AI-BOM(AI Bill of Materials)とは?
AI bill of materials(AI-BOM)は、組織全体のAIエコシステムを構成するコンポーネントを一覧化したインベントリです。AIモデル、データセット、サービス、インフラ、サードパーティ依存関係に加え、それらの相互関係も含まれます。
AI-BOM は、SPDX 拡張などの構造化フォーマットを用いることで、チーム間でAIコンポーネントを共有・監査・評価しやすくします。これは、 software bill of materials(SBOM)に近い考え方です。
ただし、AI-BOM は単なる一覧ではありません。モデルがデータ、サービス、環境とどのように接続しているかを可視化し、AIシステムの動作を理解するために必要なトレーサビリティを提供します。
AI-BOMとSBOMの違いとは?
AI-BOM は SBOM と同様の目的を持ちますが、現代のAIシステム特有の複雑性に対応している点が異なります。
SBOM が静的なソフトウェアコンポーネントに重点を置く一方で、AIシステムには、非決定的なモデル、進化し続けるアルゴリズム、データ依存関係などが含まれます。こうした複雑性を把握することが、効果的な AI Security運用の基盤となります。
AI-BOM は、SBOM の概念を拡張し、コードだけでなく、モデル、データセット、動的な依存関係など、AIシステムの挙動に影響を与えるあらゆる要素を含みます。
100 Experts Weigh In on AI Security
Learn what leading teams are doing today to reduce AI threats tomorrow.
なぜAI-BOMが重要なのか?
AI-BOM は、次のような要因を背景に、責任あるAIガバナンスを実現するうえで重要な役割を担っています。
AI リスクと透明性の要求
組織が generative AI やAI活用アプリケーションを業務へ導入するにつれ、稼働中のAIアセットや、それらがもたらす脆弱性・コンプライアンスリスクを可視化する必要性が高まっています。
規制強化への対応
EU AI Act や NIST AI Risk Management Framework などの新しい規制・フレームワークでは、AIコンポーネント、その利用状況、関連するリスクプロファイルに関する詳細な記録の維持が求められています。米国の Executive Order 14110 でも、AIシステムにおけるトレーサビリティの重要性が強調されています。
サプライチェーンセキュリティへの懸念
AI attack surface (攻撃対象領域)は、自社インフラだけでなく、サードパーティモデル、オープンソースライブラリ、AIサービスにまで広がっています。ソフトウェア依存関係を狙ったサプライチェーン攻撃と同様に、AIシステムも、侵害されたモデル、poisoned dataset(汚染データセット)、脆弱なAPIなどのリスクにさらされています。
内部ガバナンス要件への対応
責任あるAI活用を進める組織では、モデルリネージの追跡、利用ポリシーの適用、AI導入が事業目標と整合していることの確認が求められます。AI-BOM は、こうしたガバナンス施策を監査可能な形で運用するためのデータ基盤を提供します。
Wiz は、クラウド上で利用されるモデル依存関係を継続的に可視化し、AIサービスを自動検出するとともに、インフラ全体の接続関係を可視化することで、セキュリティチームによるAI-BOM の構築と維持を支援します。
Wiz Researchが発見したAI-as-a-Serviceのアーキテクチャリスク
2024年4月、Wiz Research は Hugging Face の AI-as-a-Service プラットフォームにおいて、悪意のある pickle 形式のモデルをアップロードすることでリモートコード実行が可能となり、他の顧客モデルや機微データへのクロステナントアクセスにつながる重大な分離(isolation)脆弱性を発見しました。
この脆弱性は、本来であれば包括的なAI-BOM によって可視化できたはずの管理ギャップに起因していました。具体的には、共有推論インフラにおけるサンドボックス不足、過剰な権限を持つコンテナレジストリアクセス、Amazon EKS IMDS の露出などです。
Hugging Face は Wiz と緊密に連携し、検出結果を検証したうえで、テナント分離の強化や security controls(セキュリティコントロール)の改善など、複数の緩和策を実装しました。
この事例は、AI-BOM の可視性と継続的なモニタリングを組み合わせることで、攻撃者に悪用される前にAIシステムのサプライチェーンリスクを検知できることを示しています。
AIコンポーネント、依存関係、アクセスパスを包括的に管理することで、セキュリティチームは危険な設定を特定し、AIシステム全体に対して一貫したガードレールを適用できます。
AI-BOMを構成する7つのコア要素
AI-BOM は、AIモデルだけでなく、AIシステムを構成するコンポーネント全体と、それらの関係性を記録します。効果的なセキュリティ、ガバナンス運用を実現するうえで、これらの情報は重要な役割を果たします。
包括的なAI-BOM には、少なくとも以下の7つのコア要素が含まれます。
1. データレイヤー
