エンタープライズ · コンプライアンスと証拠

コンプライアンスの作業を、
機械化する。

フレームワークは質問をし、エージェントが何を見るべきかを決定するレイヤーは、強制されたコントロールと検証可能な証拠でそれらに答えるべきです。LeanCTXはEU AI Act, ISO/IEC 42001, および SOC 2を、実際に強制するメカニズムにマッピングし—そして、できないことはすべて明示します。

まず誠実に: LeanCTXはコンプライアンス作業のためのツールサポートであり、法的アドバイスではありません。「整合している」とは、強制可能なコントロールに関する技術的な声明であり、認証ではありません。すべてのマッピングにはこの免責事項が伴い、未カバーの義務はすべて文書化されたギャップです。

マッピング

3つのフレームワークを、 それぞれ正直な行列で。

機械可読のマッピング行列。半期ごとのレビューサイクルにより、正確なフレームワークエディションにピン留めされています。各パッケージには、強制可能なスライスを実装するフレームワークポリシーパックが同梱されます—それを継承したり、拡張したり、または独自のパックをそれに対して監査したりできます。

Regulation (EU) 2024/1689

EU AI Act

マッピングされたコントロールの14個中11個が技術的に強制される

コンテキストフローに関するデプロイヤー視点:Art. 12ロギング(改ざん防止、常時稼働)、Art. 26(6)の6ヶ月間のログ保持、Art. 10(5)の規制識別子マスキング、Art. 14(4)によるハードバジェットキャップを介した監視と介入、Art. 15(5)のアクセス制御。トレーニングデータガバナンスおよび組織的義務は隠されたギャップではなく、文書化されたギャップです。

pack: eu-ai-act-deployer

ISO/IEC 42001:2023, Annex A

ISO/IEC 42001

強制可能なAnnex Aのスライス、ギャップが文書化される

A.6.2.6の操作ロギング、A.9.2の責任ある使用プロセス—ポリシーパックは機械的に強制されるプロセス定義であり、A.9.4では記録された違反を伴う意図した用途の強制、A.7.4では使用前のデータ制御です。AIMS自体が定義上組織的なものであり、マッピングもそれを述べています。

pack: iso42001-aligned

AICPA TSC 2017 (2022 points of focus)

SOC 2

TSCのコンテキストパイプラインスライス、証拠を含む

CC6.1論理アクセス(デフォルト拒否可能なゲート)、CC6.6境界保護(エグレス拒否+PathJail)、CC7.2異常監視(型付けされたセキュリティイベント)、C1.1機密性(認証情報+識別子マスキング)。エンティティレベルの基準は組織に留まり、マッピングが境界を描きます。

pack: soc2-context

真実の情報源:リポジトリ内のマッピング行列—TOML形式でレビュー可能、差分比較が可能。すべての完全なカバレッジの主張は、強制を証明するCIテスト名を挙げます。クレームとテストが乖離した場合、ドリフトテストはビルドを失敗させます。

カバレッジレポート

監査の対話は、 コマンドとして行う。

単一のコマンドで、評価者が実際に確認したいものを提供します。それは、パンフレットではなく、実際の解決されたポリシーパックに対するコントロールごとの判定です。

$ lean-ctx policy coverage --framework eu-ai-act

AIA-12.1      Art. 12(1)    ENGINE        hash-chained audit trail, always-on
AIA-26.6      Art. 26(6)    ENFORCED      audit_retention_days = 365 (≥ 180 d)
AIA-10.5      Art. 10(5)    ENFORCED      4/4 regulated-identifier classes redacted
AIA-14.4e     Art. 14(4)(e) ENFORCED      max_context_tokens = 12000 bounds every assembly
AIA-10.2      Art. 10(2)    GAP           training-data governance is outside the pipeline

11 of 14 controls technically enforced (5 pack-verified, 6 engine guarantees) · 3 documented gaps

ENFORCEDは、解決されたパックに対してライブ検証されます。弱いパックは終了コード1と共にNOT-ENFORCEDにダウングレードされるため、レポートはCIゲートが可能です。ENGINEは、それらを証明するテストを保証します。GAPの行は、組織的な義務として残るものを記述します。--jsonはGRCツール向けです。

署名されたCISOレポート

単一の署名済みレポートで、 期間全体をカバーします。

日付範囲を一つのエグゼクティブな成果物にまとめます:OWASP-Top-10-for-Agentsのアライメント、フレームワークカバレッジ、実際にブロックおよび修正された内容、そして保持の体制 — Ed25519署名済みでオフライン検証可能です。

$ lean-ctx compliance report --from 2026-05-01 --to 2026-06-01 --framework eu-ai-act --format pdf

period         2026-05-01 → 2026-06-01   ·   audit chain: VALID
owasp-agents   9 / 10 aligned · 1 documented gap
eu-ai-act      11 / 14 controls enforced · 3 documented gaps
enforcement    142 tool calls blocked (ToolDenied) · 87 secrets redacted
retention      audit_retention_days = 365

