G7がAI「構成要素表」の基準を発表、サプライチェーンリスク管理強化へ

G7加盟国の政府機関で構成される国際的な専門家グループが、AIシステムの透明性とセキュリティ向上を目指した新たなガイドラインを発表した。このガイドラインは、AIの「構成要素表」（AI Bill of Materials、AIBOM）と呼ばれる文書の最低基準を定めたもので、AI技術のサプライチェーンリスクを管理するための基盤となる。

SBOMの概念をAIに拡張、サイバーセキュリティ強化へ

従来のソフトウェア分野で用いられる「Software Bill of Materials（SBOM）」は、ソフトウェアに含まれる全ての構成要素を明記する文書であり、サプライチェーンの脆弱性を特定するための重要なツールとして機能してきた。今回発表されたガイドラインは、このSBOMの概念をAIシステムに適用し、AIモデルやデータセット、実行環境などの詳細情報を体系的に記録・共有することを提言している。

ガイドラインを策定したのは、G7加盟国の政府機関で構成される専門家グループ。米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）も参加しており、AIシステムのAIBOMに関する自主的な最低基準を示した。CISAは声明で、「このガイドラインは包括的なものではなく、義務付けられたものでもないが、G7の専門家間で合意された最低限の要素を示しており、今後AI技術の進展に伴い拡充される」と述べている。

AIBOMに求められる8つの主要要素

ガイドラインでは、AIBOMに含めるべき要素が8つのカテゴリーに分類されている。

• AIシステム自体のSBOM情報：AIシステムのバージョン、ライセンス、保守体制など
• AIシステム全体の概要：システムの目的、機能、利用シナリオなど
• AIモデルの特定情報：モデルの種類、開発元、トレーニング方法など
• モデルのライフサイクル全体におけるデータセット情報：トレーニングデータの出所、品質、前処理方法など
• AIシステムの運用・保守に必要な物理的・仮想的インフラ情報：ハードウェア要件、クラウド環境、ネットワーク構成など
• AIモデル・システムに適用されるサイバーセキュリティ対策：脆弱性管理、暗号化、アクセス制御など
• AIシステムの主要なパフォーマンス指標（KPI）：精度、処理速度、エネルギー効率など

専門家からの評価：基準策定は前進も課題は残る

AIセキュリティ分野の専門家らは、今回のガイドライン策定を高く評価している。Manifest CyberのCEOであるダニエル・バーデンスタイン氏は、「現在、ほぼ全てのソフトウェアにAIが組み込まれつつあり、病院が医療機器を、軍が兵器システムを、自動車メーカーが車載システムを導入する際には、そのAIが信頼できるものかどうかを確認する必要がある。そのためには、AIが何で構成され、どこから来たのか、どのようにトレーニングされたのかを明らかにすることが第一歩だ」と述べた。

バーデンスタイン氏はこれまでCISAやOWASP Foundationと協力し、AIBOMジェネレーターの開発にも携わってきた経験から、「このガイドラインは、AIを信頼するための未来の在り方について、関係者全員が同じ認識を持つための強力で称賛すべき一歩だ」と評価している。

Cybeatsの共同創業者兼CTOであるドミトリー・ライドマン氏も同様に、「このガイドラインは必要とされていた基準を示した点で素晴らしい。80～90%のニーズをカバーしており、これまで基準がなかった状況から、明確なベースラインが設定された」と述べた。その一方で、ライドマン氏は「実装のしやすさに課題がある」と指摘している。

バーデンスタイン氏も実装の難しさに言及しつつ、「今後、より具体的な実務ガイドラインが整備されることで、この基準が広く活用されるようになるだろう」と期待を寄せている。

今後の展望：AIガバナンスの新たな枠組みへ

今回のガイドラインは、AI技術の普及に伴い深刻化するサプライチェーンリスクへの対応策として位置付けられている。専門家らは、今後AIシステムの透明性と信頼性を確保するための国際的な枠組みがさらに整備されていくことを期待している。

一方で、ガイドラインが自主的な基準に留まることから、各国政府や企業がどの程度積極的に導入するかが今後の課題となる。特に、医療や軍事、自動車など高い信頼性が求められる分野では、AIBOMの活用が進む可能性が高いと見られている。

「AIシステムの信頼性を確保するためには、透明性の向上が不可欠だ。今回のガイドラインはそのための重要な第一歩であり、今後さらなる発展が期待される。」
— サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）