データレイヤーでは、AIシステムがトレーニング、推論、ストレージで利用するすべてのデータアセットを管理します。これらのデータ依存関係を把握することは、データサイエンティストのワークフロー管理や、データプライバシー規制へのコンプライアンス対応において重要です。
データレイヤーには、次の要素が含まれます。
トレーニングデータ
モデルのトレーニングやファインチューニングに使用するデータセット(データの出所、ライセンス、適用した前処理を含む)
推論時データ
本番環境でモデルが参照するデータソース(リアルタイムAPI、特徴量ストア、データウェアハウスなど)
データストア
AI関連データを保持する基盤ストレージシステム(クラウドストレージ、データベース、ベクターデータベースなど)
2. モデルレイヤー
モデルレイヤーでは、AIモデル、そのメタデータ、そして時間の経過に伴う変化や進化を管理します。これにより、チームはモデルのバージョンや設定を適切に管理できます。
モデルレイヤーには、以下の要素が含まれます。
基盤モデル
OpenAI、Anthropic、オープンソースリポジトリなどが提供する事前学習済みモデル
ファインチューニング済みモデル
転移学習や追加トレーニングによって、特定のユースケース向けにカスタマイズされたモデル
社内学習モデル
カスタムアーキテクチャや独自アルゴリズムを含め、組織内で独自に学習・構築したモデル
モデルバージョンと構成
本番環境にデプロイされた特定バージョン、およびハイパーパラメータやデプロイ設定に関する情報
3. 依存関係レイヤー
依存関係レイヤーは AI サプライチェーンに潜む脆弱性の発生源を特定し、ソフトウェアスタック全体におけるセキュリティリスクを把握します。
依存関係レイヤーには、以下の要素が含まれます。
機械学習フレームワーク
モデルの構築や実行に使用するソフトウェアフレームワーク(TensorFlow、PyTorch、JAX など)
AI SDK
ホスト型AIサービスと連携するためのライブラリ(OpenAI SDK、Anthropic SDK、LangChain など)
サードパーティパッケージ
モデルが依存する補助ライブラリやオープンソースコンポーネント
ランタイム依存関係
本番環境でAIモデルのトレーニング、提供(サービング)、オーケストレーションを行うために必要な実行環境や関連コンポーネント
4. インフラストラクチャレイヤー
インフラストラクチャレイヤーでは、AIワークロードを支えるハードウェアやクラウドリソースを管理・追跡します。これらを継続的に管理することは、AI リスク管理やクラウド環境全体のコスト最適化において重要です。
インフラストラクチャレイヤーには、以下の要素が含まれます。
コンピュートリソース
AIワークロードが利用する GPU、TPU、その他のアクセラレーションハードウェア
ストレージとネットワーク
AI 運用を支えるクラウドインフラ(コンポーネント間のネットワークパスを含む)
クラウド環境
AIワークロードが動作するアカウント、リージョン、デプロイメント境界
5. セキュリティとガバナンス
セキュリティとガバナンスレイヤーでは、アイデンティティやアクセスパターンを包括的に可視化し、AIシステムのエクスポージャーを評価するとともに、最小権限アクセスの実装を支援します。
このレイヤーには、以下の要素が含まれます。
アイデンティティとアクセス管理
AIシステムで使用されるサービスアカウント、ロール、権限、認証情報
アクセスパス
モデルがデータソース、下流サービス、外部APIへどのように接続されるか
セキュリティコントロール
AIコンポーネントに適用されるポリシー、ガードレール、検証メカニズム
6. 人とプロセス
人とプロセスレイヤーでは、AIライフサイクル全体におけるアカウンタビリティと再現性を確保するために、誰が何を管理し、どのような変更が行われたかを記録します。
このレイヤーには、以下の要素が含まれます。
所有・責任範囲
各AIコンポーネントの責任範囲を明確化する
変更履歴
誰が、いつ、なぜ変更を行ったかを記録する監査ログ(audit trail)
承認ワークフロー
開発、テスト、本番環境を通じてAIコンポーネントが進む承認プロセスを管理する仕組み
7. 利用状況とドキュメント管理
利用状況とドキュメント管理レイヤーでは、AIシステムの挙動や進化に関するコンテキストを管理し、時間の経過に伴うモデル品質やコンプライアンスの維持を支援します。
利用状況とドキュメント管理レイヤーには、以下の要素が含まれます。
モデルリネージ
コンポーネント同士のつながりを示す上流・下流関係
ユースケース
モデルの利用目的や、許可された利用範囲に関するドキュメント
パフォーマンス指標
accuracy(精度)や latency(レイテンシ)など、継続的に追跡する指標
これら7つの要素によって、AI-BOM は本番環境におけるAIシステムの実際の動作状況を可視化できます。アセットとその関係性を把握することで、AIシステムの進化に対応したトレーサビリティ、リスク評価、ガバナンスの基盤を構築できます。
AI Security Sample Assessment
In this Sample Assessment Report, you’ll get a peek behind the curtain to see what an AI Security Assessment should look like.