Signed compliance report written to ~/.local/share/lean-ctx/compliance/report-v1_2026-06.json
Verify offline (no LeanCTX needed):  lean-ctx compliance verify report-v1_2026-06.json

構築上正直です:静かな期間はゼロブロックを報告し、途切れたチェーンは隠されることなく報告されます。署名付きJSONは常に書き込まれ、--format pdfを追加することで、ボード向けの依存関係フリーなPDF 1.7が追加されます。誰でもlean-ctx compliance verify <report.json>で再確認できます — 監査証跡もLeanCTXのインストールも不要です。

エビデンスバンドル

監査人は検証します— 私たちを信頼することなく。

lean-ctxは、決定論的でEd25519署名されたZIPを出力します:期間の改ざん防止エビデンスセグメント、適用中の解決済みポリシーパック、およびカバレッジレポートです。同じ入力から、バイト単位で同一のバンドルを再生成して比較できます。

対となるleanctx-verifyは、エンジンコードや依存関係を持つツールではなく、独立したスタンドアロンツールであり、オープンなevidence-bundle-v1契約の第二の実装です。これはオフラインで、監査人のマシン上で、1分足らずで実行されます:

1

アーカイブ + マニフェスト

適切に形成され、バージョンがサポートされているバンドル

2

ファイルインベントリ

すべてのファイルがSHA-256と一致し、何も追加も削除されていないこと

3

チェーンリプレイ

監査ハッシュチェーンがアンカーからヘッドまで再計算されること

4

マニフェスト署名

Ed25519で有効 — 利用可能な場合はアウトオブバンドキーに対して

5

エントリ署名

各ログ行が個別に署名され、検証されます

変異テスト済み:バイトを1つ反転させたり、行を削除したり、キーを誤ったりしても — 無効です。 監査ガイドでは、証拠が何を示し、何を示せないのかを平易な言葉で説明しています(イベントは記録された瞬間から保護されます—それ以前ではありません。正直な脅威モデルはフォーマットの一部です)。検証者ソース:packages/leanctx-verify

FAQ

コンプライアンスチームが尋ねる質問

LeanCTXを使用すると、EU AI Act / ISO 42001 / SOC 2に準拠できますか?

どのツールもそう主張することはできず、私たちもそうしません。LeanCTXは、コンテキストパイプライン内に存在するコントロールを技術的に強制し、CIテストとランタイムの証拠によってその強制を証明します。マッピング行列には、各コントロールについて、カバレッジが完全か(強制され、テストされている)、部分的なのか(残存ギャップが記述されている)、それともないのか(組織的な義務)が記載されています。コンプライアンスは人間が行う評価であり、LeanCTXはその人々に実行可能なコントロールと検証可能な証拠を提供します。

マッピング行列には具体的に何が含まれていますか?

フレームワークごとに1つ、TOML形式の機械可読ファイルで、半期に一度の見直しサイクルがあり、正確なフレームワークエディションにピン留めされています。各コントロールには、条項、一行の要件、LeanCTXメカニズム(パックルール、監査イベント、証拠のエクスポート)、評価者が受け取る証拠、カバレッジの主張—そして完全な主張がある場合、その強制を証明するCIテストの名前が記載されています。ドリフトテストは、主張が存在しないテストを指している場合にビルドを失敗させます。

独自のセットアップをフレームワークと照合する方法は?

lean-ctx policy coverage --framework eu-ai-act (または iso42001, soc2) を実行すると、監査会話アーティファクトがレンダリングされます:各コントロールがENFORCED(解決されたポリシーパックに対してライブ検証済み)、ENGINE(CI証明エンジン保証)、NOT-ENFORCED(あなたのパックはルールを保持していない—終了コード 1、CIゲート可能)またはGAP(文書化された組織的義務)のいずれかとなります。マシン向けには --json を追加してください。

証拠バンドルとは何ですか?

lean-ctx監査証拠によって生成される、決定論的でEd25519署名付きのZIPファイルです。これは、一定期間の改ざん防止可能な監査チェーンセグメント、適用されていた解決済みポリシーパック、およびCGB + フレームワークカバレッジレポートが含まれます。同一の入力はバイト単位で同一のバンドルを生成するため、二つの当事者が再生成して比較できます。このフォーマットはオープンな契約(evidence-bundle-v1)です。

私たちを信頼せずに監査人がバンドルを検証する方法は?

leanctx-verifyを使用します—これは、エンジンとコードを共有せず、公開された契約を独立して実装するスタンドアロンツールです。ハッシュチェーンを再実行し、すべての署名をオフラインで5つのPASS/FAILステップでチェックします。所要時間は1分を大幅に下回ります。変異テストは、単一の反転したバイト、削除されたログ行、または誤ったキーが判定をINVALIDにすることを証明します。平易な言葉の監査ガイドは、証拠が何を示し—そして同様に明確に—何を示せないのかを説明します。

次の監査会話で証拠を持ち込みましょう。

独自のパックに対してカバレッジレポートをローカルで無料で実行してください。または、コンプライアンスチームと連携したパイロットについて相談してください。