- 透明性スコア(Transparency Score)
- ベンダーがセキュリティやガバナンスに関する情報をどの程度公開しているかを示すパーセンテージ(0〜100%)。21の評価項目から自動算出されます。詳細はスコアの読み方をご覧ください。
- 採用可否(Adoptability)
- ベンダーが導入に適しているかを色分けで表示する評価:グリーン(70%以上)、イエロー(40〜69%)、レッド(40%未満)、評価不能(データ不足)。
- SOC 2 Type II
- 独立した公認会計士事務所が発行する監査報告書。セキュリティ、可用性、処理の完全性、機密性、プライバシーに関する統制を一定期間(通常6〜12ヶ月)にわたって評価します。
- ISO 27001
- 情報セキュリティマネジメントシステム(ISMS)の国際規格。組織が機密情報を管理するための体系的なアプローチを確立・実施・維持していることを証明します。
- ISO 42001
- AIマネジメントシステム(AIMS)の国際規格。AIの開発・利用に関するリスクと機会を管理するためのフレームワークを提供します。
- DPA(データ処理契約)
- データ管理者とデータ処理者の間の法的拘束力のある契約。個人データの処理・保存・保護方法を規定します。GDPRなどの規制で必要とされます。
- サブプロセッサー(Subprocessor)
- ベンダーに代わってデータを処理する第三者サービスプロバイダー。顧客がデータ処理チェーン全体を評価できるよう、ベンダーはサブプロセッサーの開示が求められます。
- SLA(サービスレベル契約)
- ベンダーが保証する稼働率、応答時間、およびそれらが満たされない場合の救済措置(サービスクレジット等)を規定する契約。
- 脆弱性開示ポリシー(VDP)
- 外部のセキュリティ研究者がベンダーに脆弱性を報告する方法を記述した公開ポリシー。security.txtファイルの設置やバグバウンティプログラムを含むことがあります。
- OWASP LLM Top 10
- Open Web Application Security Projectが公開する、大規模言語モデル(LLM)アプリケーションの10大セキュリティリスク。プロンプトインジェクション、学習データ汚染、機密情報漏洩などのリスクを網羅します。
- プロンプトインジェクション(Prompt Injection)
- LLMの指示を無視させたり、データを漏洩させたり、意図しない動作を引き起こすために悪意のある入力を作成する攻撃手法。OWASP LLM Top 10ではLLM01に分類されています。
- ウォッチリスト(Watchlist)
- 追跡中のベンダーの個人リスト。ウォッチ中のベンダーのスコアが変動すると通知を受け取ります。ウォッチリストの使い方を参照。
- ポリシー(Policy)
- 評価データに基づいてベンダーをallow(許可)、deny(拒否)、review(要審査)に自動分類する組織ルールのセット。ポリシー設定ガイドを参照。
- 証跡(Evidence)
- ベンダーのセキュリティやガバナンスの主張を検証するために使用される公開情報(Webページ、ドキュメント、セキュリティページ)。各評価項目には特定のテキスト抜粋を含む証跡が必要です。
- 認証(Certification)
- 認定機関がベンダーの特定のセキュリティまたは品質基準への適合を正式に認めたもの(例:SOC 2 Type II、ISO 27001、ISO 42001)。AIアセスは公開ページから認証を自動検出します。
- 推定充足(Inferred Assessment)
- 関連する認証が検出されたときに自動的に充足とマークされる評価項目。例:SOC 2 Type IIの検出により、暗号化、アクセス制御、監視、インシデント対応、変更管理が充足と推定されます。
- 証跡レベル(Evidence Level)
- ベンダー評価に利用可能な証跡の品質と量を示す評価(E0〜E4)。高いレベルほど、より包括的な公開ドキュメントが存在することを示します。
- GDPR(一般データ保護規則)
- EUのデータ保護・プライバシーに関する規則。組織に個人データの保護を求め、個人にデータに関する権利を付与します。