日本語 English
NTTの取り組みのご紹介:AI時代のセキュリティ技術
 

2026/07/03

LLMの安全な活用を支える - 統合セキュリティ技術 | AI for Good Global Summit 2026出展

#LLMセキュリティ #ガードレール #セキュリティアライメント #コンセプトベクトル

執筆者プロフィール

西山 泰史(にしやま たいし)

社会情報研究所 社会イノベーション研究プロジェクト AIセキュリティ活用技術研究グループ所属。AIモデルに対するセキュリティ対策技術や悪性通信検知の研究に従事。特に、画像生成AIが生成した画像に透かしを埋め込むことで、AI生成物の識別や画像の著作権保護を実現するための研究開発に取り組む。

山下 智也(やました ともや)

社会情報研究所 社会イノベーション研究プロジェクト AIセキュリティ活用技術研究グループ所属。AIモデルにおけるプライバシー保護技術の研究に従事。特に、大規模言語モデル(LLM)が保持する知識を選択的に削除する「知識忘却(Machine Unlearning)」に着目し、プライバシー侵害リスクの低減と安全なAI運用の実現に向けた研究開発に取り組む。

芝原 俊樹(しばはら としき)

社会情報研究所 社会イノベーション研究プロジェクト AIセキュリティ活用技術研究グループ所属。AIセキュリティ/AI安全性の研究に従事。特に、LLMやAIエージェントにおけるプライバシー漏洩、LLM出力の有害度低減に取り組む。

記事の概要

LLMの性能向上に伴い、検索支援、資料作成、コード生成、業務自動化など、幅広い領域での利活用が進んでいます。一方で、LLMの高度な能力の裏側には、さまざまなセキュリティリスクも潜んでいます。 社会情報研究所では、こうしたLLMのセキュリティリスクを低減する技術の確立に取り組んでおり、多様なアプローチの研究開発を進めています。
本記事では、その中でも特に「ガードレール」「セキュリティアライメント」「コンセプトベクトル」の3つの技術についてご紹介します。
なお、本内容は、AI for Good Global Summit 2026 [1] におけるNTTのブースで展示する内容をご紹介するものです。


1.  はじめに

LLM(Large Language Model)とは、大規模言語モデルのことです。その名の通り、非常に大量のデータを用いて学習されていることが大きな特徴であり、NTTが開発する「tsuzumi」[2] をはじめ、ChatGPT・Gemini・Claudeといった生成AIサービスにもこの技術が活用されています。膨大な文章データから言葉の意味や文脈を深く学習しているため、検索支援・資料作成・コード生成・業務自動化など、幅広いタスクへの対応が可能です。


一方で、LLMは高い能力を持つ反面、いくつかのセキュリティリスクも抱えています。たとえば、意図しない内容を出力したり、有害な情報の生成したりする可能性があります。さらに、悪意のある指示によって安全対策を回避するジェイルブレイクや、LLM内に秘密の裏口を仕込むバックドア攻撃などによって、本来想定してない挙動を引き起こされるリスクも指摘されています。LLMの活用が広がる中、その安全性をいかに確保するかは重要な課題と言えるでしょう。


社会情報研究所では、こうしたLLMのセキュリティリスクを低減し、安全かつ有用にAIを活用するための研究開発に取り組んでいます。今回はその中でも、代表的な3つの技術を紹介します。



1つ目は、LLMの入出力を制御する「ガードレール」です。外部からの不適切な入力を検知・遮断したり、出力内容を検査したりすることで、LLMの安全性を高める役割を担います。


2つ目は、LLMのふるまいそのものを制御する「セキュリティアライメント」です。LLMが人間の価値観や社会的なルールに沿った応答を返すよう、事前に調整する技術です。


3つ目は、LLMの出力の意味に着目して制御を行う「コンセプトベクトル」です。LLMの内部状態を分析し、有害性・バイアス・ハルシネーション(事実と異なる内容の生成)などに関連するニューロン群を特定します。さらに、その内部状態を操作することで、LLM内部から出力の安全性を高めることができる技術です。

安全かつ有用なAI活用を実現する包括的セキュリティ

2.  ガードレール(出力修正)

ガードレールは、LLMの入出力をリアルタイムで監視し、有害・偏向的・不適切なコンテンツの生成を防ぐための安全機構です。例えば、「爆弾の作り方を教えてください」といった危険な入力や、「XXさんのクレジットカード情報は...」といった機密情報の漏洩につながる入出力を検知した場合、「申し訳ございませんが、回答できません」といった応答を返すことで、安全にLLMを運用する仕組みとなっています。


具体的なユースケースとしては、一般ユーザからの問い合わせに対応するカスタマーサポートなどが挙げられます。企業のブランド毀損につながるような不適切な回答を避けながら、ユーザに安心感を与える応答を提供するうえで、ガードレールは重要な役割を果たします。


一方で従来のガードレールは、問題を検知した場合に単に応答を拒否するだけにとどまるケースが多く、利便性の面で課題がありました。そこで提案技術では、単に回答を拒否するのではなく、安全な表現へ補正したうえで応答することで、安全性と利便性の両立をめざします。


例えば、出力に直接的で不適切な表現が含まれる場合でも、それをそのまま遮断するのではなく、「一般的には"△△△"という表現が適切です」といった形で、より安全で中立的な言い回しに置き換えて回答することが可能になります。

