AI-BOM（AI Bill of Materials）とは ― モデルの部品表を持つ意味

AI-BOM（AI Bill of Materials）とは ― モデルの部品表を持つ意味

生成AIが業務システムに組み込まれるにつれ、「そのモデルは何でできているのか」を説明できない企業が急増している。学習データ・基盤モデル・依存ライブラリ・推論エンジン・ファインチューニング履歴 ― これらが一つでも欠けるとサプライチェーンの脆弱性は不可視化する。SBOM（Software Bill of Materials）が従来ソフトウェアの部品表として定着したように、AIシステムには「AI-BOM（AI Bill of Materials）」が要求され始めた。本稿はCISO・情シス責任者を対象に、CycloneDX ML-BOMの仕様、EU AI ActとEO 14110の規制動向、そして実装手法までを体系的に解説する^[1][2]。

SBOMからAI-BOMへ ― 部品表概念の拡張

SBOMはLog4Shell（CVE-2021-44228）以降、米EO 14028で連邦調達要件となり、SPDX（ISO/IEC 5962:2021）、CycloneDX、SWID（ISO/IEC 19770-2）の3標準が事実上のデファクトとなった^[3][4]。これらは「ソースコード／バイナリ／ライブラリ」を記述するが、AIシステムには適用しづらい。AIモデルの実体は学習データと重みであり、ライブラリ依存だけでは「何が学習されたか」を表現できないからだ。

AI-BOMはSBOMの拡張概念で、（1）モデル本体、（2）学習データセット、（3）ハイパーパラメータ／学習履歴、（4）評価指標と既知バイアス、（5）推論時依存（ランタイム・ベクトルDB・プロンプトテンプレート）― この5層を統合記述する^[5]。MITRE ATLASが整理した敵対的脅威（データポイズニング、モデル抽出、プロンプトインジェクション）への対処は、この部品表の存在を前提とする^[6]。

CycloneDX ML-BOMの構造

OWASP CycloneDXは2023年6月公開のv1.5で「Machine Learning Bill of Materials（ML-BOM）」を正式サポートし、2024年公開のv1.6でさらに拡張された^[7]。中核はcomponents配列内にtype: "machine-learning-model"を持つコンポーネントを定義し、modelCardセクションで以下を構造化する点にある。

• modelParameters: アプローチ（教師あり／強化学習等）、タスク種別、アーキテクチャファミリ（Transformer等）、学習データセット参照、入出力フォーマット
• quantitativeAnalysis: 性能指標（精度・F1・BLEU等）、評価データセット、グラフィック資料
• considerations: 想定ユースケース、技術的制約、倫理的配慮、公平性評価、安全性リスク、環境影響

さらにtype: "data"のコンポーネントを別途宣言することで、学習データの出自・ライセンス・ガバナンス情報（収集方法、同意取得、保管場所）を独立して追跡できる^[7]。これによりGoogleが提唱したModel Cards^[8]とMicrosoft主導のDatasheets for Datasets^[9]の概念がBOMフォーマットに統合される。SPDX側でも2024年にSPDX 3.0でAI Profileを追加し、CycloneDXと並ぶもう一つの選択肢となっている^[10]。

AI-BOMに含めるべき要素一覧

規制・標準動向 ― 義務化のタイムライン

EU AI Act（規則2024/1689）は2024年8月発効、Article 11と Annex IVで「ハイリスクAIシステム」の技術文書化を義務化し、提供者は学習データの種類、データガバナンス、設計選択、テスト手順、監視計画を文書化しなければならない^[11]。Article 53は汎用AI（GPAI）モデル提供者にも学習データの十分に詳細な要約の公開を義務付けており、これは事実上のAI-BOM要請である。違反時の制裁金は最大3,500万ユーロまたは全世界売上高の7%。2026年8月から本格適用される^[11]。

米国EO 14110（2023年10月）は2025年1月にトランプ政権で撤回されたが、その間にNISTが策定したNIST AI RMF 1.0とGenerative AI Profile（NIST AI 600-1, 2024年7月）^[12]、およびSP 800-218A（Secure Software Development Practices for Generative AI and Dual-Use Foundation Models, 2024年）は連邦調達ガイドラインとして残存する^[13]。SP 800-218AはSSDFを拡張し、訓練データ・モデル・プロンプトに対する整合性検証と来歴管理を要求する。

ISO/IEC 5338:2023（AI System Life Cycle Processes）は、ISO/IEC/IEEE 12207をAI向けに拡張し、データ取得・モデル訓練・継続学習・廃止までのライフサイクル文書化プロセスを定義する^[14]。CISA「Joint Guidance on Deploying AI Systems Securely」（2024年4月、NSA・FBI・英NCSC等共同）はAI-BOMを「最低限のサプライチェーン管理策」として明記した^[15]。

実装手法とツール

AI-BOMの生成は手作業では破綻する。実装は3レイヤーで自動化する。第一にManifest CyberはAI-BOM生成の専業ベンダで、Hugging FaceやMLflowからモデルメタデータを引き出しCycloneDX ML-BOM形式で出力する^[16]。第二にAnchoreのSyft／Grypeは、モデルファイル（.safetensors、.gguf等）を含むコンテナイメージからSBOMを生成し、AI関連CVEを照合する^[17]。第三にJFrog XrayはArtifactoryに保管されたモデル成果物に対し、ライセンス・脆弱性・悪意あるモデル（Pickleバックドア等）スキャンを行いML-BOMを更新する^[18]。

運用設計上は、（1）モデル登録時に必須項目をCI/CDで検証、（2）BOMをモデルレジストリと別ストレージで改竄防止保管（in-toto attestationやSigstoreで署名）、（3）四半期ごとに上流モデルの更新差分を再生成、の3点を最低限とする^[19]。

