Amazon Bedrock で生成AI活用サービスをセキュアに構築する方法

Transcript

1. Copyright © Acroquest Technology Co., Ltd. All rights reserved. AmazonBedrock

   で 生成AI活用サービスを セキュアに構築する方法 2026/05/19 Acroquest Technology Co., Ltd. AWS ガバメントクラウドワークショップ

2. Copyright © Acroquest Technology Co., Ltd. All rights reserved. 2

   自己紹介 ◼ 所属 • Acroquest Technology Co., Ltd. ◼ 主な業務分野 • システムアーキテクト • 生成AI活用／導入 • IoT／AIサービス開発 • サーバーレス • データ分析基盤 ◼ 好きなAWSサービス • AWS Lambda • Amazon Bedrock 鈴木 貴典 シニアテクニカルアーキテクト

3. 会社概要 ◼ 所在地 ：神奈川県横浜市港北区新横浜 ◼ 設立 ：1991年3月 ◼ 社員数 ：約80名

   ◼ 事業内容： ・生成AI・AI・機械学習の導入／活用支援 ・データ分析システムの開発／提供 ・IoT関連システムの開発／提供 ・クラウドサービス開発 Acro = 先端を Quest = 探究する アクロクエストテクノロジー株式会社 Acroquest Technology Co., Ltd.

4. 主な実績 Copyright © Acroquest Technology Co., Ltd. All rights reserved.

   4 AWSを活用した機械学習／AI関連の実績 「機械学習コンピテンシー」 「AIサービスコンピテンシー」（生成AI分野） の認定を取得 ※機械学習・AI ＋ 生成AIの両分野での コンピテンシー取得は日本で当社のみ AI／データ分析関連のコンペや学会でも 当社のデータサイエンティストチームが多数入賞 ・国際的なデータ分析大会「KDD Cup 2025」 →日本人チームトップとなる3位入賞 ・自然言語処理における国内最大「言語処理学会」 →準優勝

5. 主な実績 Copyright © Acroquest Technology Co., Ltd. All rights reserved.

   5 https://aws.amazon.com/jp/solutions/case-studies/mlit-case-study/

6. I. Amazon Bedrock 基盤モデルの セキュリティ対応 II. 生成AI活用サービスを 構築する上での セキュリティ観点 本日お話すること

7. Ⅰ. Amazon Bedrock 基盤モデルの セキュリティ対応

8. 1. Bedrock 基盤モデルのセキュリティ対応 Copyright © Acroquest Technology Co., Ltd. All

   rights reserved. 8 1. 基盤モデルに入力されるデータは、モデルの学習に 利用されることはない。モデルのプロバイダーとも 共有されない。 2. 通信は、常に暗号化されている。 転送時は TLS 1.2 を使用して暗号化、 保存時は AWS KMS を使用して暗号化。 3. 主要な業界のセキュリティ基準／コンプライアンス 認証に対応。SOC 2、HIPPA、ISOなど。 参考：https://aws.amazon.com/jp/bedrock/faqs/ Amazon Bedrock は、各種の生成AIモデルの提供と 生成AIを活用するためのサービス・基盤を含むフルマネージドサービス

9. 2. Bedrock のモデルが動作するリージョンの概念 Copyright © Acroquest Technology Co., Ltd. All

   rights reserved. 9 In-Region （リージョン内） • 単一のリージョン内で動作する。 • この範囲だけでの提供はされていないモデル も多い。 Geographic Cross-Region （地理的クロスリージョン） • 定義された地域内のリージョンで動作する。 （US, EU, APAC, JP, AU） • AWS内部で自動でルーティングされる。 Global Cross-Region （グローバルクロスリージョン） • AWSの世界全体のリージョンで動作する。 • AWS内部で自動でルーティングされる。 • モデルの呼び出しを指定する際のIDで 動作するリージョンが変わります。 jp.anthropic.claude-sonnet-4-6 → 地理的（JP） global.anthropic.claude-sonnet-4-6 → グローバル • モデルによって、どのリージョンで 提供されているかは異なります。 →日本リージョンだけでは提供されて いないモデルもあります （画像生成のためのモデルなど）。 Bedrockには「クロスリージョン推論」 という仕組みがあり、生成AIアプリを、 「日本国内限定」で動作させるには、 モデルのIDを適切に指定する必要がある。

10. 2. Bedrock のモデルが動作するリージョンの概念 ①クロスリージョン推論の概念 Copyright © Acroquest Technology Co., Ltd.

