- 1 はじめに — D5「AIのセキュリティ・コンプライアンス・統制」とは
- 2 D5 出題範囲と配点(65問・14%)
- 3 AI向けIAM設計(ロール・ポリシー・最小権限)
- 4 データの暗号化とPrivateLink(AI通信の保護)
- 5 共有責任モデル(AI/ML文脈)
- 6 Bedrock Guardrailsによる出力フィルタリング
- 7 Prompt Injection・データ漏洩防止
- 8 Hallucination検出(RAGグラウンディング)
- 9 AWSガバナンスツール(Config/Inspector/Audit Manager/CloudTrail/Trusted Advisor)
- 10 Generative AI Security Scoping Matrix
- 11 データガバナンスとMacie
- 12 CertTrend LMS で400問チェック
はじめに — D5「AIのセキュリティ・コンプライアンス・統制」とは
本記事は「AWS AIF-C01 試験対策」シリーズの Vol5 です。
シリーズ全体の体系とサービスマップは Vol0 ロードマップをご参照ください。
AIF-C01(AWS Certified AI Practitioner)は 65 問構成で、D5「AIのセキュリティ・コンプライアンス・統制(Security, Compliance, and Governance for AI Solutions)」が出題比率 14%(本番換算で約9問・LMS問題バンク換算54問) を占めます。
Foundational レベルのため Bloom L1-L3(知識・理解・適用)が中心ですが、AI 固有のリスク(プロンプトインジェクション・ハルシネーション・データ漏洩)と AWS のガバナンスツールの組み合わせが問われる点で他ドメインより応用色が強いセクションです。
- D5の出題範囲と配点・Foundational試験での出題パターン(§1)
- AI向けIAM設計 — ロール・ポリシー・最小権限の考え方(§2)
- データ暗号化・PrivateLinkによるAI通信保護(§3)
- AI/ML文脈での共有責任モデルの境界線(§4)
- Bedrock Guardrailsによる出力フィルタリング設計(§5)
- Prompt Injection・データ漏洩・Hallucination への対策(§6〜§7)
- Config/CloudTrail/Inspector/Audit Manager/Trusted Advisor — AWSガバナンスツール(§8)
- Generative AI Security Scoping Matrix の読み方(§9)
- Macieによるデータガバナンス(§10)
D5 出題範囲と配点(65問・14%)
AIF-C01 全 65 問のうち D5 は配点14%、本番換算で約 9 問(LMS問題バンク換算54問)に相当します。
公式試験ガイド(2024年8月版)では D5 を 3 つのサブドメインに分けています。
| サブドメイン | テーマ | 試験での出題ポイント |
|---|---|---|
| D5.1 | AI/MLワークロードへのセキュリティ要件の適用 | IAMロール・最小権限・暗号化・PrivateLink |
| D5.2 | 生成AIのセキュリティリスク認識と軽減 | Prompt Injection・データポイズニング・Hallucination |
| D5.3 | AWSガバナンスツールとAIコンプライアンス | Config・CloudTrail・Audit Manager・Macie |
- 「何を使ってAIを守るか(IAM/暗号化/Guardrails)」と「何を使ってAIのリスクを検知するか(Config/CloudTrail/Macie)」の2軸で整理すると体系が見えます
- Bedrock Guardrails と IAM ポリシーは役割が異なります。Guardrails は出力コンテンツのフィルタリング、IAMは誰がAPIを呼べるかのアクセス制御です
- 共有責任モデルは「AWS責任=インフラ・基盤モデルの安全性」「顧客責任=プロンプト・データ・アクセス設計」と割り切って覚えましょう
AI向けIAM設計(ロール・ポリシー・最小権限)
AI ワークロードでは Lambda・ECS・SageMaker・Bedrock など複数サービスが連携するため、IAM ロールの設計が安全性の核心 です。
IAMロールとサービスプリンシパル
SageMaker トレーニングジョブや Bedrock モデル呼び出しは、IAM ロールを通じて S3・KMS・Secrets Manager などにアクセスします。
IAM User のアクセスキーをコードに埋め込むことは厳禁。環境変数へのハードコードも同様です。
# 禁止パターン: ハードコード
client = boto3.client('bedrock-runtime',
aws_access_key_id='AKIA...', # 危険
aws_secret_access_key='...'
