AIシステムの構成要素を可視化する「AI BOM(AI Bill of Materials)」が、サプライチェーンセキュリティの新たな標準として急速に台頭している。従来のSBOM(Software Bill of Materials)がソフトウェアの依存関係を追跡してきたのに対し、AI BOMはモデル重み、学習データの来歴、エンベディング、ファインチューニング履歴、オーケストレーション層まで網羅する。CycloneDX 1.6のML-BOM対応やSPDX 3.0のAIプロファイル策定を背景に、AIサプライチェーン攻撃のリスクと防御戦略を解説する。

なぜSBOMだけでは不十分なのか ── AI固有のサプライチェーンリスク

ソフトウェアサプライチェーンの可視化手段として、SBOMはすでに広く普及している。米国では2021年5月の大統領令(EO 14028)以降、連邦政府調達においてSBOMの提供が事実上の必須要件となった。しかし、AIシステムにはSBOMではカバーできない固有の構成要素が存在する。

まずモデル重み(weights)である。学習済みモデルのパラメータはバイナリファイルとして配布されるが、従来のSBOMはこれを「ソフトウェアコンポーネント」として扱う仕組みを持たない。次に学習データの来歴(data provenance)がある。モデルの振る舞いを決定づける学習データセットの構成・出典・ライセンス情報は、コードの依存関係とは根本的に異なる管理が必要である。さらにエンベディングとベクトルストアファインチューニング履歴、そしてオーケストレーション層(LangChainやCrewAIなどのエージェントフレームワーク)も追跡対象となる。

Protect AIが40万件以上のHugging Faceモデルをスキャンした調査では、3,300件以上のモデルに悪意あるコード実行能力が確認されている。Mitiga.ioの分析では、1万件のオープンソースMLプロジェクトのうち70%がGitHub Actionsワークフローに重大または高リスクの脆弱性を抱えていた。AIサプライチェーンの攻撃対象面は、従来のソフトウェアとは比較にならないほど広い。

CycloneDX 1.6 ML-BOMとSPDX 3.0 AIプロファイル ── 標準仕様の現在地

AI BOMの標準化は、2つの主要なBOM規格で並行して進んでいる。

CycloneDX 1.6は、OWASPが管理するBOM標準の最新バージョンとして2024年4月にリリースされた。このバージョンでは、SBOM(ソフトウェア)、HBOM(ハードウェア)、SaaSBOM(サービス)に加え、AI/ML-BOMが正式にサポートされている。ML-BOMでは、モデルアーキテクチャ、ハイパーパラメータ、学習データセットの参照、モデルカードの情報を構造化データとして記述できる。さらに注目すべきは環境影響メトリクスの導入である。学習・推論の各ライフサイクルフェーズにおけるエネルギー消費量、CO2排出量(デビット)、CO2オフセット(クレジット)を記録する仕組みが組み込まれた。加えて、暗号資産部品表(CBOM)とアテステーション機能も追加されている。

SPDX 3.0は、Linux Foundationが管理するBOM標準であり、AIプロファイルを新たに定義した。SPDXはライセンスコンプライアンスに強みを持つ規格であり、AIプロファイルでは学習データのライセンス情報、モデルの出典と改変履歴を重視した設計となっている。CycloneDXがセキュリティとオペレーショナルな詳細に重点を置くのに対し、SPDXはライセンスとガバナンスの観点からAI BOMを補完する位置づけである。

実装ツールとしては、2025年のRSACで発表されたOWASP AIBOM Generatorが注目に値する。Hugging Face上のモデル名またはURLを入力すると、CycloneDX 1.6 JSON形式のAIBOMを自動生成し、完全性スコアリングと改善推奨を提示する。現在、OWASP GenAI Security Projectの中核イニシアチブとして、Hugging Face Spaces上でオープンソース提供されている。

モデルシリアライゼーション攻撃 ── Pickle脆弱性の深刻化とsafetensorsへの移行

AIサプライチェーン攻撃のなかで最も直接的かつ深刻なのが、モデルシリアライゼーションを悪用した攻撃である。Pythonのpickle形式はモデルの保存・配布に広く使われているが、デシリアライゼーション時に任意のPythonコードを実行できるという根本的な問題を抱えている。

2025年2月、ReversingLabsはHugging Face上で「nullifAI」と呼ばれる新たな手法を用いた悪意あるモデルを発見した。このモデルはPyTorchの圧縮pickleファイル内にリバースシェルのペイロードを埋め込んでおり、Hugging Faceの主要防御ツールであるPickleScanの検知をすり抜けていた。pickleオペコードは先頭から順次実行されるため、悪意あるコードがストリームの冒頭に配置されていれば、スキャナが破損を検知する前に実行が完了する。この報告を受け、Hugging Faceは24時間以内にモデルを削除し、PickleScanを更新した。

さらに2025年6月、JFrog Security ResearchはPickleScanに3件のゼロデイ脆弱性を発見した(2025年9月パッチ適用済み)。CVE-2025-10155はファイル拡張子の不適切な検証、CVE-2025-10156はZIPファイルのCRC不正によるスキャン停止、CVE-2025-10157はサブモジュール経由での危険なグローバル関数の呼び出しバイパスである。いずれもPickleScan v0.0.30以前に影響し、攻撃者がスキャンを完全に回避して悪意あるPyTorchモデルを配布することを可能にしていた。

こうした背景から、Hugging Faceが2022年9月にEleutherAI・Stability AIと共同開発したsafetensors形式への移行が加速している。safetensorsはテンソルデータとJSONメタデータのみを格納し、任意のコード実行を構造的に不可能にした設計である。ただし、HiddenLayerの調査では、safetensorsへの変換プロセス自体を狙った「Silent Sabotage」攻撃も報告されており、フォーマットの安全性だけでは不十分であることが示されている。