    All rights reserved. 10 東京リージョン （ap-northeast-1） LLM 生成AIアプリ 大阪リージョン （ap-northeast-3） LLM オレゴンリージョン （us-west-2） LLM ・・・ 地理的 クロスリージョン （jp） グローバル クロスリージョン （global） 複数リージョンをまたいで、 生成AIモデルの実行（推論）を するための仕組み ※JPリージョンの場合は、東京・大阪 リージョンのみを使って動作する メリット • 可用性が向上する。 • 料金などは変わらず、請求は、 呼び出し元のリージョンにまとまる。 デメリット • モデルによって対応状況が異なる。 • SCPで利用リージョンを制限している 場合は、宛先となるリージョンも 許可する必要がある。

11. 2. Bedrock のモデルが動作するリージョンの概念 ②よく利用されるモデルのリージョン対応状況 Copyright © Acroquest Technology Co., Ltd.

    All rights reserved. 11 No 提供元 モデル名 用途 東京 リージョン 地理的 （JP） グローバル 1 Anthropic Claude Haiku 4.5 汎用 ◦ ◦ ◦ 2 Anthropic Claude Sonnet 4.6 汎用 × ◦ ◦ 3 Anthropic Claude Opus 4.6 汎用 × × ◦ 4 Anthropic Claude Opus 4.7 汎用 ◦ ◦ ◦ 5 AWS Nova 2 Lite 汎用 × ◦ ◦ 6 AWS Titan Text Embeddings V2 Embedding ◦ × × 7 AWS Rerank リランク ◦ × × 8 Stability AI Stable Image Core V1 画像生成 × （※オレゴンのみ） × × 9 Stability AI Stable Image Ultra V1 画像生成 × （※オレゴンのみ） × × モデルの種類やバージョンによっても、リージョンの対応状況は変わるため、 常に最新の状況を確認してから、モデルの適用を判断する必要がある。

12. Ⅱ. 生成AI活用サービスを 構築する上での セキュリティ観点

13. 1. OWASP Top 10 for LLM Applications（2025） Copyright © Acroquest

    Technology Co., Ltd. All rights reserved. 13 No リスク観点 詳細 LLM01 プロンプトインジェクション ユーザー入力や外部データなどに含まれる指示で、LLMの振る舞いが上書きされる。 LLM02 機密情報の漏洩 個人情報、認証情報、社内機密、顧客データ、RAG内の非公開文書などが入力・出力・ロ グ経由で漏洩する。 LLM03 サプライチェーンリスク モデル、OSSライブラリ、エージェントフレームワーク、コンテナイメージ、外部API、プ ラグインの脆弱性・改ざん・依存リスク。 LLM04 データおよびモデルの汚染 学習データ、ファインチューニングデータ、RAG文書、埋め込みデータが汚染され、誤回 答、偏った回答、バックドア的挙動が発生する。 LLM05 不適切な出力処理 LLM出力をそのままHTML、SQL、CLI、API、コード実行、メール送信などに渡し、XSS、 SQL injection、コマンド実行、誤操作が起きる。 LLM06 過剰な自律性・権限委譲 Agentに過剰な権限・ツール・自律性を与え、不要なDB更新、メール送信、削除、課金操 作、外部API呼び出しが起きる。 LLM07 システムプロンプトの漏洩 システムプロンプト、内部ルール、ガードレール方針、隠し指示、実装情報がユーザーに漏 れる。プロンプト内に秘密情報がある場合は直接漏えいにつながる。 LLM08 ベクトルおよび 埋め込みの脆弱性 RAGやベクトルDBで、権限外文書の検索、悪意ある文書の混入、古い文書の優先、類似検 索の誤ヒット、埋め込み逆推定などが起こる。 LLM09 誤情報の生成 ハルシネーション、根拠のない回答、古い情報、誤った要約、誤った業務判断が発生する。 LLM10 無制限のリソース消費 大量リクエスト、長大プロンプト、再帰的Agent実行、ツールループ、DoS、想定外の高額 課金、リソース枯渇が発生する。 OWASPが生成AIアプリにおける主要な10のセキュリティ脅威をまとめたもの

