、CISOおよびセキュリティチームが確認すべき50の監査項目を5カテゴリに整理しました。
| カテゴリ | 項目数 | NemoClaw固有の考慮事項 |
|---|
| 1. ネットワークセキュリティ | 10項目 | OpenShellサンドボックスによるネットワーク分離 |
| 2. データ保護 | 10項目 | 推論プロファイルによるデータ送信先の違い |
| 3. アクセス制御・認証 | 10項目 | blueprint.yamlによるポリシー制御 |
| 4. ログ・監査証跡 | 10項目 | エージェント行動ログの完全性 |
| 5. コンプライアンス | 10項目 | GDPR/個人情報保護法との整合性 |
このチェックリストはNemoClaw v0.3以降を対象としています。各項目の「NemoClawの対応状況」はOpenShellランタイムの標準機能を前提としており、カスタム設定によって変わる場合があります。
カテゴリ1:ネットワークセキュリティ(10項目)
| # | 確認項目 | NemoClawの対応状況 | 追加対策 |
|---|
| N-1 | NemoClawサーバーへのネットワークアクセスが最小権限に限定されているか | 設定による(blueprint.yamlで制限可) | ファイアウォールで8765ポートを社内IPのみに制限 |
| N-2 | エージェントが接続できる外部ホストが制限されているか | OpenShellで allow_network による許可リスト制御 | blueprint.yamlのnetworkポリシーを必ず設定 |
| N-3 | API通信がTLS 1.2以上で暗号化されているか | 組み込みTLS対応(設定で有効化) | TLS 1.0/1.1を明示的に無効化 |
| N-4 | NIMコンテナとホストのネットワーク分離が行われているか | Dockerネットワークによる分離 | カスタムDockerネットワーク(--network=none)を推奨 |
| N-5 | 管理APIと推論APIのポートが分離されているか | v0.3から分離可能(blueprint.yamlで設定) | 管理ポートはlocalhostのみバインド |
| N-6 | MCPサーバーの通信がローカルループバックに限定されているか | デフォルトでstdio経由(ネットワーク不使用) | SSE/HTTPモードのMCPは追加制限が必要 |
| N-7 | DDoS対策・レート制限が実装されているか | blueprint.yamlでrate_limit設定可 | 上流のロードバランサーにも設定 |
| N-8 | ネットワークログ(フロー・IDS)が取得されているか | 非対応(外部ツールで実装) | Falco等のコンテナIDS導入を検討 |
| N-9 | サービスメッシュによるゼロトラスト通信が実装されているか | 非対応(外部で実装) | Istio/CiliumによるmTLS導入を検討 |
| N-10 | 証明書の有効期限管理が自動化されているか | 非対応(外部で実装) | cert-manager等で自動更新 |
カテゴリ2:データ保護(10項目)
| # | 確認項目 | NemoClawの対応状況 | 追加対策 |
|---|
| D-1 | 機密データがクラウド推論APIに送信されないか | ローカルNIMプロファイルで完全オンプレ処理可 | 機密データ処理はlocal-nimプロファイル必須 |
| D-2 | クラウドプロファイル使用時のデータ処理場所が契約で保証されているか | NVIDIAのデータ処理規約に依存 | NVIDIA DPA(Data Processing Agreement)を確認・締結 |
| D-3 | ベクトルストアに個人情報が保存されないか | エージェントの動作次第(設定による) | メモリ保存対象をblueprintのfilterで制限 |
| D-4 | ディスク上のデータが暗号化されているか | 非対応(OSレベルで実装) | LUKS(Linux)でフルディスク暗号化 |
| D-5 | バックアップデータが暗号化されているか | 非対応(バックアップツールで実装) | S3 SSE-KMSでバックアップを暗号化 |
| D-6 | APIキー・シークレットがblueprintにハードコードされていないか | 環境変数参照機能あり(${VAR}形式) | .envファイルの権限を600に設定 |
| D-7 | セッションデータの保持期間ポリシーが定義されているか | blueprint.yamlで設定可 | 業務要件・法的要件から保持期間を決定 |
| D-8 | データ廃棄・削除の手順が文書化されているか | 管理APIでセッション削除可 | 廃棄手順書の作成と定期実施 |
| D-9 | データ分類(機密・内部・公開)に応じたアクセス制御が実装されているか | blueprint.yamlのpolicyで制御可 | データ分類ポリシーを先に策定 |
| D-10 | サードパーティMCPサーバーへのデータ送信範囲が把握されているか | ツール定義で送信内容が把握可能 | MCPサーバーのコードレビューを必須化 |
カテゴリ3:アクセス制御・認証(10項目)
| # | 確認項目 | NemoClawの対応状況 | 追加対策 |
|---|
| A-1 | APIキー・JWTによる認証が有効か | blueprint.yamlでauth設定可(modeをnoneにしない) | auth.modeを必ず設定。noneはテスト環境のみ |
| A-2 | 管理APIの認証が一般APIと分離されているか | 管理APIは専用キー推奨(設定可) | 管理用キーと一般用キーを別管理 |
| A-3 | 最小権限原則が適用されているか(ユーザーごとの権限制御) | blueprint.yamlのcontextベースでポリシー分岐可 | ユーザーロール別のblueprint設計 |
| A-4 | APIキーのローテーション手順が定義されているか | 非対応(外部で管理) | 90日サイクルでキーローテーション |
| A-5 | サービスアカウントの権限が最小限か | NemoClawプロセスの実行ユーザーを専用化 | sudoレスの専用ユーザー(nemoclaw)で実行 |
| A-6 | 管理コンソールへのMFA(多要素認証)が有効か | 非対応(外部で実装) | 踏み台サーバー(Bastion)+SSHキー認証のみ許可 |
