AWS Bedrock Guardrails と生成AIアプリ｜BtoB向け安全柵とプロンプト／応答フィルタの実装イメージ

生成AI（LLM）をビジネス、特にBtoBの商用環境や社内基盤として導入する際、避けて通れないのが「安全性の担保」です。プロンプトインジェクションによる不適切な出力や、個人情報（PII）の流出、そして「ハルシネーション（もっともらしい嘘）」による誤情報の提供は、企業の社会的信用に直結します。

これらのリスクに対し、アプリケーション側のコードで一つずつバリデーションを記述するのは、運用保守の観点から現実的ではありません。そこで注目されているのが、Amazon Bedrockのマネージド機能である「Amazon Bedrock Guardrails」です。本記事では、実務者がBedrock Guardrailsをどのように設計・実装し、セキュアなAIアプリケーションを構築すべきか、その詳細を解説します。

Amazon Bedrock Guardrailsとは何か？BtoB利用で必須とされる理由

Amazon Bedrock Guardrailsは、生成AIアプリケーションに対して一貫性のある「安全柵」を設置できる機能です。モデルの種類（Claude、Llama、Mistral等）を問わず、共通のセキュリティポリシーを適用できる点が最大のメリットです。

生成AIの「自由度」を制御するエンタープライズ向け安全柵

多くのLLMは、モデル単体でも安全な回答を心がけるように学習されています。しかし、BtoBの現場では「モデルとしての安全性」だけでは不十分です。例えば、自社の競合他社について語らせない、特定の専門外のトピック（投資判断や医療診断など）には回答させないといった、「ビジネスコンテキストに依存した制約」が必要になります。

モデル独自の安全機能とGuardrailsの違い

AnthropicのClaude 3やMetaのLlama 3には、標準でセーフティフィルターが組み込まれています。しかし、これらはモデルのアップグレードによって挙動が変わる可能性があり、また開発者が細かく制御することは困難です。Bedrock Guardrailsは、モデルの手前（入力）と後ろ（出力）に独立した層として存在するため、アプリケーション全体で一貫したガバナンスを維持できます。

Bedrock Guardrailsの主要機能とフィルタリングの仕組み

Guardrailsは、主に以下の5つのフィルタリング機能を組み合わせて構成されます。これらを単一の「ガードレール」としてパッケージ化し、バージョン管理を行うことが可能です。

• コンテンツフィルタ：ヘイト、侮辱、性的、暴力、不適切な助言など、6つのカテゴリに対して「低・中・高」のしきい値を設定し、不適切な入出力をブロックします。
• 拒否トピック（Denied Topics）：特定の話題について、自然言語で定義した説明に基づき拒否します。例えば「自社以外のSaaS製品の比較については回答しない」といった定義が可能です。
• PII（個人情報）フィルタ：名前、住所、メールアドレス、クレジットカード番号などの個人情報を検知します。ブロックするだけでなく、出力を「[EMAIL]」のようにマスキングすることも可能です。
• ワードフィルタ：特定の禁止用語リストや、プロンプトインジェクションでよく使われる攻撃パターンをブロックします。
• コンテキストの接地性チェック（Contextual Grounding Check）：RAG（検索拡張生成）構成において、回答がソース資料（コンテキスト）に基づいているか、プロンプトに忠実かを検証し、ハルシネーションを検知します。

こうした基盤の整備は、単なるセキュリティ対策にとどまりません。例えば、SFA・CRM・MA・Webの違いを理解し、データ連携の全体設計図を描く際、各チャネルから集まる顧客データにAIが触れる環境では、こうした「ガードレール」によるPII保護がデータガバナンスの要となります。

【比較表】Amazon Bedrock Guardrails vs 自前実装（Lambdaバリデーション）

フィルタリングをアプリケーションコード（AWS Lambda等）で実装する場合と、Bedrock Guardrailsを利用する場合の比較を以下の表にまとめました。