14. Bedrock 2. 生成AIアプリの構成とセキュリティ観点 Copyright © Acroquest Technology Co., Ltd. All

    rights reserved. 14 基盤モデル （LLM） Knowledge Base （RAG） OpenSearch Service S3 AgentCore Gateway （外部ツール連携） Remote MCP Server AgentCore Runtime （AIエージェント） ドキュメント LLM01 プロンプト インジェクション LLM02 情報漏洩 LLM03 サプライチェーン リスク LLM04 データおよび モデルの汚染 LLM05 不適切な 出力処理 LLM06 過剰な自律性 ・権限委譲 LLM07 システムプロン プトの漏洩 LLM08 ベクトル および 埋め込みの 脆弱性 LLM09 誤情報の生成 LLM10 無制限の リソース消費 生成AIアプリを構築する上で、リスクをマッピングすると以下のようなイメージとなる。

15. 2. 生成AIアプリの構成とセキュリティ観点 AWSサービスでの対応と生成AIアプリでの対応 Copyright © Acroquest Technology Co., Ltd. All

    rights reserved. 15 No リスク観点 AWSサービスでの対応 生成AIアプリでの対応 LLM01 プロンプトインジェクション • Bedrock Guardrails の活用 （コンテンツフィルタ、拒否トピック） • システムプロンプトでの抑止 • ツール実行前のパラメータ検証 LLM02 機密情報の漏洩 • Bedrock Guardrails の活用 （機密情報フィルタ） • システムプロンプト、RAG文書、ログな どに機密情報を含まないようにする LLM03 サプライチェーンリスク • AWSが管理する基盤モデルを利用する上 では発生しにくい • 利用するOSSライブラリの乗っ取りや悪 意のあるコード埋め込みなどに注意 LLM04 データおよびモデルの汚染 • AWSが管理する基盤モデルを利用する上 では発生しにくい • RAGに取り込む文章の事前精査 LLM05 不適切な出力処理 • Bedrock Guardrails の活用 （コンテンツフィルタ、拒否トピック） • アプリ内での処理／出力内容チェック LLM06 過剰な自律性・権限委譲 • 生成AI処理やAIエージェントに対する IAMの権限を最小限にする • 重要な操作はHuman-in-the-loop対応 LLM07 システムプロンプトの漏洩 • Bedrock Guardrails の活用 （コンテンツフィルタ、拒否トピック） • システムプロンプトに機密情報を含めな い LLM08 ベクトルおよび 埋め込みの脆弱性 • Bedrock Knowledge Baseでの標準的な RAG構成を実現 • RAGに取り込む文章の事前精査 • RAGドキュメントに対するユーザーアク セス権限対応 LLM09 誤情報の生成 • Bedrock Guardrails の活用 （グラウンディングチェック ※日本語非対応） • アプリ内での処理／出力内容チェック LLM10 無制限のリソース消費 • Bedrockのクォータを適切に設定 （単位時間あたりの最大トークン使用量など） • モニタリング • 大量トークン消費の防止 • AIエージェントでの過剰なリトライ処理 の抑止

16. 3. Bedrock Guardrails の概要 Copyright © Acroquest Technology Co., Ltd.