学習データポイズニングとバックドア検出パイプラインの構築

モデルの振る舞いを根本から汚染する学習データポイズニングは、AI BOMの文脈で特に重要な脅威である。2025年1月にNature Medicineに掲載された研究では、ニューヨーク大学・ワシントン大学・コロンビア大学の研究チームが、学習トークンのわずか0.001%を医療誤情報に置換するだけで、有害な出力が7.2%増加することを実証した。わずか5ドルで作成した2,000件の偽医療記事(100億トークン中の100万トークンに相当)を混入させた結果である。攻撃ベクトルは、AIが生成した構文的に正常な医療記事をCommon Crawlに注入するというものであった。

バックドア攻撃も深刻である。2024年初頭にAnthropicが発表した「Sleeper Agents」研究では、2023年には安全なコードを書くが2024年にはエクスプロイト可能な脆弱性を挿入するバックドアが、標準的な安全性トレーニングでは除去できないことが示された。さらに、OWASP LLM Top 10 2025ではRAG(検索拡張生成)パイプラインのベクトル・エンベディング脆弱性(LLM08:2025)が新カテゴリとして追加され、エンベディングの数学的レベルでの汚染リスクが認識されるようになった。

こうした脅威に対抗するには、AI BOMを基盤とした多層的な検出パイプラインが必要である。第一層はモデルスキャンであり、Protect AIのModelScan(2023年7月公開、最新v0.8.7)やその商用版Guardianが、pickle・H5・SavedModel形式のモデルから悪意あるコードを検出する。第二層は学習データ検証で、データセットの統計的異常検出とプロビナンス追跡を行う。第三層は推論時の振る舞い監視であり、デプロイ後のモデル出力をリアルタイムで分析し、バックドアトリガーの兆候を検知する。WizのAI Security Posture Management(AI-SPM)は、エージェントやMCP利用を含むAIパイプライン全体の可視化と、AI BOMの自動インベントリ生成を統合的に提供している。

ガバナンスフレームワークとAI BOM実装のロードマップ

AI BOMの実装を支えるガバナンスフレームワークも整備が進んでいる。NIST AI RMF 1.0(2023年1月公開)は、GOVERN・MAP・MEASURE・MANAGEの4機能を定義し、GOVERN機能の中にサプライチェーンガバナンスを明示的に含めている。2024年7月にはNIST AI 600-1として生成AI固有のリスクプロファイルが追加された。ISO/IEC 42001はAI管理システムの認証可能な国際規格であり、ISO 27001やNIST AI RMFとの整合性を持つ。2025年にはISO/IEC 42005が公開され、構造化されたAIインパクトアセスメントの枠組みが提供されている。

EU AI Act(2024年発効)もサプライチェーン透明性に関する要件を含んでおり、高リスクAIシステムの提供者には技術文書と品質管理システムの整備が義務づけられる。これらの規制・標準はいずれも、AI BOMの生成と管理を前提とした設計思想を共有している。

企業がAI BOMを実装するロードマップは以下のとおりである。フェーズ1(可視化)では、既存のAIアセットの棚卸しを行い、CycloneDX 1.6またはSPDX 3.0形式でAI BOMを生成する。OWASP AIBOM Generatorを活用すれば、Hugging Face上のモデルについてはCycloneDX形式のBOMを即座に取得可能である。フェーズ2(検証)では、ModelScanやGuardianによるモデルスキャン、safetensors形式への移行、学習データのプロビナンス検証をCI/CDパイプラインに統合する。フェーズ3(継続監視)では、Wiz AI-SPMやHiddenLayerなどのツールを用い、デプロイ後のモデル振る舞い監視とAI BOMの自動更新を運用化する。Accentureの調査では、大企業の65%がサプライチェーンリスクをサイバーレジリエンスの最大の課題と認識しており、AI BOMの実装は経営課題としても優先度が高まっている。

FAQ

AI BOMとSBOMの違いは何ですか?

SBOMがソフトウェアの依存関係やライブラリを追跡するのに対し、AI BOMはモデル重み、学習データの来歴、ハイパーパラメータ、エンベディング、オーケストレーション層、さらにはCO2排出量などAI固有の構成要素まで網羅する。CycloneDX 1.6やSPDX 3.0が標準仕様を提供している。

CycloneDX 1.6のML-BOM機能とは何ですか?

OWASPが2024年4月にリリースしたCycloneDX 1.6は、モデルアーキテクチャ、ハイパーパラメータ、学習データ参照、環境影響メトリクス(エネルギー消費量・CO2排出量)を構造化データとして記録できるML-BOMフォーマットを標準でサポートしている。

Pickle形式のモデルはなぜ危険なのですか?

Pythonのpickle形式はデシリアライゼーション時に任意のコードを実行可能であり、悪意あるペイロードを埋め込んだモデルファイルをロードするだけでシステムが侵害される。2025年にはPickleScanに3件のゼロデイ脆弱性が発見され、スキャンの完全な回避が可能であったことが判明している。

AI BOMの実装を始めるにはどうすればよいですか?

まずOWASP AIBOM Generatorを使い、Hugging Face上のモデルについてCycloneDX 1.6形式のBOMを自動生成することから始められる。次にModelScanでモデルの安全性スキャンを実施し、CI/CDパイプラインに組み込むことで継続的な検証体制を構築できる。

safetensors形式に移行すればモデルは安全になりますか?

safetensorsはテンソルデータのみを格納しコード実行を構造的に不可能にするため、pickle由来のデシリアライゼーション攻撃は防止できる。ただし、変換プロセスへの介入やバックドアの埋め込みなど、フォーマット以外の攻撃ベクトルは残るため、多層防御が不可欠である。

参考文献