アーキテクチャ
この図は、Model Armor を使用して LLM とユーザーを保護するアプリケーションを示しています。次の手順でデータフローを説明します。
- アプリケーションにプロンプトを指定します。
- Model Armor は、受信したプロンプトを検査して、デリケートなコンテンツが含まれているかどうかを確認します。
- プロンプト(またはサニタイズされたプロンプト)が LLM に送信されます。
- LLM が応答を生成する。
- Model Armor は、生成されたレスポンスにデリケートなコンテンツが含まれているかどうかを検査します。
- レスポンス(またはサニタイズされたレスポンス)が送信されます。Model Armor は、トリガーされたフィルタとトリガーされなかったフィルタの詳細な説明をレスポンスで送信します。
Model Armor は、入力(プロンプト)と出力(レスポンス)の両方をフィルタリングして、LLM が悪意のあるコンテンツやデリケートなコンテンツにさらされる、またはそのようなコンテンツを生成するのを防止します。
ネットワークの要件
VPC ネットワーク内から Model Armor リージョン エンドポイントにアクセスするには、Model Armor API への Private Service Connect エンドポイントを作成する必要があります。これは、プライベート Google アクセスまたは VPC Service Controls を使用してリージョン エンドポイントにアクセスする際に証明書エラーが発生するのを防ぐために必要です。詳細については、Model Armor の問題のトラブルシューティングと Private Service Connect エンドポイントを介したリージョン エンドポイントへのアクセスについてをご覧ください。
ユースケース
Model Armor には、セキュリティ、信頼と安全性、責任ある AI など、複数のユースケースがあります。
- LLM のプロンプトや回答で機密性の高い知的財産(IP)や個人情報(PII)が漏洩するリスクを軽減します。
- プロンプト インジェクションやジェイルブレイク攻撃から保護し、悪意のある行為者が AI システムを操作して意図しないアクションを実行することを防ぎます。
- PDF のテキストをスキャンして、デリケートなコンテンツや悪意のあるコンテンツを検出します。
- chatbot が競合他社のソリューションを推奨しないようにして、ブランドの完全性と顧客ロイヤルティを維持します。
- 危険なコンテンツやヘイト コンテンツなどの有害なメッセージを含む AI アプリケーションによって生成されたソーシャル メディア投稿をフィルタします。
Model Armor テンプレート
Model Armor テンプレートを使用すると、Model Armor がプロンプトとレスポンスをスクリーニングする方法を構成できます。これらは、さまざまな安全性とセキュリティの信頼度に合わせてカスタマイズされたフィルタとしきい値のセットとして機能します。これにより、フラグが設定されたコンテンツを制御できます。
しきい値は信頼度を表します。つまり、プロンプトまたはレスポンスに不適切なコンテンツが含まれていると Model Armor がどの程度確信しているかを表します。たとえば、HIGH しきい値でヘイト コンテンツのプロンプトをフィルタするテンプレートを作成できます。これは、プロンプトにヘイト コンテンツが含まれているという高い信頼度を Model Armor が報告することを意味します。LOW_AND_ABOVE しきい値は、その主張を行う際の信頼度(LOW、MEDIUM、HIGH)のレベルを示します。
詳細については、Model Armor テンプレートをご覧ください。
Model Armor の信頼度
信頼度は、責任ある AI の安全性カテゴリ(性的に露骨な表現、危険なコンテンツ、ハラスメント、ヘイトスピーチ)、プロンプト インジェクションとジェイルブレイクの検出、センシティブ データ保護(トピック性を含む)に設定できます。
しきい値を細かく設定できる信頼度の場合、Model Armor は次のように解釈します。
- 高: 違反の可能性が高いコンテンツを特定します。
- 中以上: 違反の可能性が中または高のコンテンツを特定します。
- 低以上: 違反の可能性が低、中、高のコンテンツを特定します。
フィルタ感度は検出率を制御します。しきい値を低くすると、より多くのイベントが特定されますが、誤検出の頻度が増加する可能性があります。
| 信頼レベル | 検出確率 | 偽陽性のリスク | おすすめのユースケース |
|---|---|---|---|
| 高 | 違反の可能性がほぼ確実なコンテンツのみを報告します。 | 最低 | ユーザー操作の中断を優先する本番環境。 |
| 中以上 | 信頼度のバランスが取れたコンテンツにフラグを設定します。 | 中 | 標準的なエンタープライズ アプリケーション。強力な保護と許容可能な偽陽性率の中間的な選択肢です。一般的なコンテンツの安全性に適しています。 |