    All rights reserved. 16 ユーザー 入力 Bedrock Guardrails ユーザー 応答 Bedrock 基盤モデル • コンテンツフィルタ • 拒否トピック • ワードフィルタ • 機密情報フィルタ • コンテキストグラウンディング チェック • 自動推論チェック Bedrock Guardrails は、生成AIアプリの入力・出力を検査し、危険な 内容や望ましくない応答を制御するための安全対策を実現するサービスである。 ①入力チェック ④出力チェック ②モデル 実行 ③モデル 応答

17. 3. Bedrock Guardrails の概要 Bedrock Guardrails の機能と日本語対応状況 Copyright © Acroquest

    Technology Co., Ltd. All rights reserved. 17 No 機能 説明 日本語対応 1 コンテンツフィルタ Content filters • 有害コンテンツやプロンプト攻撃の検出・ブロッ クをする。 • 対象カテゴリは、ヘイト、侮辱、性的、暴力、不 正行為、プロンプト攻撃など。 ◦ 2 拒否トピック Denied topics • アプリで扱いたくないトピックを定義し、入力・ 出力で検出・ブロックをする。 ◦ 3 ワードフィルタ Word filters • 特定の単語・フレーズの検出・ブロックをする。 • カスタム単語、冒涜表現フィルタに利用。 × 4 機密情報フィルタ Sensitive information filters • PII（個人識別用情報）などの機密情報を検出し、 ブロックまたはマスクする。 ◦ 5 コンテキストグラウンディングチェック Contextual grounding checks • RAGや要約で、モデルの回答が情報ソースに基づ いているか、ユーザー質問に関連しているかを評 価する（ハルシネーション抑止）。 × 6 自動推論チェック Automated reasoning checks • 定義したポリシーやルールに対して、LLM出力が 論理的に正しいかを評価する。 × Guardrails は強力だが、日本語未対応の機能もあるため、 内容を確認して、適用を検討する必要がある。

18. 4. AIエージェントでのセキュリティ対策 Copyright © Acroquest Technology Co., Ltd. All rights

    reserved. 18 No 対策 説明 ① AIエージェントと Bedrock Guardrails の連携 • AIエージェントでは、時に複雑な処理を行うことがありますが、 Bedrock Guardrails との連係で、セキュリティリスクを軽減できる。 ② Steering で業務ルールの 実行順序を強制 • 「Steering」という機能で、業務ルールを、システムプロンプト＋プ ログラムのロジックでの制御により、確実な実行を行えるようにする。 • AIエージェントの安定性が向上し、不適切な処理・応答をしてしまう リスクを軽減できる。 ③ Human-in-the-loopで 重要な操作は人が判断 • 「Interrupts」という機能で、特定の状態や条件で、AIエージェント の処理を一時中断し、人による承認操作を挟むことができる。 • 重要な処理は、人が判断することで、不適切な処理・応答をしてしま うリスクを軽減できる。 ※Strands Agents … AIエージェントを簡単に構築・実行するためのOSSのSDK Strands Agents を利用することで、AIエージェントで必要となる セキュリティ対策を簡単に実現することができる。

19. 4. AIエージェントでのセキュリティ対策 ①AIエージェントと Bedrock Guardrails の連携 Copyright © Acroquest Technology

    Co., Ltd. All rights reserved. 19 AgentCore Runtime Bedrock 基盤モデル Bedrock Bedrock Guardrails Strands Agents bedrock_model = BedrockModel( model_id="jp.anthropic.claude-sonnet-4-6", guardrail_id=“XXXXXX", guardrail_version="1", guardrail_trace="enabled", ) agent = Agent( model=bedrock_model, system_prompt="XXXXXX", ) Strands Agents は、Bedrock Guardrails と簡単に連携することができる。 Guardrailsの定義をしたら そのIDを指定するだけ

20. 4. AIエージェントでのセキュリティ対策 ②Steering で業務ルールの実行順序を強制 Copyright © Acroquest Technology Co., Ltd.