)
# 推奨: IAMロール(EC2/Lambda/ECSタスクロール経由で自動取得)
client = boto3.client('bedrock-runtime', region_name='us-east-1')
最小権限の原則(Least Privilege)
AI ワークロード向けの最小権限設計では、3 つのスコープを意識します。
| スコープ | ポリシー設計 |
|---|---|
| Bedrockモデル呼び出し | bedrock:InvokeModel を特定のモデルARNに限定 |
| S3データアクセス | バケット名・プレフィックスでリソース限定 |
| KMS暗号化 | kms:GenerateDataKey + kms:Decrypt を必要なキーのみ許可 |
SageMaker 実行ロールでは AmazonSageMakerFullAccess を安易に付与せず、ジョブ種別(Training / Inference / Pipeline)ごとにロールを分割するのがベストプラクティスです。
SCPとPermission Boundary
マルチアカウント構成では SCP(Service Control Policy)で「特定リージョン外でのBedrock呼び出し禁止」などの上限制御が可能です。
Permission Boundary は開発者に付与する最大権限の天井として機能し、「誰が AI 系サービスを利用できるか」の組織レベルガバナンスに活用します。
データの暗号化とPrivateLink(AI通信の保護)
保存時の暗号化
AI ワークロードが扱うデータ(学習データ・推論ログ・Fine-Tuning データセット)は必ず KMS 管理キー(CMK) で暗号化します。
| データ種別 | 暗号化方法 |
|---|---|
| S3(学習データ・ログ) | SSE-KMS(バケットデフォルト暗号化) |
| SageMaker Feature Store | KMS CMK 指定 |
| Bedrock ナレッジベース(OpenSearch) | KMS CMK 指定 |
| DynamoDB(会話履歴) | KMS CMK 指定 |
AIF-C01 の設問では「Fine-Tuning データを S3 へ保存するとき、機密情報を保護する方法は?」という問いに対し SSE-KMS が正解パターンです。
「S3 managed keys(SSE-S3)と何が違うか」は、キーのローテーション管理・アクセスポリシーをユーザーが制御できるかどうか という点で区別します。
転送時の暗号化とPrivateLink
Bedrock API への通信はデフォルトで HTTPS(TLS 1.2以上)が適用されますが、インターネットを経由させたくない場合は VPC エンドポイント(AWS PrivateLink) を使用します。
[VPC内のアプリ] ─── VPCエンドポイント(PrivateLink) ─── [Bedrock API]
↑ インターネット回線を通過しない
PrivateLink を使うと通信が AWS バックボーン内で完結するため、オンプレミス接続(Direct Connect)との組み合わせでも公衆インターネットを通じた漏洩リスクを排除できます。
共有責任モデル(AI/ML文脈)
AWS クラウド全般の共有責任モデルは「クラウドのセキュリティ(AWS)」と「クラウド内のセキュリティ(顧客)」という分担ですが、AI/ML サービスではさらに詳細な責任境界が存在します。
| 責任区分 | AWS(クラウドのセキュリティ) | 顧客(クラウド内のセキュリティ) |
|---|---|---|
| 基盤モデル(FM) | モデルの安全なホスティング・可用性 | プロンプト設計・Fine-Tuning データの品質 |
| SageMaker基盤 | ML インフラ・ランタイムの保護 | 実行ロール・VPC 設定・ログ有効化 |
| データ | 物理ストレージの暗号化オプション提供 | 暗号化キーの管理・アクセスポリシー設計 |
| コンプライアンス | SOC2/ISO27001 取得・インフラ監査 | 業界規制への適合設計(HIPAA/PCI-DSS等) |
試験での頻出パターンは「基盤モデルの安全性は誰の責任か?」という問いです。
Bedrock で使用する基盤モデル(Anthropic Claude / Amazon Titan 等)のインフラ側の安全性は AWS の責任 ですが、そのモデルに対して有害なプロンプトを送ったり個人データを入力したりする責任は顧客側です。
Bedrock Guardrailsによる出力フィルタリング
Bedrock Guardrails は生成 AI の出力に対して コンテンツフィルタリング・PII 検出・トピック制限 をかける AWS マネージドのセーフティレイヤーです。
主要フィルター機能
| 機能 | 用途 |
