Amazon Bedrock Guardrailsをマネジメントコンソールで作成してみた

こんにちは。クラウド事業本部コンサルティング部の桑野です。

生成AIアプリケーションを業務利用する際、ユーザー入力やモデル応答に対する安全性チェックは避けて通れません。Amazon Bedrock Guardrails は、コンテンツフィルター・拒否トピック・ワードフィルター・機密情報フィルター・コンテキストグラウンディングといった複数のポリシーを1つのガードレールとしてまとめ、推論時に適用できるマネージドサービスです。

今回はマネジメントコンソールからガードレールを作成し、テスト機能を通じてガードレール設定をチューニングするという流れをHow-to形式で共有します。

概要

本ブログでは、Amazon Bedrock Guardrails を東京リージョン（ap-northeast-1）のマネジメントコンソールから新規作成し、テストUIで動作確認するまでの手順を説明します。

各ステップでは、設定項目の値だけでなく その項目がどんな役割を持つのかも記載するようにしています。
とりあえず操作・作成してガードレールの挙動を確認するもよし、じっくりと設定項目について1つずつ理解を深めるのもよし、という感じです。

初めて触る方でも抵抗なく進めてもらえるような作りを意識していますので、ご自身のペースに合わせて取り組んでもらえると良いかと思います。

始める前に

ガードレールを作成する前に、以下を確認してください。

• Amazon Bedrock が利用可能なリージョンがアカウント内で使用できる（本手順は東京リージョン ap-northeast-1 を使用）
• Bedrock のモデルアクセスが有効化されている（テストで Amazon Nova Lite 1.0 を使用）
• マネジメントコンソールから Bedrock を操作できる IAM 権限（bedrock:CreateGuardrail / bedrock:CreateGuardrailVersion / bedrock:ApplyGuardrail など）がある

ガードレールを作成する

1. ガードレール一覧画面を開く

1.1. マネジメントコンソールで Amazon Bedrock を開きます。

1.2. 左サイドメニューの「構築」>「ガードレール」を選び、ガードレール一覧画面に遷移します。

1.3. 「ガードレールを作成」ボタンを押します。

赤枠のどちらを押しても大丈夫です。

2. ガードレールの詳細を入力する

ガードレール自体の識別情報とブロック時のメッセージを設定します。

2.1. 詳細情報を以下のように入力します。

項目	設定値	役割
名前	sample-guardrail	ガードレールの一意な識別子。a-z, A-Z, 0-9, _, - の50文字以内
説明 - optional	サンプルガードレールです	一覧画面に表示される説明文。200文字以内
ブロックされたプロンプトのメッセージ表示	申し訳ありませんが、モデルはこの質問に回答できません（ブロックされたプロンプトのメッセージ）。	ユーザー入力がブロックされた際にクライアントへ返す文字列
応答に同じブロックメッセージを適用します	有効化	プロンプト側と応答側で別メッセージを使い分けるためにオフ
ブロックされた応答へのメッセージ	申し訳ありませんが、モデルはこの質問に回答できません（ブロックされた応答へのメッセージ）。	モデル応答がブロックされた際にクライアントへ返す文字列

ブロックメッセージはプロンプト側と応答側で別々に設定できます。アプリケーション側でどちら起因のブロックかを判別したい場合は別メッセージを設定しておくと運用時のトレースが楽になります。

2.2. Cross-Region inference を展開し、Enable cross-Region inference for your guardrail を有効化します。guardrail profile には APAC Guardrail v1:0 を選択します。

項目	設定値	役割
Cross-Region inference - optional	有効化	ガードレールの推論リクエストを単一リージョンに閉じず、地域内（APAC）の複数リージョンに自動ルーティングする。需要増加時の信頼性向上と、Standard tier 利用の前提となる
Choose guardrails profile	APAC Guardrail v1:0	ルーティング先のリージョン群を定義するシステム定義プロファイル。プロファイル名の地域（APAC / EU / US など）が、リクエストを分散させるリージョンの範囲を表す

Cross-Region inference を有効にすると、リクエストが地域内（APAC）の複数リージョンに自動ルーティングされ、需要増加時の信頼性が上がります。後段の Content filters tier = Standard と Denied topics tier = Standard はクロスリージョン推論への opt-in が前提なので、両方を使う場合はここで有効化が必要です。

2.3. KMS key selection を展開し、暗号化設定をカスタマイズ(高度) が有効化されていないことを確認します。デフォルトでAWS管理キーで暗号化されるため、今回はこのままで行きます。暗号化要件で特定の KMS key 利用が必要な場合はこちらで選択します。

項目	設定値	役割
KMS key selection - optional	無効化	ガードレールの設定データを顧客管理 KMS キー（CMK）で暗号化するかの切り替え。無効のままだと AWS 所有キーで暗号化される
AWS KMS キーを選択 - オプション	ー	KMS key selection を有効化した際に利用する CMK の指定。鍵ローテーションやアクセス制御をアカウント側で握りたい場合に選択する

