AI開発やRAG開発の発注では、画面や機能だけを見てもリスクを判断できない。どのモデルを使うのか、どのデータを参照するのか、どのライブラリや外部APIに依存するのか、プロンプトや評価データは誰が管理するのか。これらが曖昧なまま進むと、運用開始後に費用、セキュリティ、保守責任が見えなくなる。
そこで使える考え方が AI SBOM である。
SBOMは本来、Software Bill of Materials、つまりソフトウェア部品表を意味する。AI開発ではこの考え方を拡張し、AIシステムを構成するモデル、データ、プロンプト、外部サービス、OSS、評価基盤まで棚卸しする必要がある。
AI開発で「部品」が見えないと何が起きるか
AI開発は、従来の業務システムよりも外部依存が多い。
| 構成要素 | 例 | 見えない場合のリスク |
|---|---|---|
| LLM | OpenAI、Anthropic、Google、Azure OpenAIなど | 料金変更、利用規約、データ送信範囲が不明 |
| Embedding | 埋め込みモデル | RAGの検索品質や再構築費が読めない |
| Vector DB | pgvector、Pinecone、Weaviateなど | ロックイン、月額費用、権限管理が不明 |
| OSS | LangChain、LlamaIndex、各種SDK | 脆弱性、保守停止、ライセンスリスク |
| データ | FAQ、議事録、契約書、マニュアル | 個人情報、機密情報、古い情報の混入 |
| プロンプト | system prompt、ツール定義 | 属人化、変更履歴不明、品質劣化 |
| 評価データ | 正解データ、NG例、テスト質問 | 本番品質を測れない |
見積書に「AIチャットボット一式」「RAG構築一式」としか書かれていない場合、これらの責任分界が曖昧になる。
OUTCOME BLUEPRINT
AI/DX投資の前に、成果KPIと発注条件を整理しませんか?
補助金、SaaS選定、開発見積、PoCの前に、業務要件・費用レンジ・RFP・合格条件を成果起点で整理します。
AI SBOMで発注前に確認する7項目
1. 使うモデルと切替条件
モデル名だけでなく、なぜそのモデルを使うのか、将来どう切り替えるのかを確認する。API料金、応答速度、データ保持条件、国内リージョン対応、法人契約の有無も見ておきたい。
2. 学習・参照データの範囲
RAGでは「どの文書を入れるか」が品質を決める。社内マニュアル、FAQ、契約書、議事録、過去問い合わせなどを対象にする場合、情報の鮮度、所有部門、閲覧権限、削除ルールを整理する必要がある。
3. OSSとライブラリの棚卸し
AI開発ではOSSの利用が多い。LangChain、LlamaIndex、Transformers、各種ベクトルDBクライアントなど、利用ライブラリとバージョンを一覧化し、脆弱性対応の責任を決める。
4. 外部APIとデータ送信範囲
AIシステムは、LLM APIだけでなく、OCR、翻訳、検索、メール、CRM、ストレージなど複数APIに接続することがある。どのデータが外部に送られるのか、ログに残るのか、保存期間はどうなるのかを確認する。
5. プロンプトと設定の変更管理
プロンプトはAIシステムの仕様書に近い。誰が変更できるか、変更履歴を残すか、変更後に評価を通すかを決める必要がある。
6. 評価データと品質基準
「精度が高い」という表現だけでは発注判断できない。業務ごとのテスト質問、正解例、NG回答、拒否すべき回答を用意し、定期的に評価する仕組みが必要だ。
7. 運用費と保守責任
AI開発は作って終わりではない。API費用、ベクトルDB費用、ログ保存費用、評価運用、データ更新、プロンプト改善、脆弱性対応まで月額費用に入る。
RAG発注で特に見落としやすいポイント
RAG開発では、ドキュメント投入と検索精度ばかりに目が行きがちだ。しかし実務では次の項目が重要になる。
- 文書ごとの閲覧権限を維持できるか
- 古い文書や廃止規程を除外できるか
- 回答に参照元を出せるか
- 回答できない質問を拒否できるか
- ベクトルDBの再構築手順があるか
- 検索ログから改善できるか
- 個人情報や機密情報をマスキングできるか
AI SBOMの考え方を使うと、こうした構成要素を発注前に見える化できる。
FREE DOWNLOAD
AI/RAG導入後のKPIと改善運用、先に設計しませんか?
PoCで終わらせず、利用率・精度・削減工数・改善バックログまでOutcomeOpsで回す設計を確認できます。
発注時にRFPへ入れるべき表現
AI開発やRAG開発を外注する場合、RFPには次のような項目を入れておくとよい。
- 利用するモデル、外部API、OSS、データベースを一覧で提示すること
- 利用OSSのライセンスと脆弱性対応方針を提示すること
- モデル変更時の影響範囲と切替手順を提示すること
- プロンプト、評価データ、設定ファイルの管理方法を提示すること
- 本番運用時のログ、監視、月次改善の範囲を提示すること
- データ送信先、保存期間、削除方法を提示すること
この粒度まで書けると、ベンダー比較で「安いが中身が見えない提案」を避けやすくなる。
関連記事
AI開発・RAG開発の発注前に、構成要素を見える化しませんか
GXOでは、AI SBOMの考え方を使い、モデル、データ、OSS、外部API、評価データ、運用費まで発注前に整理します。RAG開発やAIチャットボットのRFP作成前にご相談ください。
※ 初回相談では、現状のデータ・利用予定ツール・発注前の不安点を整理します。
