The Linux Foundation Japanは2月6日、AI開発などにおけるソフトウェアなど部品表(SBOM)の利用について解説した日本語版資料「SPDX 3.0を用いたAI部品表(AI BOM)の実装」を公開した。
同資料は、SBOMの標準的なフォーマットの1つとなる「System Package Data Exchange(SPDX) 3.0」を活用して、ソフトウェア開発などに使用するコンポーネントやライブラリーなどの管理に加え、AI特有のセキュリティやリスク、権利、エネルギー消費といった従来のソフトウェア開発領域を超える範囲の内容を取り入れているという。
資料では、AIやデータ集約型アプリケーション特有の課題として、「同意や意図を無視したデータの不適切な利用によるデータセキュリティ侵害、モデル改ざんや敵対的攻撃といったAIセキュリティの脅威が含まれる。また、設計上の判断、既知のバイアス、エネルギー消費、基本的権利への影響評価といった、非従来型のソフトウェア エンジニアリング要素を文書化する規制義務は、AIリスク管理を著しく複雑化させる可能性がある。さらに、データセットやモデルに対するオープンライセンスの普及が進む中で、複雑な行動利用条項を伴う場合が多く、新たなAIリスク管理上の考慮事項が生じている」(同資料より抜粋)と指摘する。
AI-BOMでは、ソフトウェア開発で活用の重要性が提起されているSBOMを拡張して、アルゴリズムやデータ収集方法、フレームワークとライブラリー、ライセンス情報、標準コンプライアンスなどを示している。