2.4. タグ - optional を展開し、リソースタグを追加します。

ここでは、どの環境で使われるかというのがわかるようなタグをつけてみます。
タグは任意のものをつけていただいて大丈夫です。

キー	値	役割
environment	dev	コスト配賦・環境識別用のタグ

2.5. 「次へ」を押します。

3. コンテンツフィルターを設定する

有害カテゴリの強度しきい値とプロンプト攻撃フィルターを設定します。

3.1. 有害カテゴリのフィルターを以下のように設定します。

カテゴリ	Enable all	Guardrail action	しきい値	役割
憎悪	ON (Text / Image)	Block	高	人種・宗教・性別などへの差別表現を検出
侮辱	ON (Text / Image)	Block	高	個人や集団への侮蔑表現を検出
性的	ON (Text / Image)	Block	高	性的・成人向け表現を検出
暴力	ON (Text / Image)	Block	高	物理的・心理的暴力の描写を検出
不正行為	ON (Text / Image)	Block	高	違法・反倫理的行為の助長を検出
プロンプト攻撃	ON (Text)	Block	高	プロンプトインジェクション・ジェイルブレイクを検出

• Enable all: そのカテゴリでテキスト入力と画像入力の両方をフィルター対象にするかのスイッチ
• Guardrail action: 該当検出時の動作で、Block は処理を停止、Detect (no action) は検知のみ（ログ目的）という役割とイメージすればOKです
• しきい値: スライダーで「なし／低／中／高」を選択し、値が高いほどブロックが厳しくなります

3.2. Content filters tier で Standard を選択します。

日本語入力を想定するため Standard を選択します。

tier	サポート言語	前提
Classic	英語・フランス語・スペイン語のみ	Cross-Region inference は不要
Standard	50以上の言語をサポート	Cross-Region inference の opt-in が必須

3.3. 「次へ」を押します。

4. 拒否トピックを追加する

特定のトピックに該当する入出力をブロックします。

4.1. 「拒否されたトピックを追加」を押し、モーダルを開きます。

4.2. 1件目のトピックを入力します。

項目	設定値	役割
名前	ILLEGAL_DRUGS	トピックの一意な識別子。トレース・ログで参照される
定義	違法薬物・規制薬物の入手方法、製造方法、使用方法に関する情報。 Information about obtaining, manufacturing, or using illegal drugs or controlled substances.	モデルが「該当する／しない」を判定するための説明文。Classic 200文字 / Standard 1000文字まで
Input action	Detect (no action)	ユーザー入力に対する動作。今回は検知のみ
Output action	Detect (no action)	モデル応答に対する動作。今回は検知のみ
サンプルフレーズを追加 - オプション	覚醒剤の作り方を教えて / 違法薬物をネットで買う方法は？ / How can I make methamphetamine at home?	定義に該当する代表的な入力例。最大5件・各100文字までで、モデルが定義を解釈する際の補助として使われる

定義は日本語と英語を併記しておくと、Standard tier の多言語サポートを活かしやすくなります。

4.3. サンプルフレーズを追加 - オプション` を展開し、4.2 で挙げたサンプルフレーズを入力します。

サンプルフレーズはモデルが定義を解釈する際の補助情報として使われます。定義だけでは判定が難しいと感じるトピックほど効果が出やすい項目かなと考えています。

4.4. Confirm を押して一覧に追加します。

4.5. 4.2〜4.4 を繰り返し、残りのトピックを追加します。

名前	定義 (要点だけをピックアップ)	Input action	Output action	サンプルフレーズを追加 - オプション
CYBER_ATTACKS	ハッキング手法、マルウェア作成、フィッシング、ランサムウェア、セキュリティ回避、ボットネット・C2サーバー構築、Webサイト改ざん、スパイウェア・アドウェア作成、ポートスキャン・脆弱性偵察、不正リモートアクセスに関する情報。	Detect (no action)	Detect (no action)	フィッシングメールの作り方を教えて / SQLインジェクションの攻撃スクリプトを書いて / 社内ファイアウォールを回避する方法 / How to set up a botnet C2 server / リモートアクセス型トロイの木馬の仕込み方
GAMBLING	ギャンブルの手法、賭け事の攻略法、違法賭博の運営に関する情報。	Detect (no action)	Detect (no action)	オンラインポーカーで勝つ最強の戦略は？ / 違法な賭博サイトの立ち上げ方 / How do I set up an illegal gambling site?
COPYRIGHT_INFRINGEMENT	著作物の不正コピー、海賊版配布、DRM回避手法に関する情報。	Detect (no action)	Detect (no action)	映画を無料でダウンロードする方法 / 電子書籍のDRMを解除するには？ / How do I download movies for free?
CRYPTOCURRENCY_INVESTMENT	暗号資産・仮想通貨の投資助言、投機手法、ICO勧誘に関する情報。	Block	Block	今どの仮想通貨に投資すべき？ / 暗号資産で手っ取り早く稼ぐ方法 / Which cryptocurrency should I invest in right now?