AI-BOMはどのように主要なセキュリティ機能を支援するのか?
AI-BOM は、AIライフサイクル全体において、以下のようなセキュリティユースケースを支援します。
検出とインベントリ管理
AI-BOM は、環境全体で稼働するモデル、データセット、サービス、依存関係を特定します。システムの進化に伴って発生する、管理されていないAI利用や未文書化のAI利用を可視化することで、AI セキュリティリスクが深刻化する前に対処できます。
トレーサビリティと説明性
チームは、モデルがどのように構築され、どこで稼働し、どのデータやサービスに依存しているかを把握できます。AIの挙動を下位コンポーネントに紐づけて理解できるため、レビューやインシデント調査を効率化できます。
リスク評価と優先順位付け
機微データへのアクセス、権限、下流依存関係に基づいてエクスポージャーを評価できます。AI-BOM を活用してコンポーネント間の実際の関係性を把握することで、検出結果を個別に処理するのではなく、リスクに応じた優先順位付けが可能になります。
ガバナンスとコンプライアンス
AI-BOM は、AIコンポーネントに関する構造化された記録を提供することで、監査、内部レビュー、規制要件への対応を支援します。この記録には、オーナーシップ、セキュリティコントロール、変更履歴なども含まれ、クラウドコンプライアンス要件への対応に役立ちます。
変更管理とインシデント対応
アップデートをデプロイする前に、モデル変更、データ更新、依存関係のアップグレードによる影響を評価できます。インシデント発生時には、影響を受けたAIコンポーネントや影響範囲(blast radius)を特定することで、調査を迅速化できます。
この構造化された記録は、エンジニアリング、セキュリティ、ガバナンスの各チームが、静的なドキュメントや属人的な知識に依存することなく、共通のコンテキストを共有するための基盤となります。
AI Security Readiness Report によると、成熟したAIガバナンスを実践している組織は、同業他社と比べてAIリスク管理やサイバー脅威への対応能力に優れています。AI-BOM を活用することで、本番環境の変化に応じて進化するAIシステムを、一貫性とトレーサビリティを保ちながら評価できます。
AI-BOMはコンプライアンスフレームワークにどのように役立つのか?
