Evidence Bundle Coverage Map(テンプレ)
!!! info "Informative — 推奨実務テンプレ" 本ページは、Evidence Bundle の推奨実務テンプレとしての「Coverage Map」一枚の雛形を定義する。標準の必須項目ではなく、informative とする。監査人への引き継ぎ用に「このバンドルで何をカバーし、何をカバーしないか」を記載するために利用できる。参照(例:フレームワークへのリンク)は安定させる;採用は実装者判断とする。
1. スコープ(Scope)
| 項目 | 説明 |
|---|---|
| スコープ参照 | マニフェストの scope_ref(例: SC-001)。本バンドルが対象とするスコープ。 |
| Bundle ID | bundle_id(UUID)— 本バンドルの一意識別子。 |
| Bundle バージョン | bundle_version(SemVer)— バンドルのバージョン。 |
| 対象期間 / スナップショット | 任意:本バンドルが対象とする期間または日付(例: 2026-Q1、as-of 2026-02-03)。 |
2. エビデンス種別(EV / objects と payloads)
| 区分 | 内容 | v0.1 minimal の例 |
|---|---|---|
| object_index | 列挙オブジェクト(メタデータ・索引)。各要素: id, type, path, sha256。 |
例: objects/index.json(index 型)。 |
| payload_index | ペイロード(ルート EV JSON、Evidence Pack 等)。各要素: logical_id, path, sha256, mime, size。 |
例: payloads/root.json(ルート AIMO EV JSON)。 |
| EV 種別 | エビデンスレコード(ルートまたはペイロード内)— request, review, exception, renewal, change log。 | Evidence Pack Template および Minimum Evidence Requirements に準拠。 |
object_index / payload_index は拡張可能。path はバンドルルート内に留め、Evidence Bundle ルート構造(v0.1) を満たすこと。
3. コントロール対応(参照のみ)
外部フレームワークとの対応は参照用であり、標準は特定規制への適合を義務付けない。
| フレームワーク | 本バンドルでの利用 | 参照 |
|---|---|---|
| ISO/IEC 42001 | 任意:本バンドルがカバーする AI MS テーマを記載。 | Coverage Map → ISO 42001 |
| EU AI Act | 任意:ドキュメント・記録保持の対応レベル。 | Coverage Map → EU AI Act |
| NIST AI RMF | 任意:Govern, Map, Measure, Manage の対応。 | Coverage Map → NIST AI RMF |
| ISMS (27001/27002) | 任意:変更管理、アクセス、ログ、整合性。 | Coverage Map → ISMS |
「本バンドルでの利用」は提出ごとに記入。標準は特定のコントロール網羅を要求しない。
4. 除外・前提(Exclusions / Assumptions)
| 区分 | 本バンドルでカバーしないもの(例 — 提出ごとに調整) |
|---|---|
| 除外 | 例:スコープ外のシステム・ユースケース;エビデンス対象外の第三者コンポーネント;本バンドル対象期間外。 |
| 前提 | 例:Dictionary/ taxonomy バージョン;使用した Validator/スキーマバージョン;Custody・保持は実装側で定義。 |
| 制限 | 例:v0.1 では署名の暗号検証は範囲外;規制の法的解釈は行わない。 |
プレースホルダを提出ごとの除外・前提に置き換える。
5. 整合性証明の要約(Integrity proof summary)(v0.1)
| 要素 | 提供内容(v0.1 規範) |
|---|---|
| manifest.json | 存在しスキーマ有効。object_index, payload_index, hash_chain, signing を含む。 |
| sha256 | object_index / payload_index の全ファイルに 64 文字小 hex の sha256 を宣言;バリデータが内容一致を検証。 |
| 索引の存在 | 列挙された全 path がバンドルルート配下に存在;path traversal(../・先頭 /)なし。 |
| 署名の存在 | signatures/ に少なくとも 1 つの署名ファイル;マニフェストの signing.signatures[] で path と targets を参照(v0.1 では targets に manifest.json を含む MUST)。暗号検証は v0.1 範囲外。 |
| Hash chain | マニフェストの hash_chain:algorithm, head(64 文字 hex), path(hashes/ 配下のファイル), covers(v0.1 で manifest.json と objects/index.json を含む MUST)。hash_chain.path のファイルが存在。 |
上記は v0.1 バンドルに対して Validator が検証する整合性保証の要約。Custody(保管・アクセス制御・保持)は実装定義。
Coverage Map(YAML)と Profile(JSON)の関係
| 成果物 | 位置づけ | 目的 |
|---|---|---|
Coverage Map YAML(coverage_map/coverage_map.yaml 等) |
Informative | AIMO 証跡/成果物と外部フレームワーク(ISO 42001、NIST AI RMF、EU AI Act 等)の高レベルな対応テーマの説明。規範的な検証要件は課さない。 |
Profile JSON(coverage_map/profiles/*.json) |
Normative | schemas/jsonschema/aimo-profile.schema.json で検証される変換仕様。機械可読なマッピングを定義。Validator の --validate-profiles で公式 Profile JSON のスキーマ適合を検証する(profile_id の PR-* パターン、target 列挙、target_version、mappings)。 |
v0.1 公式 profiles(凍結セット)
v0.1 リリースに含まれる規範的 Profile JSON は 3 本。いずれもバリデータで検証される。
| ファイル | profile_id | target | target_version |
|---|---|---|---|
iso42001.json |
PR-ISO42001-v0.1 | ISO_42001 | 1.0 |
nist_ai_rmf.json |
PR-NIST-AI-RMF-v0.1 | NIST_AI_RMF | 1.0 |
eu_ai_act_annex_iv.json |
PR-EU-AI-ACT-ANNEX-IV-v0.1 | EU_AI_ACT_ANNEX_IV | Annex IV |
Profile 更新方針
- ISO 42001 / NIST AI RMF:対象フレームワークの新バージョンは、将来の標準バージョンで新規 Profile ファイルまたは新
target_versionとして追加可能。v0.1 の Profile は v0.1 リリースとして凍結。 - EU AI Act Annex IV:Annex IV および関連条文は規制側で更新される場合がある。条文・文言変更に追随するため、PATCH(例 0.1.x)で Profile のマッピングを更新することがある(profile_id は継続)。実装者は Profile の
target_versionおよびリリースノートで参照される版に合わせること。