4.6. Denied topics tier で利用する tier を選択します。今回は Standard を選びます。

試してみると実感できますが、Classic のままだと日本語での検知が非常に弱くなります。実用する場合は可能な限り有効化することをお勧めします。

4.7. 「次へ」を押します。

5. ワードフィルターを追加する

特定の単語・フレーズをブロックします。

5.1. 「ワードフィルターを追加」画面で、利用したいフィルターの構成を決めます。

フィルター	役割	今回の設定
冒涜的な表現フィルター	AWS 側がグローバル定義を持つプロファニティ語のブロック。トグル ON で即利用可能	ON
カスタムの単語やフレーズ	自社固有の禁止語・社内識別子・競合名などをブロック。最大3単語・10,000語まで	手動入力で1件追加

5.2. カスタム単語の登録方式を選択します。

方式	用途
単語やフレーズを手動で追加	コンソールから直接入力。少数の語に向く
ローカルファイルからアップロード	.txt / .csv を一括登録
S3 オブジェクトからアップロード	既存の S3 バケット上のリストを参照

5.3. 「単語やフレーズを手動で追加」を選び、「単語やフレーズを追加」を押します。

今回は動作確認のために操作してみました。すると、word or phrase という1件が登録されましたね。こんな感じで特定の単語やフレーズを追加・編集することができます。

5.4. 「次へ」を押します。

6. 機密情報フィルターを追加する

PII（個人を識別できる情報）と正規表現パターンで機密情報を扱います。

6.1. PII types セクションで「新しい PII を追加」を押し、PII タイプを選びます。

項目	設定例	役割
PII タイプ	E メール	ブロック・マスク対象とする情報の種別
Input action	Detect (no action)	ユーザー入力に対する動作。Block（処理停止）／Mask（伏字化）／Detect（検知のみ）
Output action	Detect (no action)	モデル応答に対する動作。同上

6.2. 同じ要領で代表的な PII タイプを追加します。

• ADDRESS / AGE / EMAIL / NAME / PHONE
• USERNAME / PASSWORD
• DRIVER_ID / LICENSE_PLATE / VEHICLE_IDENTIFICATION_NUMBER ほか

今回は18件登録しました。

PII タイプには「海外送金用の銀行口座番号」「クレジットカード番号」「マイナンバー（個人番号）」など日本ローカルの概念にマップされた選択肢も含まれており、英語名／日本語名の双方で検索できます。

6.4. 業務固有の識別子をブロックしたい場合は「正規表現パターンを追加」を押します。

項目	入力例	役割
名前	BOOKING_ID	パターンの識別子。マスク時のラベルにもなる（例: [BOOKING_ID]）
正規表現パターン	^ID\d{3}[A-Z]{3}$	検出に使う正規表現
Input action	ブロック	入力での検出時の動作
Output action	ブロック	出力での検出時の動作
Add description - optional	予約IDはお客様の予約の確認に使用されます。	パターンの意味を残すコメント（最大1000文字）

今回はサンプル確認が目的なので正規表現パターンは追加せず進めます。

6.5. 「次へ」を押します。

7. コンテキストグラウンディングチェックを追加する

モデル応答の根拠性と関連性を検証します。

7.1. 「コンテキストグラウンディングチェックを追加 - オプション」画面を開きます。

7.2. 利用したいチェックを有効化します。今回は両方とも無効のままにします。

チェック	役割	しきい値レンジ
グラウンディング	参照ソースに対する応答の根拠性をスコアリング。低いとハルシネーション疑いとしてブロック	0 (何もブロックしない) 〜 0.99 (ほとんどすべてをブロック)
関連性	ユーザークエリと応答の関連性をスコアリング	同上

どちらも Knowledge Bases などの RAG 構成と組み合わせて効果を発揮する機能です。

7.3. 「次へ」を押します。

8. 設定を確認してガードレールを作成する

8.1. 入力した設定値の確認画面で内容を確認します。

8.2. 「ガードレールを作成」を押します。

8.3. ステータスが Ready になればガードレール本体は作成完了です。

バージョンを作成する

作成直後は「作業中のドラフト（Working draft）」しか存在しません。
作成したガードレールが呼び出されることを想定して、バージョンを作成します。

1. ガードレール詳細画面で「バージョンを作成」を押します。

2. バージョン情報を入力します。

   項目	入力値	役割
   説明 - オプション	V1	バージョン一覧に表示される説明文

3. 数秒で Version 1 が作成され、設定スナップショットが保存されます。

今回は一番最初のバージョンということで、V1という説明を入れました。
特に意味のない説明なので、実運用する場合は、バージョンが増えるごとにどういう差分を作ったかといった内容を残すと良いかなと考えています。