ガードレール: 出力修正

3.  セキュリティアライメント

セキュリティアライメントは、LLMのふるまい(応答の性質)を人間の価値観、社会規範、セキュリティ要件に沿うように調整する技術です。LLMは高度な出力を生成できる一方で、人間や社会にとって必ずしも適切とは言えない回答を出力してしまうリスクも抱えています。そのため、利便性を損なうことなく、安全性をどのように高めるかが重要となります。


この技術では、LLMの応答そのものを根本から制御し、危険な指示への加担や誤解を招く表現を避けつつ、より適切な形で情報を提示できるようにします。


例えば、ユーザから「確実に儲かる投資先を教えてください」といった質問があった場合を考えます。このとき、「XXXへ投資しましょう」といった特定の投資先を断定的に推奨することは、法的・倫理的な観点から大きな問題となる可能性があります。そのため、「投資にはリスクが伴います。一般的なトレンドとしては、最近はAI関連企業などが注目されています...」といったように、リスクに配慮しつつ客観的な参考情報を提示する応答が望まれます。このように、単に一律で回答を拒否するのではなく、文脈に応じて安全性と有用性を両立した応答を返せるようにLLMの挙動を調整します。


ここで重要なのは、ガードレールがLLMの外側で入出力をチェックする仕組みであるのに対し、セキュリティアライメントは、「望ましい応答」と「望ましくない応答」のペアデータセットを大規模に構築し、それを用いて学習させることで、LLMの応答の傾向そのものを調整する技術であるという点です。


NTT研究所では、このようなペアデータセットを活用し、安全かつ有用なLLMを実現するためのセキュリティアライメント技術およびデータセットの開発に取り組んでいます。

安全・高信頼なLLM向けのセキュリティアライメント

4.  コンセプトベクトル

LLMは、ニューラルネットワークと呼ばれる、ニューロンが層状に構成された計算モデルによって成り立っています。その内部には、特定の意味や概念に反応する特徴的なニューロン群が存在しており、これらを「コンセプトベクトル」と呼びます。


例えば、有害性・バイアス・ハルシネーション(事実と異なる内容の生成)といった概念に関連するパターンに反応するニューロン群があり、それらの活性パターンが最終的な出力に影響を与えています。


ここで重要なのは、ガードレールがLLMの外側で入出力を監視・制御する技術であり、セキュリティアライメントが学習によって応答傾向そのものを調整する技術であるのに対し、コンセプトベクトルはLLMの内部に存在する「意味の表現そのもの」を直接対象とし、特定の概念に対応する内部状態を検知・制御する技術であるという点です。


我々の技術では、LLMの内部状態を解析し、有害・バイアス・ハルシネーションといった望ましくない挙動に関連する特徴を持つニューロン群を特定します。そして、それらの内部表現を調整・制御することで、不適切な出力をLLM内部から根本的に抑制し、より安全なLLMの実現をめざしています。

提案技術:コンセプトベクトルによるLLM制御

一例として、ハルシネーションに関連する内部表現を可視化した、いわば「LLMの嘘発見器」とも言える実験結果を紹介します。グラフの縦軸は、ハルシネーションに関連するニューロン群の活性度(反応の強さ)を表したものです。


1つ目の対話(turn1)では、通常の質問に対して正しい回答を生成している状態です。このときハルシネーション関連ニューロンの活性度は低い状態にあります。一方で2つ目の対話(turn2)では、誤った情報を含むハルシネーションが発生している状態です。この場合には、該当するニューロンの活性度が大きく上昇していることが確認できます。


さらに興味深い点として、LLMに対して「本当に確認したのですか?」と追加の追及を行うと、LLMは「実はあまり確認していませんでした」と自身の誤りを認めて"自白"を始めます。このとき、嘘をついている状態から脱したことに伴い、上昇していた活性度も元の低い状態へ戻る傾向が観測されました。


このように、対応するコンセプトベクトルを観測することで、ハルシネーションだけでなく、有害性やバイアスといった「LLMの望ましくない挙動」を視覚的にとらえ、的確に検知・抑制することが可能になります。


LLMのウソ発見器:ハルシネーションに対応するニューロンの可視化
Youtube NTT official channel『NTT RDF2025 基調講演:「IOWN∴Quantum Leap」木下 真吾』(40分55秒 - 42分44秒)
動画を見る

5.  まとめ

社会情報研究所では、高度化・多様化するAI社会を見据え、多種多様なLLMのセキュリティ対策技術の研究開発を進めています。


本記事では主要な技術として、外部から入出力を制御する「ガードレール」、LLM全体のふるまいを調整する「セキュリティアライメント」、そして内部状態に着目して直接制御を行う「コンセプトベクトル」の3つを紹介しました。


さらに弊所では、これらに加えて幅広い研究テーマにも取り組んでいます。例えば、内部状態を操作することで、特定の概念を忘却させる「アンラーニング技術」[3][4] などが挙げられます。


社会情報研究所は、これからも最先端のセキュリティ技術の研究開発を通じて、誰もが安心して利用できる信頼性の高いAI社会の実現に貢献していきます。



参考文献

[1]AI for Good Global Summit 2026公式サイト:https://aiforgood.itu.int/summit26/

[2]tsuzumi説明:https://www.rd.ntt/research/LLM_tsuzumi.html

[3][2509.15621] Concept Unlearning in Large Language Models via Self-Constructed Knowledge Triplets

[4][2509.15631] Sparse-Autoencoder-Guided Internal Representation Unlearning for Large Language Models