シャドー IT からシャドー AI へ:AI-BOM の登場
AI アプリケーションとエージェントが企業サプライチェーンに浸透する中、従来のソフトウェア部品表(SBOM)では不十分となり、新たなセキュリティ対策として AI-BOM の導入が提唱されている。
キーポイント
SBOM の限界と AI-BOM の登場
AI アプリケーションやエージェントの複雑な依存関係により、従来のソフトウェア部品表(SBOM)では環境内の全コンポーネントを把握できなくなったため、AI-BOM という新概念が提案された。
可視性がセキュリティ保護の前提
記事は「可視性を持たなければ何を保護すべきか理解できない」と指摘し、サプライチェーンセキュリティにおいて AI 資産の完全な把握が不可欠であると強調している。
Shadow IT から Shadow AI への移行
従来の管理外システム(Shadow IT)の問題が、管理外の AI ツールやモデルの使用(Shadow AI)へと進化しており、新たなガバナンス手法が必要となっている。
影響分析・編集コメントを表示
影響分析
この記事は、生成 AI の急速な普及に伴い、従来のソフトウェアサプライチェーン管理手法が陳腐化しつつあることを示唆しており、企業セキュリティ戦略の転換点を告げる重要な信号です。AI-BOM の概念は、単なるインベントリ管理を超え、リスク評価とコンプライアンス対応における新たな基準となる可能性があります。
編集コメント
AI の実装が爆発的に増加する中、セキュリティ対策の基礎となる「可視性」の確保方法そのものの見直しを迫る、非常にタイムリーな提言です。
エンタープライズサプライチェーンのセキュリティ、特に AI アプリケーションやエージェントが大量に導入されている現状においては、ソフトウェア部品表(SBOM)だけでは環境内のすべてのコンポーネントを完全に把握することはできなくなっています。そこで登場するのが AI-BOM です。
従来の SBOM が組織内のすべてのソフトウェアパッケージと依存関係を網羅するのに対し、AI-BOM はモデル、データセット、SDK ライブラリ、MCP サーバー、機械学習(ML)フレームワーク、エージェント、アジェンティックスキル、プロンプト、その他の AI ツールといった AI アセットによって生じたギャップを埋めることを目指し、これらの AI コンポーネントが互いにどのように相互作用し、ワークフローとどう接続されているかという可視性を提供します。
レシピも知らなければ、材料も知らず、製作者さえも知らない。そのケーキの一片を食べるでしょうか?
パロアルトネットワークスの AI セキュリティ担当バイスプレジデントであるイアン・スワンソン氏は、『ザ・レジスター』とのインタビューでこう述べています。「もしこの部屋の真ん中に誕生日ケーキとして AI があると想像してみてください。しかし、それがどうやってそこに置かれたのかはわかりません。レシピも知らなければ、材料も知らず、製作者さえも知らない。そのケーキの一片を食べるでしょうか?」
多くの組織は、それでもなおそのケーキを食べています。
企業に承認されたモデルや技術スタックで使用される AI の他にも、「シャドウ AI」shadow AI という問題があります。かつては「シャドウ IT」と呼ばれていたこの現象において、これらの承認されていないツールもまた、把握可能となるよう影から引き出す必要があります。これには、個々の従業員が立ち上げたすべてのバイブコーディングプラットフォームやエージェント、および業務用コンピュータ上で対話する外部チャットボットが含まれ、それらに機密性の高い企業データを入力してしまう可能性もあります。
これらの AI 要素をすべてケーキに焼き込むために、企業はまず、それらが何であるか、何と接続されているか、そしてどのように使用されているかを把握する必要があります。
「一般的に、AI セキュリティの全体像を把握しようとしている組織にとって」、Cisco の AI 脅威インテリジェンスおよびセキュリティ研究責任者である Amy Chang は *The Register* にこう語りました。「彼らは、自社の環境内に存在する AI アセットを特定できる手段を求めています。AI BOM(Bill of Materials)のようなツールは、何が存在するかをよりよく理解し始めるための最初の場所の一つです」。
次章:モデルの出自
Cisco は以前、AI-BOM をオープンソース化しており、誰でもコードベース、コンテナイメージ、およびクラウド環境をスキャンしてこの BOM(Bill of Materials)を生成できるよう無料提供しています。
金曜日には、モデルの出自を追跡するためのオープンソースツールとして、Model Provenance Kit も公開されました。新しいリポジトリを発表するブログ記事において、Chang 氏をはじめとする AI 研究者たちは、これを AI モデルのための DNA テスト と表現し、出自の特定には「比較(compare)」または「スキャン(scan)」のいずれかのモードを使用すると説明しています。
比較モードでは、任意の 2 つのモデルを指定すると、メタデータ、トークナイザー構造、重みレベルのシグナルにおける類似性を示し、最終的な複合スコアを算出します。一方、スキャンモード(原文:Scam mode は文脈上「Scan mode」の誤記と推測されるため、ここでは技術用語として適切に修正)では、単一のモデルから開始してデータベースと照合し、最も近い系譜候補を特定します。このモードをサポートするため、Cisco はまた、45 以上のファミリーと 20 社以上のパブリッシャーにわたる約 150 のベースモデルをカバーするモデル 指紋データベース も公開しました。
Chang 氏は、新しい AI ツールが 2 つのゲートチェックを実行すると語りました。「まずメタデータレベルにおいて、ベースモデルの情報と微調整(fine-tuning)されたバージョンの情報を比較し、出自に関連する関係性を特定します。例えば、これが Meta Llama 4 から派生したものであるか、Alibaba Qwen3 から派生したものであるかを区別します」と彼女は述べています。
「では、私たちは重みに基づく指標に注目します。つまり、現在、顧客向けであり、あらゆるデータを処理するモデルが、実際に使用するべきモデルであること、あるいはリスク許容範囲内にあることを証明できる、検証可能で反復可能かつ立証可能な方法を提供しています。」
組織は、自社の環境内に存在する AI アセットを特定する方法を求めています。