| 低以上 | 違反の兆候が少しでも見られるコンテンツにフラグを設定します。 | 高 | 慎重に使用してください。誤検出のリスクを冒してでも偽陰性を防ぐことが重要な、プロンプト インジェクションやジェイルブレイクの検出などのリスクの高いカテゴリに適している可能性があります。無害なコンテンツをブロックするリスクが高いため、一般的な責任ある AI コンテンツ カテゴリにはおすすめしません。 |
考慮事項とベスト プラクティス
- テンプレートを分離する: ユーザー プロンプトとモデル レスポンス用に個別の Model Armor テンプレートを構成します。ユーザー入力とモデル出力には、異なるリスク プロファイルと目標があります。
- 入力テンプレート: 悪意のある入力、プロンプト インジェクション、ジェイルブレイクの試行、センシティブ データのアップロードを防止することに重点を置いています。
- 出力テンプレート: モデルが機密データを漏洩したり、有害なコンテンツやブランドにそぐわないコンテンツを生成したり、悪意のある URL を返したりすることを防ぐことに重点を置いています。テンプレートを分離することで、よりきめ細かい制御、ブロックのトレーサビリティの向上、チューニングの容易化が可能になります。
- 偽陽性の影響: 偽陽性により、正当なプロンプトやレスポンスが誤ってブロックされ、ユーザー エクスペリエンスが低下する可能性があります。
Low and above設定は徹底的ですが、AI アプリケーションで大量の偽陽性が発生する可能性があります。 - カテゴリ固有のチューニング: 最適なフィルタレベルは、防止しようとしている有害性のカテゴリによって異なります。たとえば、プロンプト インジェクションとジェイルブレイクの検出、一般的なコンテンツの安全性(ヘイトスピーチ、ハラスメント、危険なコンテンツ)の両方で、偽陽性を最小限に抑えるために
HighまたはMedium and aboveから始めます。 - 反復テスト: 既知の良好な例と不良な例を含む、プロンプトとレスポンスの代表的なデータセットに対して、常にフィルタ構成をテストします。誤検出のベースラインを確立し、それに応じてレベルを調整します。
- モニタリング: 本番環境でフィルタのパフォーマンスを継続的にモニタリングし、予期しないブロック動作や誤検出の急増を検出します。
- ユーザー フィードバック: コンテンツが誤ってブロックされた場合にユーザーが報告できるメカニズムを提供します。このフィードバックは、フィルタレベルの調整に非常に役立ちます。
構成戦略の例
- 初回デプロイ:
- 一般的な責任ある AI フィルタ(ヘイトスピーチとハラスメント)を
Highに設定します。 - プロンプト インジェクションとジェイルブレイクの検出フィルタを
Mediumに設定します。Gemini Enterprise などのアプリケーションの場合は、誤検出を避けるためにしきい値をHighに設定します。 - 高度な Sensitive Data Protection テンプレートを使用して、ユースケースに必要な infoType を構成します。基本的な Sensitive Data Protection では、主に米国リージョンを対象とした限定的な infoType が提供されます。
- 一般的な責任ある AI フィルタ(ヘイトスピーチとハラスメント)を
- テストと検証:
- 既知の安全なクエリのセットを使用して徹底的にテストし、ブロックされないことを確認します。
- 一般的なユーザー トラフィックに対する誤検出率を評価します。
- 調整:
- 偽陽性が引き続き大量に発生する場合は、しきい値を
Highに変更します。 - 特定のカテゴリに対する保護が不十分と思われる場合は、徹底的なテストを行ったうえで、そのカテゴリのみのしきい値を慎重に引き下げることを検討してください。
- 偽陽性が引き続き大量に発生する場合は、しきい値を
各カテゴリの特定のリスクと偽陽性の許容度に基づいてフィルタレベルを慎重に選択することで、Model Armor の有効性を最適化できます。偽陽性と偽陰性を報告するには、 Cloud カスタマーケアにお問い合わせください。
Model Armor フィルタ
Model Armor は、安全でセキュアな AI モデルの提供に役立つさまざまなフィルタを提供します。次のフィルタ カテゴリを使用できます。
責任ある AI の安全フィルタ
プロンプトとレスポンスは、次のカテゴリに対して指定された信頼度でスクリーニングできます。
| カテゴリ | 定義 |
|---|---|
| ヘイトスピーチ | ID や保護されている属性をターゲットとする否定的なコメントや有害なコメント |
| 嫌がらせ | 他人をターゲットにした脅し、威圧表現、いじめ、虐待的な内容を含むコメント |
| 露骨な性表現 | 性行為やわいせつな内容に関する情報が含まれるコンテンツ |
| 危険なコンテンツ | 有害な商品、サービス、アクティビティへのアクセスを促進または可能にするコンテンツ。 |
| CSAM | 児童性的虐待のコンテンツ(CSAM)への言及が含まれています。このフィルタはデフォルトで適用され、オフにすることはできません。 |
プロンプト インジェクションとジェイルブレイクの検出
プロンプト インジェクションは、攻撃者がテキスト入力(プロンプト)に特別なコマンドを挿入して AI モデルを騙そうとするセキュリティ脆弱性です。これにより、AI が通常の指示を無視したり、機密情報を開示したり、意図しないアクションを実行したりする可能性があります。