CISO・情シス向けチェックリスト5項目

1. 社内利用中の生成AI／機械学習モデルを棚卸しし、モデル名・基盤モデル・学習データ提供元・ライセンスをスプレッドシートで一元化したか
2. 外部ベンダ（OpenAI、Anthropic、AWS Bedrock等）から提供されるモデルについて、Model Card・利用規約・データ取扱いポリシーをBOMの参照資産として保管しているか
3. CycloneDX ML-BOMまたはSPDX 3.0 AI Profileのいずれかを社内標準フォーマットとして決定し、ツール導入計画（Manifest／Anchore／JFrog等）を策定したか
4. EU AI ActのAnnex IV相当項目（学習データ要約、評価指標、リスク管理措置）について、提供者・展開者いずれの立場でも提示できる文書整備が済んでいるか
5. AI-BOMの更新トリガー（モデル再学習、上流モデルバージョンアップ、データセット差し替え）を定義し、CI/CDパイプラインに組み込み済みか

打ち手 ― 90日で着手する3ステップ

第一段階（30日）は棚卸し。情シスとデータサイエンス部門が共同で、社内利用中の全AI/MLモデル（社内開発・SaaS・組込み）の一覧を作る。MicrosoftのCopilot系、社内RAG、Pythonノートブックに残るモデルまで含める。第二段階（60日）は標準選定とパイロット。CycloneDX ML-BOM v1.6を採用し、最重要モデル3件で試行的にBOMを生成・レビューする。Manifest Cyberの無償ティアやAnchore OSS版で十分検証可能だ。第三段階（90日）は運用化。モデル登録ワークフローを定義し、AI-BOMが揃わないモデルは本番投入禁止とする。年次のサプライヤ監査項目に「AI-BOM提供可否」を追加する^[20]。

「AI-BOMは、AIシステムにおける説明可能性の基礎インフラである。何が含まれているかを知らないものを、規制当局・顧客・監査人に対して安全だと主張することはできない」 ― CISA「Securing AI」ガイダンス（2024年）^[15]

結論 ― 3つの要点

1. AI-BOMは規制対応の前提条件である。EU AI Actは2026年に本格適用され、Annex IVの技術文書化義務はAI-BOMなしには現実的に履行不能。
2. CycloneDX ML-BOM v1.6が最有力標準。SPDX 3.0 AI Profileも併存するが、ツールエコシステム（Manifest／Anchore／JFrog）の成熟度ではCycloneDXが先行している。
3. 運用化はCI/CD組み込みが鍵。手動メンテのBOMは半年で陳腐化する。モデルレジストリと連動し、未提出モデルを本番ブロックする統制が不可欠。

経営者視点 ― なぜ今コストをかけるのか

経営者視点での投資判断を整理する。第一に訴訟リスクの逓減。著作物無断学習を理由とする集団訴訟（NYT対OpenAI等）では、自社が学習データの出自を説明できなければ和解条件を一方的に飲まされる。AI-BOMは「善管注意義務」の証拠資料となる。第二に調達競争力。米連邦・EU各国・大企業のRFPには既に「AI-BOM提出」が含まれ始め、未対応企業は入札段階で脱落する。第三にM&Aデューデリジェンス。AI企業買収時、買い手はAI-BOMの有無で技術負債と法務リスクを評価し、整備済みなら売却プレミアムに直結する。第四に保険引受。サイバー保険のAI特約は被保険者のAI資産インベントリ保有を引受条件とする方向にある^[20]。AI-BOMを「コスト」ではなく「ライセンス・トゥ・オペレート」と位置付け直すことが、2026年以降のAI事業継続の分岐点となる。

参考文献

1. OWASP CycloneDX, “ML-BOM Specification”, v1.6, 2024.
2. EU, Regulation (EU) 2024/1689 (AI Act), OJ, 12 July 2024.
3. ISO/IEC 5962:2021, “SPDX Specification V2.2.1”.
4. ISO/IEC 19770-2:2015, “Software identification tag”.
5. CISA, “SBOM and AI”, 2024.
6. MITRE ATLAS, https://atlas.mitre.org/, accessed 2025.
7. CycloneDX Specification v1.6, OWASP, June 2024.
8. Mitchell, M. et al., “Model Cards for Model Reporting”, FAT* ’19, 2019.
9. Gebru, T. et al., “Datasheets for Datasets”, CACM, Vol. 64, No. 12, 2021.
10. Linux Foundation, “SPDX 3.0 — AI Profile”, 2024.
11. EU AI Act, Article 11 and Annex IV, Regulation (EU) 2024/1689.
12. NIST AI 600-1, “AI RMF: Generative AI Profile”, July 2024.
13. NIST SP 800-218A, “Secure SDLC for Generative AI”, July 2024.
14. ISO/IEC 5338:2023, “AI system life cycle processes”.
15. CISA/NSA/FBI 他, “Deploying AI Systems Securely”, April 2024.
16. Manifest Cyber, AI-BOM Platform, https://www.manifestcyber.com/, 2025.
17. Anchore, “Syft and Grype”, https://anchore.com/opensource/, 2025.
18. JFrog, “Xray for ML Model Security”, 2024.
19. in-toto / Sigstore, “Supply Chain Attestations”, CNCF, 2024.
20. OECD, “AI, Data Governance and Privacy”, AI Papers No. 22, 2024.
21. NIST AI RMF 1.0, NIST, January 2023.
22. OWASP, “Top 10 for LLM Applications”, v1.1, 2023.