インタビューの中で Chang 氏は、中国のオープンソースモデル Kimi 2.5 を一部に組み込んだ Cursor の Composer 2 に言及しました。「彼らは非常に迅速に、『はい、この構築には中国製モデルを使用しました』と認めています」と彼女は述べています。「しかし、これには規制やコンプライアンス上のリスクが伴う可能性があります。」
具体例として、欧州連合(EU)の AI 法 は組織に対し、「ハイリスクシステム」に関するトレーニングデータの文書化、トレーニング手法の特徴、およびリスク評価の実施を義務付けています。
Google の Wiz は、その AI-BOMs において、AI アプリケーションの構築に使用された開発者のワークステーション内のすべてのツール(ラップトップや統合開発環境など)も網羅しています。
「多くの人は、可視性や BOM(ビルドオブジェクトマテリアル)を最終成果物に含まれるものによって定義しますが、私たちは一般的な BOM の定義、特に AI-BOM の定義を拡張し、そのアプリケーションの構築に使用された AI ツールも含めるようにしています」と、Wiz の技術製品マーケティングマネージャーである Ziad Ghalleb は語りました。
「そして、もう一つの重要な側面は、これらの AI ワークロードに関連付けられた アイデンティティ です。なぜなら、すべてのエージェントやモデル、ツールなどは、環境内の特定のアイデンティティに紐付いているからです」と Ghalleb は続けます。「つまり、これらのシステムに関連する非人間のアイデンティティを監視する必要があります。単なるリソースだけでなく、それらに紐付くアイデンティティと権限セットも対象となるのです」。
これらすべては可視性とセキュリティに帰着します。「これらのワークロードの可視性がなければ、保護とは何かを理解することはできません」と Swanson は述べています。
ポイズニングへの対策
*The Reg* を読んでいる方ならご存知のように、企業だけが AI ツールをワークロードやプロセスに取り込むために狂ったように急いでいるわけではありません。犯罪者たちもまた、これらの同じツールを使用して攻撃の速度を上げ、より効率的なものにしています。
Microsoft のグローバル脅威インテリジェンス担当ゼネラルマネージャーである Sherrod DeGrippo 氏は、以前のインタビューで『The Register』に対し、これには侵害されたコンピュータでの偵察活動の実施や、攻撃インフラストラクチャの構築・管理などのタスクが含まれると語った。
「システムに対するエージェント型かつ自動化された偵察は、注目する価値がある」と DeGrippo 氏は述べた。「XYZ について調査し、発見したすべての情報を私に報告せよ。この特定のエンティティが所有するネットブロックをスキャンせよ」
Swanson 氏によると、これは AI-BOM(AI Bill of Materials)を導入することで防御側がより迅速に対応できるケースの一つでもあるという。彼は企業名を明かせないが、Palo Alto Networks が対応したあるインシデントでは、犯罪グループが AI を活用して被害者組織の偵察を行い、露出しているエンドポイントの特定を行ったという。
「彼らが行ったことのひとつは、AI ワークロードに対するシステムプロンプト(AI にその機能や制限を指示する命令)へのアクセス権を取得することだった」と Swanson 氏は語る。そして攻撃者が企業の内部 AI のシステムプロンプトにアクセスすると、データ窃取や外部メールアカウントへの送信など、本来行うべきではない行為を実行させるようプロンプトを改変したという。
AI-BOM は、特定の時点における AI システムの構成と依存関係を把握し、さらに発生した変更も示すものである。
「状態と状態変化の理解があれば、AI の部品表(Bill of Materials)に戻り、『この AI アプリケーションを作成する際に使用されたシステムプロンプトは何だったのか?』と問いかけ、それが以前の状態から新しい状態へ変更されたことを確認できるはずです。したがって、これをチェックして、ここで何らかの悪意のあることが起こっていないかを確認すべきでしょう」とスワンソンは述べた。「その場合、それを検出することが可能になります」
- 終わりのないサプライチェーン攻撃が SAP npm パッケージやその他の開発ツールに侵入
- エージェントが暴走!企業が信頼できないボットに王国の鍵を渡す
- OpenClaw が単純なクラックにより詳細な個人情報を露呈
- AI エージェントは現在、北朝鮮を含む攻撃者にとって、単調作業の管理を支援する存在となっている
モデルや スキル汚染 などの他のサプライチェーン攻撃は、IT 環境にどのような AI ツールが存在するかを把握していないことのリスクを浮き彫りにしています。
「多くのコーディングアシスタントと連携して使用されるスキルは非常に改ざんされやすく、誰かが機能を操作していないことを確認するためにそれらをスキャンできることが重要である」とスワンソンは述べた。あるスキルが天気予報を提供するはずであれば、同時に 認証情報を盗んだり機密を漏洩したり してはならないと彼は説明した。
「状態変化を理解し、これらのアーティファクトを継続的にスキャンしてサプライチェーンのリスクを検出し、さらに AI アプリケーションが稼働しているランタイムの時点で、すべての通信を確認して悪意のある行為が行われていないことを保証する必要があります」とスワンソン氏は述べています。
AI-BOM(およびそのソフトウェア版)は、組織が企業システム上で実行されている侵害されたオープンソースコードを迅速に特定するのにも役立ちます。例えば、最近発生した 汚染された npm および PyPI パッケージ や、以前の Shai-Hulud ワーム による認証情報窃取攻撃などが挙げられます。これらのキャンペーンは、AI アプリケーションに一般的に統合されるコードを標的としていました。
CVE 識別子が存在しない場合でも、AI-BOM を利用すればユーザーは「関連するライブラリやパッケージ」を検索し、環境内にある悪意のあるバージョンを特定できますとガッレブ氏は説明しています。「これらには CVE が付与されていませんが、少なくともこれらの脅威を封じ込めるためにどのように除去すべきかはわかります。」®
原文を表示
When it comes to securing enterprise supply chains, now heavily infused with AI applications and agents, a software bill of materials (SBOM) no longer provides a complete inventory of all the components in the environment. Enter AI-BOMs.
