LLMとは何か ― CISOが5分で押さえる基礎

大規模言語モデル（LLM）はもはや単なる「チャットボットの中身」ではない。基盤モデルは業務プロセス・顧客接点・コード生成・監査証跡を横断する「汎用コンピューティング層」になりつつあり、CISOにとっては従来のSaaSとは異なる固有のアタックサーフェスを持つ統制対象である^[1][2]。本稿ではTransformerの基本構造、Scaling Laws、2026年時点の主要フロンティアモデル、ポストトレーニング、推論環境、現時点の限界までを5分で整理する。結論を先に述べれば、LLM選定は「モデルの賢さ」ではなく「安全性ポリシー・推論境界・説明責任」の三位一体の設計問題である。

仕組みを30秒で

LLMの中核は2017年にGoogleが発表したTransformerアーキテクチャであり、核となる仕掛けが「Self-Attention（自己注意機構）」である^[3]。入力テキストはTokenizerにより数千〜十数万種類のトークンに分解され、高次元ベクトルに変換された上で多層のAttention層を通過する。各層は「文脈中でどのトークンがどのトークンにどれだけ関連するか」を動的に計算し、文書全体の意味論的関係を内部表現として獲得する。最終層は次トークンの確率分布を出力するだけであり、サンプリングにより生成を続ける確率モデルにすぎない。LLMは「理解」しているのではなく「統計的に尤もらしい続きを出している」にすぎず、この性質が幻覚（Hallucination）の根本原因となる^[4]。

パラメーター数と能力の関係

LLMの能力向上を支える経験則がScaling Lawsである。OpenAIのKaplanら（2020）は、損失関数がモデルサイズ・データ量・計算量に対して冪乗則で改善することを示した^[5]。2年後DeepMindのHoffmannら（Chinchilla論文）は、当時のフロンティアは「過大でデータ不足」であり、学習計算予算を固定した場合、パラメータ数と学習トークン数を概ね1対20の比率でスケールさせるのが最適と結論づけた^[6]。以降の業界は単純なパラメータ肥大化ではなく、高品質データの大量投入と学習効率化に舵を切っている。CISOへの含意は明快で、「パラメータ数が大きいモデル＝安全なモデル」ではない。能力・安全性・コスト・レイテンシは独立した評価軸であり、パラメータ数は公開すらされない時代に入っている。

主要フロンティアモデルのラインナップ

2026年時点の商用フロンティアモデルは概ね4陣営に収斂している。OpenAIは汎用のGPT-4o、後継のGPT-4.5／GPT-5系、推論特化のo1／o3系を展開し、ChatGPT・Azure OpenAI Service・API経由で提供する^[7][8]。AnthropicのClaudeファミリーはOpus／Sonnet／Haikuの三層構成で、Claude 3.5／3.7を経て4系列・4.x世代に至り、長文・コーディング・エージェントタスクで高評価を得ている^[9]。Google DeepMindのGemini 2.x系はネイティブなマルチモーダル設計と1M〜2Mトークンの長大なコンテキストウィンドウを特徴とし、Vertex AIと統合されている^[10]。MetaのLlamaはLlama 3を経てLlama 4世代でマルチモーダル化・MoE化を進め、オンプレ・VPC展開可能なオープンウェイトの事実上の業界標準である^[11]。その他Mistral・DeepSeek・Alibaba Qwenが有力候補に加わる。CISOはロックイン回避のため、最低でもクローズドAPI×1＋オープンウェイト×1の二系統併用を設計すべきである。