LLM のコンテキストでのジェイルブレイクとは、モデルに組み込まれている安全プロトコルと倫理ガイドラインをバイパスする行為を指します。これにより、LLM は有害、非倫理的、危険なコンテンツなど、本来回避するように設計されている回答を生成する可能性があります。
プロンプト インジェクションとジェイルブレイクの検出が有効になっている場合、Model Armor はプロンプトとレスポンスで悪意のあるコンテンツをスキャンします。検出されると、Model Armor はプロンプトまたはレスポンスをブロックします。
Sensitive Data Protection
Sensitive Data Protection は、機密データの検出、分類、匿名化を支援する Google Cloud サービスです。Sensitive Data Protection は、機密要素、コンテキスト、ドキュメントを識別して、AI ワークロードに対するデータ漏洩のリスクを軽減します。Sensitive Data Protection を Model Armor 内で直接使用すると、機密性のないコンテキストを保持しながら、機密性の高い要素を変換、トークン化、削除できます。Model Armor は、既存の検査テンプレートを受け入れることができます。このテンプレートは、ビジネスとコンプライアンスのニーズに固有の機密データのスキャンと識別プロセスを効率化するためのブループリントとして機能します。これにより、Sensitive Data Protection を使用する他のワークロードとの一貫性と相互運用性が確保されます。
Model Armor には、Sensitive Data Protection の構成用に次の 2 つのモードがあります。
基本構成: このモードでは、スキャンするセンシティブ データのタイプを指定して Sensitive Data Protection を構成します。このモードは、次のカテゴリをサポートしています。
- クレジット カード番号
- 米国の社会保障番号(SSN)
- 金融口座番号
- 米国の個人納税者識別番号(ITIN)
- Google Cloud 認証情報
- Google Cloud API キー
基本構成では検査オペレーションのみがサポートされ、Sensitive Data Protection テンプレートの使用はサポートされていません。詳細については、Sensitive Data Protection の基本構成をご覧ください。
高度な構成: このモードでは、Sensitive Data Protection テンプレートを使用して、柔軟性とカスタマイズ性が向上します。Sensitive Data Protection テンプレートは、より詳細な検出ルールと匿名化手法を指定できる事前定義済みの構成です。高度な構成では、検査オペレーションと匿名化オペレーションの両方がサポートされています。詳細については、Sensitive Data Protection の高度な構成をご覧ください。
Sensitive Data Protection の信頼度は、他のフィルタの信頼度とは動作が異なります。Sensitive Data Protection の信頼度の詳細については、Sensitive Data Protection の一致の可能性をご覧ください。Sensitive Data Protection の概要については、Sensitive Data Protection の概要をご覧ください。
悪意のある URL の検出
悪意のある URL は、正規の URL に見せかけるために偽装されていることが多く、フィッシング攻撃やマルウェアの配布など、オンラインの脅威に利用される強力なツールとなっています。たとえば、PDF に不正な URL を埋め込み、LLM 出力を処理するダウンストリーム システムを侵害するために使用される可能性があります。
悪意のある URL の検出が有効になっている場合、Model Armor は URL をスキャンして、悪意のある URL かどうかを特定します。これにより、対策を講じ、悪意のある URL が返されるのを防ぐことができます。
適用タイプを定義する
違反が検出された後の処理を定義します。Model Armor が検出を処理する方法を構成するには、適用タイプを設定します。Model Armor には次の適用タイプがあります。
- 検査のみ: このモードでは、Model Armor は構成されたセキュリティ ポリシーと安全性ポリシーに照らしてコンテンツを分析します。違反が見つかった場合、モニタリングと分析のために詳細が Cloud Logging に記録されます。ただし、統合サービスによるリクエストまたはレスポンスの処理は停止しません。これは、ライブ トラフィックに影響を与えることなく、新しいポリシーのテスト、違反率の把握、監査を行う場合に便利です。このモードのメリットを得るには、Cloud Logging を有効にする必要があります。