While a traditional SBOM includes all of the software packages and dependencies in the organization, an AI-BOM aims to cover the gaps introduced by AI assets by providing visibility across all of the models, datasets, SDK libraries, MCP servers, ML frameworks, agents, agentic skills, prompts, and other AI tools - plus how these AI components interact with each other and connect to workflows.
You don't know the recipe, you don't know the ingredients, you don't know the baker. Would you eat a slice of that cake?
"Imagine if AI is a birthday cake in the middle of this room, but you don't know how it got there," Ian Swanson, VP of AI security at Palo Alto Networks said in an interview with *The Register*. "You don't know the recipe, you don't know the ingredients, you don't know the baker. Would you eat a slice of that cake?"
A lot of organizations are eating the cake anyway.
In addition to the company-sanctioned models and AI used in the tech stack, there's also the problem of "shadow AI" - we used to call this "shadow IT" - and these unsanctioned tools also need to be brought out of the shadows so they can be accounted for. This includes all the vibe coding platforms and agents that individual employees spin up, along with any external chatbots they interact with on work computers and potentially input sensitive corporate data into.
To secure all of these AI ingredients baked into the cake, companies first need to know what they are, what they connect to, and how they are being used.
"In general, organizations that are trying to wrap their head around AI security," Amy Chang, Cisco's head of AI threat intelligence and security research told *The Register*. "They want a way to be able to identify what AI assets exist in their environment. A tool like the AI bill of materials is one of those first places that you can start to get a better understanding of what exists."
Up next: model provenance
Cisco previously open sourced its AI-BOM, making it free for anyone to scan codebases, container images, and cloud environments to produce this bill of materials.
On Friday, it also made available its Model Provenance Kit as an open source tool to track model provenance. In a blog announcing the new repository, Chang and other AI researchers describe it as a DNA test for AI models, and it determines provenance using one of two modes: compare or scan.
Compare mode takes any two models and shows their similarity across metadata, tokenizer structure, weight-level signals along with a final composite score. Scam mode starts with a single model and matches it against a database to determine the closest lineage candidates - and to help with this mode, Cisco also released a model fingerprint database covering about 150 base models across more than 45 families and over 20 publishers.