| A-7 | セッションタイムアウトが設定されているか | blueprint.yamlのsession.ttlで設定可 | 業務要件に応じて適切なTTLを設定 |
| A-8 | エージェントのアクション(ファイルアクセス等)がポリシーで制限されているか | OpenShellサンドボックスで標準対応 | sandbox.filesystemのallow/denyを明示的に設定必須 |
| A-9 | 特権操作(rm・chmod等)がデフォルト禁止されているか | OpenShellのデフォルトポリシーで制限 | 例外的に許可する操作のみallowリストに追加 |
| A-10 | Gitリポジトリ・設定管理のアクセス権が適切か | 非対応(Gitシステム側で管理) | blueprint.yamlリポジトリへのアクセスをCISOと最小化 |
カテゴリ4:ログ・監査証跡(10項目)
| # | 確認項目 | NemoClawの対応状況 | 追加対策 |
|---|
| L-1 | 全APIリクエストのログが記録されているか | blueprint.yamlのobservabilityで設定可 | log_requests: trueを設定(本番必須) |
| L-2 | ポリシー違反(サンドボックス拒否)のログが記録されているか | OpenShellが自動記録 | ログをSIEMに転送し、リアルタイムアラート設定 |
| L-3 | エージェントが実行したツール呼び出し(MCPツール)が全て記録されているか | log_invocations: trueで記録 | ツール呼び出し結果の保存も検討 |
| L-4 | ログの改ざん防止措置が講じられているか | 非対応(外部で実装) | ログをSIEM(Splunk・Elastic)に即時転送し、変更不可にする |
| L-5 | ログの保持期間が法的要件(最低1年)を満たしているか | ログローテーション設定可 | コンプライアンス要件(金融: 7年等)を確認 |
| L-6 | ログにユーザー識別情報が含まれているか(誰がいつ何をしたか) | context.user_idをログに含める設定可 | 全リクエストにuser_idを必須パラメータとして設計 |
| L-7 | セキュリティイベントのアラートが設定されているか | Webhookでpolicy.violationイベント通知可 | Webhook → SIEMでアラート自動化 |
| L-8 | ログに個人情報・機密情報が含まれていないか | log_responses: falseを推奨(デフォルト可) | log_responses: falseが必須。レスポンスのマスキング実装 |
| L-9 | 定期的なログレビューの手順が定義されているか | 非対応(手順書で対応) | 週次・月次のログレビューを手順書に明記 |
| L-10 | インシデント発生時にログから調査できる体制か | RequestIDによるトレーシング対応 | SIEMクエリ例をRunbookに事前整備 |
カテゴリ5:コンプライアンス(10項目)
| # | 確認項目 | NemoClawの対応状況 | 追加対策 |
|---|
| C-1 | 個人情報保護法(日本)への対応が確認されているか | ローカル推論で個人情報の外部送信を回避可 | 個人情報をメモリに保存しない設計を徹底 |
| C-2 | GDPRの要件(EU居住者データを扱う場合)を満たしているか | データ処理場所はプロファイル選択で制御可 | NVIDIAとのDPA締結。local-nimプロファイル推奨 |
| C-3 | AI規制(EU AI Act等)の対象かを法務と確認したか | 非対応(法務判断が必要) | 用途・リスクレベルを法務・コンプライアンス部門と評価 |
| C-4 | 社内AIガバナンスポリシーに準拠しているか | blueprint.yamlのポリシーで技術的制御可 | AIガバナンスポリシー未策定の場合は先行して策定 |
| C-5 | AIエージェントの判断に対する説明責任(説明可能性)が確保されているか | エージェントの行動ログで事後的に追跡可 | 重要判断はHuman-in-the-Loopを設計に組み込む |
| C-6 | 第三者セキュリティ監査(ペネトレーションテスト)の実施計画があるか | 非対応(外部に依頼) | 本番稼働前に外部ペネトレーションテストを実施 |
| C-7 | SOC2・ISO27001等の認証要件との整合性を確認したか | ログ・アクセス制御機能で対応可能な要件あり | 認証取得済みの場合は既存統制との対応表を作成 |
| C-8 | インシデント対応・報告手順が定義されているか | 非対応(手順書で対応) | インシデントレスポンス計画(IRP)にNemoClaw固有の手順を追加 |
| C-9 | NVIDIAとの利用契約・データ処理規約を確認・締結したか | build.nvidia.comの規約に依存 | 法務部門が規約を確認・社内での取り扱い方針を決定 |
| C-10 | 導入後の定期的なセキュリティレビューサイクルが設定されているか | 非対応(運用計画で設定) | 四半期ごとのレビュー・年次の全面監査を計画 |
残存リスクと優先対策
上記50項目のうち、「NemoClawが非対応(外部で実装)」となっている項目が残存リスクです。優先度の高い対策を以下にまとめます。
| 優先度 | 残存リスク | 推奨対策 |
|---|
| 高 | クラウド推論での機密データ送信 | 機密データ処理にはlocal-nimプロファイルを必須化 |
| 高 | ログの改ざん可能性 | SIEMへのリアルタイム転送でログを保護 |
| 高 | APIキーのローテーション未実施 | 90日サイクルのキーローテーション手順を策定・自動化 |
| 中 | ネットワークIDS未設置 | Falco等のコンテナ向けIDSを導入 |
| 中 | ディスク暗号化未実装 | LUKSによるフルディスク暗号化をインフラ構築時に実施 |
| 低 | MFAが未対応 | SSH鍵認証 + 踏み台サーバーによる代替コントロール |
すべてのリスクをゼロにしようとするとプロジェクトが停止します。残存リスクを文書化し、経営層がリスクを認識した上で受容・移転・軽減の判断をすることがCISOの役割です。