- 検査とブロック: このモードはアクティブな保護を提供します。Model Armor が違反を検出すると、イベントをログに記録するだけでなく、違反コンテンツの進行を阻止します。たとえば、準拠していないプロンプトはモデルに到達する前にブロックされ、安全でないモデルのレスポンスはユーザーに送信される前に停止されます。
適用タイプの選択は、Model Armor 統合の動作と適用される保護レベルの基本となります。この設定は通常、Model Armor テンプレートとフロア設定内で構成でき、さまざまなユースケースと統合サービスに対してさまざまなレベルの適用を可能にします。詳細については、テンプレートの適用タイプを定義するとフロア設定の適用タイプを定義するをご覧ください。
各モードの機能は次のとおりです。
| モード | 関数 | 影響 | ユースケース |
|---|---|---|---|
Inspect only |
Model Armor は、ポリシー違反の可能性(責任ある AI フィルタによってフラグが設定されたコンテンツ、センシティブ データの可能性、プロンプト インジェクションの試みなど)を検出すると、検出イベントを Cloud Logging に記録します。ただし、プロンプトが LLM に送信されることや、LLM からのレスポンスが返されることを防ぐことはありません。 | 検出された時点で Model Armor による明らかなブロックや変更が行われることなく、AI アプリケーションとのやり取りが継続されます。チェックでブロックが発生しなかった場合と同様のレスポンスが返されます。 | ポリシーのテストと調整: 新しい AI エージェントをデプロイする組織は、早期ユーザーに影響を与えることなく、問題が発生する可能性のあるプロンプトやレスポンスの種類と頻度を把握したい場合があります。検出項目を 新たな脅威のモニタリング: セキュリティ チームは、このモードを使用して、アプリケーションの機能に影響を与えることなく、新しいタイプのプロンプト インジェクションの試行や予期しないセンシティブ データ漏洩をモニタリングできます。 コンプライアンス監査: ブロックされなかった場合でも、潜在的な違反をすべてロギングすると、コンプライアンス レポートとリスク評価に役立つデータが得られます。 |
Inspect and block |
これはアクティブな適用モードです。Model Armor は、構成された検出器とそのしきい値に基づいてポリシー違反を検出すると、イベントをログに記録し、リクエストをブロックする判定を提供します。呼び出し元のサービス、統合ポイント、またはポリシー適用ポイント(PEP)は、それ以降の処理をブロックする役割を担います。
|
違反が見つかった場合、リクエストは拒否されるか、LLM からレスポンスが返されません。リクエストを処理できないことを示すメッセージがアプリケーションから返されます。具体的なメッセージは、クライアント アプリケーションが Model Armor からのブロック判定を処理するように設計されているかどうかによって異なります。 |
有害なコンテンツを防止する:
Sensitive Data Protection:
プロンプト インジェクションとジェイルブレイクの検出を停止:
安全でない URL をブロックする:
カスタム トピックを適用する:
|
ベスト プラクティスとして、まず Inspect only を使用して、特定のユースケースの潜在的なブロック率と有効性を把握します。ログを分析して構成を調整したら、アクティブな保護のために Inspect and block に切り替えることができます。
Inspect only を効果的に使用して貴重な分析情報を得るには、Cloud Logging を有効にします。Cloud Logging が有効になっていないと、Inspect only は有用な情報を生成しません。
Cloud Logging を使用してログにアクセスします。サービス名 modelarmor.googleapis.com でフィルタします。テンプレートで有効にしたオペレーションに関連するエントリを探します。詳細については、ログ エクスプローラを使用してログを表示するをご覧ください。
Model Armor のフロア設定
Model Armor テンプレートは個々のアプリケーションに柔軟性を提供しますが、組織は多くの場合、すべての AI アプリケーションにわたって保護のベースライン レベルを確立する必要があります。このベースラインを確立するには、Model Armor のフロア設定を使用します。これらは、 Google Cloud リソース階層のプロジェクト レベルで作成されたすべてのテンプレートの最小要件を定義します。
詳細については、Model Armor のフロア設定をご覧ください。
言語サポート
Model Armor フィルタは、複数の言語にわたるプロンプトと回答のサニタイズをサポートしています。
- Sensitive Data Protection フィルタは、選択した infoTypes に応じて、英語やその他の言語をサポートしています。
責任ある AI とプロンプト インジェクションとジェイルブレイクの検出のフィルタは、次の言語でテストされています。
- 中国語(北京語)
- 英語
- フランス語
- ドイツ語
- イタリア語
- 日本語
- 韓国語
- ポルトガル語