    All rights reserved. 20 申請処理エージェントの例 従来 → プロンプトだけで指示（不確実） あなたは申請処理をチェックするエージェントです。 以下の手順で申請内容をチェックして、処理してください。 1. 申請内容をチェックする 2. OKの場合、承認メールを送信する 3. NGの場合、申請者にエラーを送信する 改善 → プロンプト＋プログラムで制御（確実） あなたは申請処理をチェックするエージェントです。 以下の手順で申請内容をチェックして、処理してください。 1. 申請を受信したら、validate_application で 内容をチェックする 2. validate_application の結果がOKの場合のみ、 send_approval_email で承認メールを送信する 3. validate_application の結果がNGの場合、 return_application_error で申請者にエラーを送信する Strands Agents では、AIエージェントの 中で関数（ツール）を定義して、連携させる ことができる。 → フローの制御をロジックで強制できる。

21. 4. AIエージェントでのセキュリティ対策 ③Human-in-the-loopで重要な操作は人が判断 Copyright © Acroquest Technology Co., Ltd. All

    rights reserved. 21 agent = Agent( # フック処理を定義 hooks=[ApprovalHook("myapp")], system_prompt=“XXXXX", # ツールの中で一時中断処理を設ける tools=[validate_application, send_email], callback_handler=None, ) Strands Agents の「Interrupts」機能 を利用することで、特定の処理を実行する 前に、人の判断を介入させることができる。

22. 5. RAGでのセキュリティ対策 Copyright © Acroquest Technology Co., Ltd. All rights

    reserved. 22 No 対策 説明 ① 検索対象ファイルへの アクセス権限制御 • Bedrock Knowledge Base では、登録されているファイルへのアク セス制御は対応していない。 • 構築する際に、自前で対応が必要になる部分である。 ② 回答精度向上 ・ハルシネーション抑止対応 • RAGでの回答精度の向上は、生成AIアプリを運用する上で、重要な内 容のひとつ。 • リランキング／グラウンディングチェックにより、回答の精度を向上 させ、ハルシネーションを抑止する。 Bedrock Knowledge Base を利用する上で、セキュリティ上、 対応の検討が必要な内容を示す。

23. 5. RAGでのセキュリティ対策 ①検索対象ファイルへのアクセス権限制御 Copyright © Acroquest Technology Co., Ltd. All

    rights reserved. 23 Aさん：◦ Bさん：× Aさん：× Bさん：◦ 生成AI アプリ Bedrock Knowledge Base アクセス権限（ACL） 定義ファイル ※独自に検討が必要 案①：ファイル属性ベース 案②：ファイルパスベース 案③：ソースデータとの権限連携 Bedrock Knowledge Base では、検索対象ファイルに対するアクセス権限制御の 機能は持っていないため、生成AIアプリ側で対応を検討する必要がある。 Aさん Bさん メタデータ フィルタリング

24. 5. RAGでのセキュリティ対策 ②回答精度向上・ハルシネーション抑止対応 Copyright © Acroquest Technology Co., Ltd. All

    rights reserved. 24 Bedrock Knowledge Base リランキング フィルタリング 回答生成 グラウンディング （ LLM-as-a-Judge） Retrieveにより 関連度の高い チャンクを取得 質問に対して 再度関連度の スコアを算出し 並べ替え 関連度の低い 内容は除外 回答内容を 生成 回答内容の 妥当性をチェック Bedrock Knowledge Base の回答をそのまま利用するのではなく、 各処理を通して、回答精度を向上させる。

25. Ⅲ. 本日のまとめ

26. まとめ Copyright © Acroquest Technology Co., Ltd. All rights reserved.

    26 Bedrockの基盤モデルでは、クロスリージョン推論の対応状況を 踏まえ、JPリージョンのみで利用可能かどうか、事前確認する。 生成AIアプリの開発・構築では、「OWASP Top 10 for LLM Applications」を参考に、リスクの洗い出し・対策の検討を実施 するとよい。 Bedrock Guardrails の利用は、生成AIアプリのセキュリティ対 策に有益であるが、日本語対応状況を確認して適用する。 AIエージェント／RAGの特性に応じた、精度向上・セキュリティ 対策を実施する。 1 2 3 4

27. 27 Copyright © Acroquest Technology Co., Ltd. All rights reserved.

    ご清聴ありがとうございました あなたの生成AI活用の一助になれば幸いです