Chang told us that the new AI tool performs two gate checks. "First, at the metadata level, it compares the information from the base model with the fine-tuned version of the model to delineate some sort of provenance-linked relationship - like this was derived from Meta Llama 4, or derived from Alibaba Qwen3," she said.
"Then, what we do is look at weight-based signifiers. So now we're providing a sort of verifiable, repeatable and provable way to attest that the models that you use and deploy, that are customer facing, that are ingesting all this data, are truly the models that that you're supposed to be using, or that that are within the confines of your risk tolerance."
Organizations want a way to be able to identify what AI assets exist in their environment
During our interview, Chang pointed to Cursor's Composer 2, which is partly built on Kimi 2.5, a Chinese open source model. "They were very quick to admit that, yes, we used the Chinese model to build this," she said. "But that could have regulatory or compliance risk."
Case in point: The European Union's AI Act mandates organizations document training data, characteristics of training methodology, and risk assessments for "high-risk systems."
Google's Wiz, in its AI-BOMs, also accounts for all of the tools in the developers' workstation, such as a laptop or integrated development environment, that went into building the AI application.
"Many people define visibility or BOMs by what's actually in the final artifact, but we also extend the definition of BOMs in general and AI-BOMs in particular to include the AI tools that went into building that application," Ziad Ghalleb, Wiz technical product marketing manager, told us.
"And then another important aspect is the identities that are attached to these AI workloads, because all these agents or models, tools, etc., are tied to a specific identity inside your environment," Ghalleb added. "So you need to be looking at these non-human identities that are related to these systems. It's not just the resources. It's also the identities and the permission sets that are tied to them."
All of this boils down to visibility and security. "If you don't have visibility of these workloads, then you can't really understand what it is to protect," Swanson said.
Protection against poisonings
Enterprises aren't the only ones madly rushing to incorporate AI tools into their workloads and processes, as everyone who reads *The Reg* likely knows. Criminals are also using these same tools to move faster and make their attacks more efficient.
As Sherrod DeGrippo, Microsoft's GM of global threat intelligence, told *The Register* in a previous interview: This includes tasks such as performing reconnaissance on compromised computers, and standing up and managing attack infrastructure.
"Agentic, automated reconnaissance against systems is something that is worth taking a look at," DeGrippo said. "Go find out about XYZ, and come back to me with everything you've seen. Go scan the net blocks owned by this particular entity."
According to Swanson, this is also a case where having an AI-BOM can help defenders respond faster. He says he can't name the company, but in one incident that Palo Alto Networks responded to, a criminal group used AI to scout out the victim organization and locate exposed endpoints.
"One of the things that they did is get access to system prompts, the instructions to an AI workload that tells it what it can do, and what it can't do," Swanson said. And once the attacker gained access to the company's internal AI's system prompts, they modified them to force the AI to do things that it shouldn't - like steal data, and send it to an external email account.
An AI-BOM would provide an understanding of the AI system's configurations and dependencies at a specific state in time - and also indicate any changes.
"If you had understanding of state and understanding of state changes, then you would be able to go back to an AI bill of materials and say: 'What system prompt was used within the ingredients to create the AI application?' And then see it's changed from a prior state to a new state. So we should probably check this and see if there's anything bad that's happening here," Swanson said. "And in that case, you'd be able to catch it."
- The never-ending supply chain attacks worm into SAP npm packages, other dev tools
- Agents gone wild! Companies give untrustworthy bots keys to the kingdom
- OpenClaw reveals meaty personal information after simple cracks
- AI agents now help attackers, including North Korea, manage their drudge work
Other supply chain attacks such as model and skills poisoning underscore the risks of not knowing what AI tools are in an IT environment.
"Skills that people use in coordination with a lot of these coding assistants are pretty easy to tamper with, and so it's important to be able to scan them to make sure that somebody is not manipulating the capabilities," Swanson said. If a skill is supposed to provide a weather forecast, it shouldn't also steal credentials or leak secrets, he explained.
"Understand state changes, constantly scan these artifacts for supply chain risks, and then at the point of runtime, when your AI application is live, also look at all communications to make sure that nothing bad is happening," Swanson said.
AI-BOMs (and their software counterparts) can also help organizations quickly identify compromised open source code running on corporate systems. For example: the recent rash of poisoned npm and PyPI packages and earlier Shai-Hulud worm credential stealer attacks. Both of these campaigns targeted code commonly integrated into AI applications.
Even in the absence of a CVE identifier, an AI-BOM lets users query "related libraries or packages," and then identify any malicious versions in their environment, Ghalleb said. "There's no CVE attached to them, but at least you know how to remove these to contain an evolving threat." ®
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み