|---|---|
| コンテンツフィルター | 憎悪・暴力・性的表現・誤情報の出力を遮断 |
| 拒否トピック | 特定業務に不要なトピックをブロック(例:競合他社の製品推奨) |
| PII レダクション | 氏名・メールアドレス・クレジットカード番号をマスキング |
| グラウンディングチェック | RAG 参照元と回答の一致度を評価してハルシネーションを抑制 |
| プロンプトアタック防止 | ジェイルブレイク・インジェクションパターンの検出 |
Guardrails は API リクエスト時にポリシーを適用するため、アプリコードに追加の検閲ロジックを書かずに一元管理できます。
AIF-C01 の設問では「顧客データを含むチャットボットで PII 漏洩を防ぐには?」に対し Bedrock Guardrails の PII 検出が正解です。
GuardrailsとIAMの役割分担
- IAM: 「誰が Bedrock API を呼べるか」(アクセス制御)
- Guardrails: 「Bedrock が何を返してよいか」(出力制御)
この 2 層は独立しており、両方を設計することで縦深防御(Defense in Depth)を実現します。
Prompt Injection・データ漏洩防止
Prompt Injectionとは
プロンプトインジェクションは、悪意あるユーザーが入力テキストに「システムプロンプトを無視して…」などの指示を埋め込み、AI の動作を乗っ取る攻撃です。
| 攻撃種別 | 内容 |
|---|---|
| Direct Injection | ユーザーが直接悪意ある指示を入力 |
| Indirect Injection | RAG で読み込む外部ドキュメントに攻撃指示を埋め込む |
| Jailbreaking | システムプロンプトのロール制約を回避する誘導 |
対策の組み合わせ
- Bedrock Guardrails でインジェクションパターンを検出・遮断
- 入力バリデーション — ユーザー入力とシステムプロンプトを明確に分離する設計
- 最小権限のシステムプロンプト — AIに余分なツール・権限を与えない
- ログ監視 — CloudWatch Logs で異常入力パターンをアラート
データ漏洩防止
Fine-Tuning データや RAG ナレッジベースには機密データが含まれることもあります。
Macie を使って S3 バケット内の PII を検出し、Guardrails の PII レダクションと組み合わせることで出力経路からの漏洩も防止します。
Hallucination検出(RAGグラウンディング)
ハルシネーション(AI が事実でない情報を自信満々に出力する現象)は AI セキュリティの重要課題です。
医療・法律・金融分野では誤った回答が直接的な損害につながるため、対策が必須です。
RAGによるグラウンディング
RAG(Retrieval-Augmented Generation)は回答を生成する前に社内 DB・ドキュメントを検索し、根拠となる一次情報をコンテキストに付加 する手法です。
[ユーザー質問] → [ベクトル検索(Knowledgebase)] → [参照ドキュメント取得]
↓
[FM への入力] = 参照ドキュメント + ユーザー質問
↓
[回答生成] ← 参照情報に基づく(ハルシネーション抑制)
Bedrock ナレッジベースは RAG を フルマネージドで提供し、OpenSearch Serverless または Aurora をベクターストアとして使用します。
Guardrailsのグラウンディングチェック
Bedrock Guardrails の グラウンディングチェック(Grounding Check) は、生成回答が参照ドキュメントに基づいているかを自動スコアリングします。
スコアが閾値を下回る場合は回答を差し替えるか拒否することで、根拠のない出力を遮断します。
AIF-C01 の設問では「RAG で実装したチャットボットで事実に基づかない回答を自動検出するには?」に対し Guardrails のグラウンディングチェック が正解です。
AWSガバナンスツール(Config/Inspector/Audit Manager/CloudTrail/Trusted Advisor)
AI システムのコンプライアンス維持には、複数のガバナンスツールを組み合わせます。
| ツール | 役割 | AIへの適用例 |
|---|---|---|
| AWS Config | リソース設定変更の記録・準拠チェック | SageMaker ノートブックの暗号化ルール・VPC 設定確認 |
| AWS CloudTrail | API 呼び出しログ(誰が・いつ・何を) | Bedrock InvokeModel の呼び出し監査 |
| AWS Audit Manager | コンプライアンスフレームワークのエビデンス収集自動化 | HIPAA/SOC2 準拠の証跡収集 |