- スペイン語
これらのフィルタは他の多くの言語でも機能しますが、結果の品質は異なる場合があります。言語コードについては、サポートされている言語をご覧ください。
多言語検出を有効にする方法は 2 つあります。
リクエストごとに有効にする: 詳細な制御を行うには、ユーザー プロンプトをサニタイズするときとモデル レスポンスをサニタイズするときに、リクエストごとに多言語検出を有効にします。
1 回限りの有効化: よりシンプルな設定を希望する場合は、REST API を使用して、Model Armor テンプレート レベルで多言語検出を 1 回限りの構成として有効にできます。詳細については、Model Armor テンプレートを作成するをご覧ください。
ドキュメントのスクリーニング
ドキュメントのテキストには、悪意のあるコンテンツやデリケートなコンテンツが含まれている可能性があります。Model Armor は、次のタイプのドキュメントの安全性、プロンプト インジェクションとジェイルブレイクの試行、センシティブ データ、悪意のある URL をスクリーニングできます。
- CSV
- テキスト ファイル(TXT)
- Microsoft Word ドキュメント: DOCX、DOCM、DOTX、DOTM
- Microsoft PowerPoint スライド: PPTX、PPTM、POTX、POTM、POT
- Microsoft Excel シート: XLSX、XLSM、XLTX、XLTM
データの取り扱いと保存
Model Armor は、プライバシーとデータ最小化の原則を念頭に置いて設計されています。プラットフォーム ロギングを明示的に構成して有効にしない限り、Model Armor は AI インタラクションのコンテンツを保存しません。これにより、データ保持を制御できます。このセクションでは、Model Armor がデータを処理する方法について説明します。
- ステートレス処理とコンテンツの破棄: Model Armor はステートレス サービスとして動作し、すべてのプロンプトとモデルのレスポンスをメモリ内で完全に処理します。標準オペレーション中に分析されたコンテンツをログに記録したり、保存したり、永続的に保持したりすることはありません。分析が完了すると、すべてのデータは直ちに破棄されます。
- お客様が制御するロギング: 処理中のコンテンツに関連するデータが保存されるのは、Cloud Logging を使用する場合のみです。Model Armor サービスで Cloud Logging を有効にすると、イベントの詳細(構成に応じてメタデータや分析されたコンテンツのスニペットなど)が、指定された Cloud Logging の宛先に送信されます。ロギングされるデータの範囲とその保持期間は、Cloud Logging の構成によって決まります。
- 安全なストレージと暗号化: Model Armor で処理されるすべてのデータは、業界標準の暗号化によって保護されます。これには、TLS 1.2 以降を使用して転送中のデータと、分析中にメモリに一時的に存在するデータが含まれます。
- リージョン データ所在地: Model Armor の処理はステートレスですが、このサービスは厳格なデータ所在地管理をサポートしています。これにより、すべての一時処理が、
USやEUなど、定義された地理的境界内でのみ行われるようになります。 - 選択的処理: 運用効率と地域コンプライアンスを確保するため、Model Armor はアクティブなフィルタのデータのみを送信して処理します。特定のフィルタが無効になっている場合(地域の可用性やユーザー設定など)、そのフィルタに関連付けられている基盤となるサービスにデータが送信されたり、処理されたりすることはありません。
- グローバル コンプライアンス標準: Google Cloud エコシステムの一部として、Model Armor は厳格なセキュリティ基盤の恩恵を受けています。インフラストラクチャは、SOC 1/2/3 や ISO/IEC 27001 などの認証を維持するために、定期的に独立した監査を受けています。
料金
Model Armor は、Security Command Center の統合された一部として購入することも、スタンドアロン サービスとして購入することもできます。料金については、 Security Command Center の料金をご覧ください。
トークン
生成 AI モデルは、テキストなどのデータをトークンという単位に分割します。Model Armor は、料金設定の目的で AI プロンプトとレスポンスのトークンの合計数を使用します。Model Armor は、各プロンプトとレスポンスで処理されるトークンの数を制限します。トークンの上限については、トークンの上限をご覧ください。
次のステップ
- Model Armor テンプレートについて確認する。
- Model Armor のフロア設定について確認する。
- Model Armor のエンドポイントについて確認する。
- プロンプトとレスポンスをサニタイズする。
- Model Armor の監査ロギングについて確認する。
- Model Armor に関する問題のトラブルシューティングを行う。