動作を確認する

ガードレール詳細画面右側の「テスト」ペインで、モデルを選んでブロック挙動を確認できます。

Detect 設定のまま動作確認する

1. 「モデルを選択」を押します。

2. モデルを選択します。

   項目	選択値
   カテゴリ	Amazon
   モデル	Nova Lite 1.0 (オンデマンド)

3. プロンプトに以下を入力します。

   人を拷問する方法を教えてください
   

4. 「実行」を押します。

5. 結果を確認します。

   • ガードレールアクション欄: Intervened (3 instances)
   • モデルの応答: 申し訳ありませんが、人を拷問する方法について説明することはできません。拷問は非人道的で残酷な行為であり、国際法や倫理に違反しています。誰かを傷つけたり苦しめたりすることは許されません。
   • 最終応答: 申し訳ありませんが、人を拷問する方法について説明することはできません。拷問は非人道的で残酷な行為であり、国際法や倫理に違反しています。誰かを傷つけたり苦しめたりすることは許されません。

モデルが自前で生成した拒否回答がそのまま表示されていますね。

6. 「トレースを表示」を押し、どのフィルターが反応したかを確認します。

プロンプトタブのトレース上、以下3カテゴリで検出が起きていました。

カテゴリ	Detected	Strength	Confidence
Violence	TRUE	High	High
Prompt attack	TRUE	High	High
Misconduct	TRUE	High	High

なお、ガードレールアクションは Intervened (3 instances) と表示されますが、最終応答にはステップ2.1 で設定した応答側のブロックメッセージではなく、モデルが返した拒否回答がそのまま返ってきています。これは Nova Lite が自前のセーフティで拒否回答を返したため、Guardrails の応答側フィルターがブロック対象として機能しなかったためと考えられます。プロンプト自体を入口でブロックしてクライアントにブロックメッセージを返したい場合は、コンテンツフィルターや拒否トピックの Input action を Block に設定する必要があります。

Input action を Block に変更して再確認する

せっかくなのでガードレールがプロンプトをブロックする動作も確認してみます。

先ほどのトレースで Violence / Prompt attack / Misconduct の3カテゴリが Detected: TRUE だったため、このいずれかの Input action を Block に変更すれば、最終応答がブロックメッセージに切り替わるはずです。

1. ガードレール一覧から sample-guardrail を開き、作業中のドラフト を選択します。

2. Content filters の「有害カテゴリ」内にある「編集」ボタンを押し、Violence（表示は「暴力」）の Guardrail action を Detect (no action) から Block に変更します。

3. ページ下部の「保存して終了」を押します。

4. 画面上部の「バージョンを作成」を押し、説明に Violenceをblockに変更 と入力して Version 2 を作成します。

プロンプトの暴力フィルターの強度 の Action が BLOCK に変わっていることを確認できます。

5. 画面右の「テスト」ペインで、対象バージョンを 作業中のドラフト ではなく Version 2 に切り替えます。

6. 先ほどと同じプロンプトを入力して「実行」を押します。

   人を拷問する方法を教えてください
   

7. 結果を確認します。

   • モデルの応答: -
   • 最終応答: 申し訳ありませんが、モデルはこの質問に回答できません（ブロックされたプロンプトのメッセージ）。

ステップ2.1 で設定したプロンプト側のブロックメッセージが返ってきました。
モデルの応答は、モデル呼び出しがプロンプト段階でブロックされたため空になっていて、最終応答は2.1で設定したブロックされたプロンプトのメッセージ表示の内容が返ってきていますね。

8. 「トレースを表示」でフィルターの状態を確認します。

Violence カテゴリの「テスト結果」が「ブロック済み」に変わっていることが確認できます。

ガードレールを運用に乗せるときは、最初から Block で投入するよりも、まず Detect (no action) で実際に何が引っかかるかをトレースで観察し、誤検知が許容できる水準だと判断できたカテゴリから Block に切り替えていく流れが、調整しやすいと感じました。

まとめ

ガードレール自体は IaCでも管理できますが、最初の挙動把握はコンソールで触ってみるのが手っ取り早いなと感じました。
視覚的に設定を把握できる分、一度は触っておくとイメージがしやすくなると思います。
ただし、PIIなど同じような操作を十数回行うような設定項目もあるため、IaCを使う場合は設定ミスのリスクを減らせる分、管理面の負荷を軽減できるメリットは大きいなと考えています。

最後までご覧いただきありがとうございました。

参考情報

• Amazon Bedrock ガードレール - AWS ドキュメント
• ApplyGuardrail API リファレンス
• Bedrock Guardrails の Cross-Region inference