AI-BOM は、新たなAIガバナンス要件に対応するための技術的基盤となります。主なコンプライアンスフレームワークとの関係は、以下のとおりです。
NIST AI Risk Management Framework
NIST のフレームワークでは、透明性、トレーサビリティ、継続的なモニタリングが重視されています。AI-BOM は、監査時にこれらを証明するために必要な構造化インベントリを提供します。
EU Artificial Intelligence Act
EU AI Act では、高リスクAIシステムに対し、トレーニングデータ、モデルアーキテクチャ、検証プロセスなどの技術ドキュメント維持が求められています。AI-BOM は、こうした情報を規制報告向けに整理・管理する際に役立ちます。
業界特有の規制
金融や医療などの規制産業では、AI特有のコンプライアンス要件の整備が進んでいます。包括的なAI-BOM を導入することで、新たな規制にも迅速に対応できます。
クラウドコンプライアンスツールとAI-BOM を組み合わせることで、AIガバナンスフレームワークで必要となる証跡収集の多くを自動化できます。
WizでAI-BOMを構築する方法
Wiz を利用することで、AI-BOM の構築を効率的に進められます。自動検出と継続的なモニタリングにより、運用プロセスを大幅に簡素化できます。
cloud native application protection platform(CNAPP)は、次の機能を通じてAI-BOM の構築を支援します。
自動検出
Wiz は、クラウド環境全体にわたってAIサービス、モデル利用状況、それらを支えるインフラを自動的に検出します。これにより、手作業による管理負担を軽減し、新しいサービスの試験導入やデプロイが行われても、AI-BOM を最新状態に維持できます。
グラフベースの可視化
Wiz は、モデル、データセット、アイデンティティ、ネットワークパス、クラウドリソースを Wiz Security Graph 上で関連付けて可視化します。これにより、セキュリティチームは、どのAIが存在し、本番環境でどのように動作し、何にアクセスでき、どこにリスクが蓄積しているのかを把握できます。
ポリシー適用
pipelines に自動チェックを組み込み、コンプライアンス要件への対応を強化できます。policy-as-code ルールを設定することで、AIコンポーネントが本番環境へデプロイされる前に自動検証を行えます。
ドリフト検知
Wiz はコンポーネントの挙動を継続的に追跡し、未承認の変更や設定ドリフトを検知します。モデルや依存関係への小さな変更であっても、脆弱性やコンプライアンス違反につながる可能性があるため、継続的な監視が重要です。
ワークフローとの連携
Wiz は CI/CD pipelinesや修復ワークフローと連携し、AI-BOM を実運用に組み込めるよう支援します。問題を検知した場合は、自動化ワークフローによる修復や、適切なチームへのアラート通知を実行できます。
Wiz は、agentless なクラウド可視性を基盤としてAI-BOM を構築するため、新サービスやAIエージェント、各種ツールが導入されても継続的に更新されます。
その結果、セキュリティチームはシャドーAIを早期に検出し、ガードレールを一貫して適用しながら、コンテキストに基づいてAIリスクを優先順位付けできます。
AI-BOMにWizを選ぶ理由
Wiz は、AI-BOM を静的なベストプラクティスではなく、security-first の system of record(信頼できる統合管理基盤)として位置付けています。
Wiz AI-Application Protection Platform(AI-APP)の一部として、チームはコードからクラウドまで、環境全体に存在するAIコンポーネントを自動検出・可視化できます。これにより、手動での管理負担を削減し、開発からデプロイまでのライフサイクル全体を通じて、AI-BOM のコンテキストを継続的に管理できます。
Wiz Security Graph は、すべてのコンポーネントを関連付けることで、AI-BOM を実運用レベルで活用できるようにします。セキュリティチームは、どのAIが存在し、本番環境でどのように動作し、何にアクセスでき、どこにリスクが蓄積しているのかを把握できます。
AI-BOM は、AIシステムの進化に合わせて、エクスポージャー、影響範囲(blast radius)、オーナーシップを評価するための基盤となります。Wiz は、脆弱性、設定ミス、アイデンティティ、ガードレール、データなどを統合ビューとして可視化し、コード、クラウド、runtime を横断したコンテキストベースの評価を可能にします。
さらに、AI-APP はインベントリ管理を超えた機能も提供します。Wiz AI-SPM は、公開されたモデル、リスクの高いエージェント権限、セキュアではない MCP 接続などの posture gaps(セキュリティ体制上のギャップ)を特定します。
また、Red Agent は悪用可能なAIパスを検証し、Blue Agent は疑わしい runtime 挙動を調査し、Green Agent は同じ共有コンテキストを活用して修復を支援します。これにより、AI-BOM は単なるドキュメントではなく、AIセキュリティ運用を支えるコントロールレイヤーとして活用できます。
AI機能を実際に確認したい場合は、デモをリクエストをご利用ください。Wiz が code-to-cloud 全体で AIセキュリティ運用をどのように効率化するかを確認できます。
さらに、Wiz によるAIセキュリティリスクのレポート方法については、AI Security Assessment Sample Report を参照してください。