実践：Bedrock Guardrailsの設定と実装イメージ

実際にBedrock Guardrailsを導入する際の手順をステップバイステップで解説します。

ステップ1：AWSコンソールでの「ガードレール」作成

Amazon Bedrockのコンソールから「Guardrails」を選択し、「Create guardrail」をクリックします。ここで名前と説明を入力し、必要なフィルタを有効化します。特に「Sensitive information filters」では、日本独自のマイナンバーなどはカスタム正規表現で定義する必要がありますが、一般的なメールアドレスや電話番号はプリセットで対応可能です。

ステップ2：拒否メッセージの定義

フィルタリングに抵触した場合にユーザーへ返すメッセージをカスタマイズします。「申し訳ありませんが、その質問にはお答えできません」といった定型文を、企業のトーン＆マナーに合わせて設定します。

ステップ3：Boto3（Python）によるAPI連携の実装

実装側では、invoke_model APIを呼び出す際に guardrailIdentifier と guardrailVersion を指定するだけで適用されます。

もし入力がフィルタリングされた場合、モデルの推論は実行されず、即座に設定した拒否メッセージが返されます。これにより、推論コストの無駄を省きつつ、安全性を確保できます。こうした自動化の考え方は、他の業務改善にも応用可能です。例えば、楽楽精算×freee会計の「CSV手作業」を滅ぼすアーキテクチャに見られるような、人間による介在を減らしシステムで整合性を担保するアプローチと本質的に同じです。

BtoBにおける具体的な活用ユースケース

カスタマーサポート：ブランドイメージの保護

顧客向けのチャットボットで、競合他社の製品を褒めたり、自社製品の欠陥を過度に強調したりするような「ハルシネーション」は命取りです。拒否トピック機能を用いて「競合比較」「非公開のロードマップ」に関する回答を制限することで、AIの暴走を防ぎます。

社内業務効率化：PIIの自動マスキング

従業員がAIを使って議事録の要約やメールの添削を行う際、ついうっかり顧客名や電話番号を入力してしまうことがあります。GuardrailsのPIIフィルタを「マスキング」設定で運用すれば、AIモデルには伏せ字の状態でデータが渡り、セキュリティポリシーに準拠したまま業務効率化を推進できます。

さらに高度なDXを推進するなら、Excelと紙の限界を突破する「Google Workspace × AppSheet」業務DX完全ガイドで解説しているようなノーコードツールとBedrockを連携させ、フロントエンドの入力時点から安全性を担保する設計も有効です。

運用上の注意点とトラブルシューティング

Guardrails適用時の追加料金

Bedrock Guardrailsの利用には、通常のモデル推論料金に加えて「ポリシー評価料金」が発生します。
公式ドキュメントによれば、テキスト1,000トークンあたりの評価料金が設定されています（最新の料金はAWS公式の料金ページをご確認ください）。大規模なトラフィックがあるアプリでは、コスト試算を事前に行うことが重要です。

よくあるエラー：不必要なブロック（過検知）

「コンテンツフィルタ」の強度をすべて「High」に設定すると、一般的なビジネス用語までもが不適切と判断される場合があります。まずは「Low」または「Medium」から開始し、テストデータを用いて「ブロックされるべきでない入力」が通るかを確認してください。

ストリーミング応答への影響

InvokeModelWithResponseStream を使用する場合、Guardrailsはリアルタイムでチャンクをスキャンします。不適切な内容が検出された瞬間、ストリームは中断され、設定された拒否メッセージに差し替わります。この際、ユーザーには「途中まで表示されていた回答がいきなり消えて拒否メッセージになる」という挙動に見えるため、UI側でのフォロー（エラーハンドリング）が必要です。

まとめ：安全な生成AI基盤構築のために

Amazon Bedrock Guardrailsは、BtoBにおける生成AI活用を「実験」から「実務」へと引き上げるための必須コンポーネントです。モデルの進化に依存せず、企業独自の倫理規定やセキュリティポリシーを中央集権的に管理できるメリットは、運用が長期化するほど大きくなります。

セキュアなAI基盤を構築した先には、データ活用による真のDXが待っています。安全柵を正しく設置し、攻めのIT投資を加速させていきましょう。