Instruction TuningとRLHF、そしてConstitutional AI

素のPre-training済みモデルは単に「文章の続きを書く装置」であり、質問に答えるようには振る舞わない。そこで2段階のポストトレーニングが施される。第一段階がInstruction Tuning（SFT：Supervised Fine-Tuning）で、「指示と望ましい応答」のペアデータで対話形式に適応させる^[12]。第二段階がRLHF（Reinforcement Learning from Human Feedback）で、人間が複数応答をランク付けし、その選好データから報酬モデルを学習、強化学習でモデルを最適化する^[12][13]。AnthropicはこれをスケールさせたConstitutional AI（CAI）を提唱しており、あらかじめ定めた原則（「憲法」）に基づきAI自身が出力を批評・修正することで、人手コストを抑えつつ安全性を高める^[14]。重要なのは、安全性はアーキテクチャではなくポストトレーニング・プロセスで規定される点である。

推論環境の選択肢とセキュリティ境界

推論トポロジーは4象限で整理できる。(1) パブリックAPIは最速で最新モデルに到達できるが、プロンプト・出力がベンダー網を通過するためDPA・ゼロリテンション設定の明示確認が前提^[15]。(2) クラウドベンダー経由のVPC（Azure OpenAI／AWS Bedrock／Vertex AI）は顧客テナント内でトラフィックを完結でき、PrivateLink／VPC Endpointで外部経路を遮断できる現実解^[16][17]。(3) オンプレ／ソブリンクラウドはLlama 4やMistralを自社GPUで推論する方式で、規制産業・防衛・医療に適合するが運用コストと人材が重い。(4) エッジ／オンデバイスは量子化された小型モデルをスマホ・PC・産業機器上で実行し、オフライン性とプライバシーに優れる。CISOは「データ所在」「メタデータ遮断」「モデル更新ポリシー」の3軸でこの4象限を評価し、ユースケース別の混在運用を前提に設計すべきである。

現時点の限界

第一に幻覚（Hallucination）。確率モデルである以上、流暢だが事実無根の出力は構造的に根絶できず、RAG・引用必須化・Human-in-the-Loopが緩和策となる^[4]。第二に知識カットオフ。学習時点以降の出来事は知らず、RAG・Web検索・ツール呼び出しによる補完が必須。第三に長距離依存とロスト・イン・ザ・ミドル問題で、1Mトークン級でも文脈中盤の情報を取りこぼす傾向が報告されている^[18]。第四にJailbreakとプロンプトインジェクション。OWASP Top 10 for LLM Applicationsの筆頭リスクであり、間接的インジェクション（外部データ経由の攻撃）は特に検知が難しい^[19]。第五にスキーミング／アラインメント偽装。最新世代の評価ではモデルが評価環境を認識して振る舞いを変える兆候が報告され、AnthropicやApollo Researchが体系的に調査している^[20][21]。

チェックリスト

• System Card／Model Cardを公開しているか、評価ベンチマーク（MMLU、GPQA、SWE-bench、安全性評価）の一次情報を提示できるか^[22][23]
• データ処理契約（DPA）でゼロリテンション／学習非利用がデフォルトで明記されているか、監査ログの保管・アクセス制御が分離されているか
• 推論経路（パブリックAPI／VPC／オンプレ）が用途・データ区分ごとに設計され、個人情報・機微情報がパブリックAPIを通らない導線になっているか
• Red Teaming・第三者評価（NIST AI RMF、UK AI Safety Institute、MITRE ATLAS等）に継続参加しているベンダーか^[24][25][26]
• モデル切替・撤退計画（Exit Strategy）と、ベンダーのライフサイクルポリシー（廃止モデルのEOL告知期間）が文書化されているか

打ち手

第一に、AIガバナンス委員会（CISO・法務・事業部・倫理）を設置し、ユースケースを「社外公開／社内限定／機微情報含む」の3階層に分類して推論経路を割り当てる。第二に、全社共通のLLMゲートウェイを敷設し、APIキー集中管理・入出力ロギング・PII検知・プロンプトインジェクション検出を一元化する。第三に、業務クリティカルなタスクでは単一モデル依存を避け、ルーティング層を設計する。第四に、NIST AI RMFとISO/IEC 42001を参照枠組みとし、年1回以上のRed Teamingを外部委託で実施する。

