専門家らは、生成AI(GenAI)の導入が拡大し続ける中で、企業にとってセキュリティやデータプライバシーのコンプライアンス上の課題が増大していることから、AIサプライチェーンの透明性向上を求めています。
注目を集めている提案の一つが「AI部品表(AIBOM)」であり、これはAIシステムの構成要素、データソース、トレーニング手法を文書化することでリスクを軽減し、説明責任を高めるためのフレームワークです。
この概念は、ソフトウェア部品表(SBOM)に基づいており、SBOMはソフトウェアアプリケーションで使用されているすべてのコンポーネント、ライブラリ、依存関係をリスト化した構造化された機械可読のインベントリで、透明性とセキュリティを高めるものです。
課題が残る中で進むSBOMの導入
8月5日にラスベガスで開催されたBlack Hatの事前イベント「Software Supply Chain Security Summit」(主催:Lineaje)にて、ソフトウェアサプライチェーンセキュリティ企業のCISOであるNick Mistry氏は、セキュリティチームによるSBOM導入の拡大がソフトウェアの透明性を高めていると強調しました。
彼は、この透明性が、組織が依存するオープンソースおよび独自ソフトウェアの両方をより安全にするための重要な第一歩であると主張しました。
Enterprise Strategy Group(ESG)の調査によると、現在約22%の組織がSBOMを使用しており、今後導入を予定している組織は4%となっています。
この数字は比較的低いように見えるかもしれませんが、ESGのサイバーセキュリティ担当ディレクターであるMelinda Marks氏は、Linux Foundationが導入したSPDXやOWASP Foundationが提案したCycloneDXなど、共通のSBOMフォーマットの採用が進んでいることもあり、導入率は増加していると述べました。
「しかし、回答者の79%は依然としてSBOMの生成が難しいと感じています。というのも、SBOMの生成にはソフトウェアサプライチェーンセキュリティソリューション、SCA、CSP機能、アプリケーションセキュリティソリューション、専用SBOMツール、さらには手作業など、さまざまなツールが利用できるためです」と彼女はサミットで述べました。
AI BOMはすでに国際的な議題に
AI BOMの概念は、すでに世界の最高レベルのリーダーたちの机上に届いていると、SBOMの先駆者であり最も熱心な提唱者の一人であるAllan Friedman氏は述べています。
7月に米国サイバーセキュリティ・インフラストラクチャ庁(CISA)の上級顧問兼ストラテジストを退任したFriedman氏は、G7サイバーセキュリティ作業部会が2025年後半の第2回会合までに、AIBOMの作成を含むAIセキュリティに焦点を当てた共同ビジョンの策定に合意したと説明しました。
「G7は、世界で最も裕福な7カ国の外交官で構成されています。私は国務省で働く友人たちを愛していますが、重要インフラのセキュリティや国家安全保障、国家による攻撃への防御の将来を彼らに頼るつもりはありません」とFriedman氏は述べました。
「ですので、これは私たちサイバーセキュリティ専門家が、どのように構築し、どのように協力して構築するかを、より明確にしていく必要がある分野です」と彼は付け加えました。
全体として、ソフトウェアが透明性によって恩恵を受けてきたように、AIも「AIはソフトウェアである」ため恩恵を受けるだろうと彼は同意しています。
「私たちの課題は、透明性がそれを見る人にとって意味的に関連性がある必要があるということです。AI BOMについて私が懸念しているのは、それが何であるかを理解する前に実装してしまうことです」と彼は付け加えました。
AI BOM標準化への取り組み
複数のサイバーセキュリティ組織がAI BOMの標準化に向けて動き始めています。
BugcrowdのグローバルTISO兼サイバーセキュリティ上級ディレクターであるSajeeb Lohani氏のように、AIソフトウェアの依存関係は独立したAI BOMではなくSBOMに含めるべきだと考える専門家もいます。
例えばLinux Foundationは、最新のSBOMフォーマットであるSPDX 3.0を用いてAI BOMを実装する方法を解説したレポートを公開しています。
同様に、7月にはAllan Friedman氏の前職であるCISAがAI SBOMワーキンググループを設立し、GitHub上でコミュニティ主導のリソースを構築し、組織がAIシステムにSBOMの実践を適用できるよう支援しています。
ワーキンググループの創設者の一人であるHelen Oakley氏は、2024年9月に米国国立標準技術研究所(NIST)向けに、「AIエコシステムのセキュリティ確保:ソフトウェアサプライチェーンリスク軽減におけるAI部品表(AIBOM)の重要な役割」と題した論文も執筆しています。
他にも、OWASP FoundationのようにAI BOMの最適な標準化方法を模索している団体もあり、同団体は独自のAI BOMワーキンググループを設立し、2025年10月に「AI BOM運用ガイドおよびベストプラクティスガイド目標」をリリースする予定です。これは、AIBOMの運用化と安全で信頼性の高い生成AIシステムのためのベストプラクティスを詳細にまとめた包括的なガイドとなる予定です。
翻訳元: https://www.infosecurity-magazine.com/news/experts-urge-greater-ai-supply/