第11章. プロセスを信頼する

自分がやっていることをプロセスとして説明できなければ、何をしているのかわからない。

W.エドワーズ・デミング

本書の大半を費やして、LLMテクノロジーを生産現場に適用することの危険性を探ってきた。テクノロジーには大きな力がある一方で、多くのリスクもある。セキュリティー、プライバシー、財務、法律、風評などのリスクはいたるところにあるようだ。それを理解した上で、どうすれば自信を持って前進できるだろうか？今こそ、実行可能で、耐久性があり、再現性のあるソリューションについて語る時だ。各リスクに対する実践的な軽減策について説明してきたが、個々のリスクをパッチワークのように取り組むだけでは、うまくいかないだろう。成功のためには、開発プロセスにセキュリティを組み込む必要がある。

この章では、プロジェクトを成功させるための重要な要素として浮上してきた 2 つのプロセス要素について説明する。まず、DevSecOps の動きの進化と、それがどのように大規模ソフトウエアプロジェクトのアプリケーションセキュリティの中心になったかを議論する。AI/MLとLLMに関する特定の課題を包含するために、DevSecOpsがどのように進化してきたかを検証する。このディスカッションの一環として、セキュリティの脆弱性をスキャンする開発時ツールと、本番環境でLLMを保護するのに役立つランタイムツール（ガードレールとして知られている）を見ていく。

また、セキュリティ・テストがどのように進化してきたか、AIレッド・チーミングという新たな分野についても見ていく。サイバーセキュリティの円では、レッドチームは長い間存在していたが、LLMプロジェクトに適用される特定のテクニックが進化したため、AIのレッドチームが最近脚光を浴びている。

DevSecOpsの進化

DevOpsの起源は、ソフトウェア開発（Dev）とIT運用（Ops）チーム間のより良いコラボレーションと統合に対するニーズの高まりにレスポンスして登場した2000年代初頭に遡ることができる。このニーズは、従来のソフトウェア開発方法論に見られた限界から生じたもので、サイロ化したチーム、リリースの遅延、開発オブジェクトと運用の安定性との間の整合性の必要性などにつながることが多かった。DevOps運動は、コラボレーション、自動化、継続的インテグレーション、継続的デリバリ（CI/CD）の文化を促進することによってこのギャップを埋めることを目的とし、それによってソフトウェアデプロイのスピードと品質を向上させた。

DevOpsの原則、プラクティスが成熟し、広く採用されるようになるにつれて、セキュリティの原則を開発ライフサイクルに統合することの重要性がますます明らかになった。この認識が、DevOpsプロセスにセキュリティ（Sec）を統合することにつながり、DevSecOpsが誕生した。DevSecOpsは、設計からデプロイまで、ソフトウェア開発プロセスのあらゆるフェーズにセキュリティを組み込むことで、DevOpsのプラクティスを充実させる。その目的は、セキュリティへの配慮を後回しにせず、ワークフローに統合することで、脆弱性の早期発見と緩和を可能にし、より安全なソフトウェアを構築することである。

われわれは、LLMを使用するアプリケーションの開発とデプロイにおいても、このようなプロアクティブなセキュリティ姿勢を可能にしたいと考えている。そのために、DevOpsとDevSecOpsの原則は、AI/MLシステムのデプロイと管理に特有の課題と要件に対処する ...