| Amazon Inspector | EC2・コンテナの脆弱性スキャン | ML 推論用コンテナイメージのCVEスキャン |
| AWS Trusted Advisor | コスト・セキュリティ・パフォーマンスのベストプラクティスチェック | 未使用の SageMaker エンドポイント検出 |
CloudTrailとAI監査
Bedrock では モデル呼び出しログ(Model Invocation Logging) を有効化することで、プロンプト・応答・入力トークン数を CloudWatch Logs または S3 に保存できます。
これにより「いつ・誰が・どんなプロンプトを送ったか」の完全な監査証跡が残ります。
CloudTrail: 管理イベント(誰がBedrockコンソールを操作したか)
Bedrock Invocation Logging: データイベント(どんなプロンプトが送られたか)
両者を組み合わせることで、セキュリティインシデント発生時の遡及調査が可能になります。
AWS Config と SageMaker
Config の カスタムルール を Lambda で実装することで、「SageMaker ノートブックインスタンスのルートアクセス禁止」「暗号化されていない SageMaker エンドポイントの検出」などの ML 固有コンプライアンスチェックが自動化できます。
Generative AI Security Scoping Matrix
AWS が公表している「Generative AI Security Scoping Matrix」は、生成 AI ソリューションを 5 つのスコープ に分類し、それぞれの責任範囲を整理したフレームワークです。
| スコープ | 概要 | 顧客責任の重さ |
|---|---|---|
| Scope 1 | 既製 AI サービスの利用(Amazon Rekognition/Textract 等) | 低い — 主に設定・アクセス管理 |
| Scope 2 | サードパーティFMをSaaSとして利用 | 低〜中 — データ共有ポリシー確認必要 |
| Scope 3 | AWS ホスト済みFMの利用(Bedrock等) | 中 — プロンプト・Guardrails・アクセス設計 |
| Scope 4 | Fine-TuningでカスタマイズしたFMの利用 | 高 — 学習データ品質・Fine-TuningパイプラインのIAM |
| Scope 5 | 自前でFMを学習・ホスト | 非常に高い — モデル全体・インフラ・セキュリティ全てを顧客が責任 |
AIF-C01 の試験では「スコープ別に顧客が追加で実装すべきセキュリティ対策は何か」を問う設問が出ます。
スコープが上がるほど 顧客のコントロールできる範囲は広がり、責任も増す という原則を覚えておきましょう。
データガバナンスとMacie
Amazon Macie は機械学習を使って S3 バケット内の PII(個人識別情報)を自動検出するサービスです。
AI 学習データセットや RAG ドキュメントに PII が混在していると、モデルが PII をそのまま回答に含めるリスクがあります。
Macieの検出対象
| 検出カテゴリ | 例 |
|---|---|
| 名前・住所・メールアドレス | 氏名・郵便番号・連絡先 |
| 金融情報 | クレジットカード番号・銀行口座 |
| 医療情報 | PHI(Protected Health Information) |
| 認証情報 | AWS アクセスキー・秘密鍵パターン |
AIパイプラインへの統合
- データ取り込み時 — S3 への学習データアップロード後に Macie スキャンを自動実行(EventBridge トリガー)
- 検出時 — PII 含有ファイルを隔離バケットへ移動(Lambda + S3 ライフサイクル)
- ログ — Macie 検出結果を Security Hub へ集約し、GuardDuty と相関分析
AIF-C01 の設問では「Fine-Tuning データに含まれるPIIを検出してコンプライアンス証跡を残すには?」に対し Macie + Audit Manager の組み合わせ が正解パターンです。
CertTrend LMS で400問チェック
D5「AIのセキュリティ・コンプライアンス・統制」を含む AIF-C01 全範囲の問題演習は CertTrend LMS で提供しています。
Guardrails の設定問題・共有責任モデルの境界問題・Macie と Bedrock の組み合わせ問題など、試験頻出のシナリオ形式 で繰り返し演習することで知識の定着を確認できます。
実務で生成 AI システムを構築する際は、試験で学んだ IAM 設計・Guardrails・Macie の知識が直接役立ちます。
以下の本番運用記事で、設計から実装まで深掘りしてください。