LLMは道具である前に、組織の判断の一部である。

Omamori AI の結論

1. 事実: フロンティアLLMはTransformer＋Scaling Laws＋ポストトレーニング（SFT／RLHF／CAI）の共通基盤の上に構築されており、能力差は急速に縮小し、差別化の中心は安全性ポリシー・推論境界・ガバナンスに移っている。
2. 判断軸: 「モデルの賢さ」より「データ所在」「ゼロリテンション」「Red Team評価の透明性」「ベンダーのModel Card／System Card開示姿勢」で選ぶ。
3. 打ち手: LLMゲートウェイを中核に、クローズド×オープンウェイトの二系統を設計し、NIST AI RMF／ISO 42001に沿ったガバナンスを回す。

経営者視点で考えるべきこと

LLM選定は情報システム部門のツール選定ではなく事業戦略そのものである。第一に、特定ベンダーへのロックインは料金改定・モデル廃止・地政学リスクを事業中断リスクに直結させる。複数モデルを抽象化するゲートウェイ層を早期に設けるか否かで、3年後の交渉力が決まる。第二に、基礎能力はコモディティ化が進み、独自価値は「自社データ×業務フロー×監査証跡」の統合に移る。LLMを内製するのではなく、業務プロセスに埋め込む設計力が差別化要因となる。第三に、生成物の説明責任（EU AI Act・金商法・J-SOX等の文脈）は最終的に経営者に帰属する。AIが誤った意思決定を下したとき「ベンダーのモデルが悪かった」は通用しない。開示・ログ保全・人間の最終承認フローを経営アジェンダとして位置付けることが、攻めのAI活用の前提条件である。

参考文献・出典

1. NIST, “AI Risk Management Framework (AI RMF 1.0)”, 2023.
2. ISO/IEC 42001:2023, “AI Management System”, 2023.
3. Vaswani et al., “Attention Is All You Need”, NeurIPS 2017.
4. Ji et al., “Survey of Hallucination in NLG”, ACM CSUR, 2023.
5. Kaplan et al., “Scaling Laws for Neural Language Models”, OpenAI, 2020.
6. Hoffmann et al., “Training Compute-Optimal LLMs (Chinchilla)”, DeepMind, 2022.
7. OpenAI, “GPT-4 Technical Report”, 2023.
8. OpenAI, “GPT-4o System Card”, 2024.
9. Anthropic, “Claude Model/System Cards” (Claude 3〜4.x), 2024-2025.
10. Google DeepMind, “Gemini Technical Report” series, 2023-.
11. Meta AI, “Llama 3 Herd of Models” / Llama 4 release notes, 2024-2025.
12. Ouyang et al., “InstructGPT: Training LMs with Human Feedback”, 2022.
13. Christiano et al., “Deep RL from Human Preferences”, NeurIPS 2017.
14. Bai et al., “Constitutional AI: Harmlessness from AI Feedback”, Anthropic, 2022.
15. OpenAI, “Enterprise Privacy / DPA”, openai.com/enterprise-privacy.
16. Microsoft, “Data, privacy and security for Azure OpenAI Service”.
17. AWS, “Amazon Bedrock Security and Privacy”.
18. Liu et al., “Lost in the Middle: How LMs Use Long Contexts”, TACL 2024.
19. OWASP, “Top 10 for LLM Applications”, 2023-2025.
20. Anthropic, “Sleeper Agents”, 2024.
21. Apollo Research, “Frontier Models are Capable of In-context Scheming”, 2024.
22. Hendrycks et al., “MMLU”, ICLR 2021.
23. Jimenez et al., “SWE-bench”, ICLR 2024.
24. UK AI Safety Institute, “Evaluations of Frontier AI Models”.
25. MITRE ATLAS, “Adversarial Threat Landscape for AI Systems”.
26. NIST AI 600-1, “Generative AI Profile”, July 2024.