AWS認定AIプラクティショナー(AIF-C01)のドメイン5 Task5.2では、AIを組織として正しく運用するガバナンスとコンプライアンスが問われます。Config・CloudTrail・Audit Manager・Artifact・Trusted Advisorの役割の違い(=試験の引っかけポイント)を、図で一気に整理します。セキュリティ面の AIシステムのセキュリティ もあわせてどうぞ。
ガバナンスとコンプライアンスの違い

- ガバナンス(Governance):組織として方針・責任・意思決定の仕組みを定め、AIを統制すること(内向きのルールづくり)
- コンプライアンス(Compliance):法律・規制・業界基準を満たしていること(外部基準への適合)
ガバナンスで「自社のルール」を決め、コンプライアンスで「外部の決まり」を守る、という関係です。
主要なガバナンス・コンプラサービス

- AWS Config:リソースの「状態(構成)」を記録し、ルールに対する準拠/非準拠を評価
- AWS CloudTrail:「誰が・いつ・何をしたか」のAPI操作ログ(監査証跡)
- AWS Audit Manager:監査の証拠を自動収集し、各種フレームワークに対応した報告書を作成
- AWS Artifact:AWS自身のコンプライアンス報告書(SOC・ISOなど)をオンデマンドで入手
- AWS Trusted Advisor:コスト・セキュリティなどベストプラクティスを点検
なおAmazon CloudWatchはメトリクスやログの監視・アラートが役割で、構成の準拠評価(Config)や操作ログ(CloudTrail)とは目的が異なります。Config=状態/CloudTrail=操作/CloudWatch=監視と区別しましょう。
- Config=状態(構成)/CloudTrail=操作ログ(最頻出の区別)
- Audit Manager=自社の証拠収集/Artifact=AWSの報告書を入手(主語が逆)
- SageMakerのガバナンス=Role Manager/Model Cards/Model Dashboard
- 生成AIの責任整理=生成AIセキュリティスコーピングマトリクス(第1の規律がガバナンス)
AIならではのデータガバナンス
AIでは「どんなデータで学習したか」が品質と信頼を左右します。データの来歴(リネージ)・品質・保持期間を管理し、SageMaker Model Cardsでモデルの用途やリスクを記録、Model Dashboardで全モデルを俯瞰する、といった仕組みが有効です。これらにより「説明できる・追跡できる」運用が実現します(→ 透明性と説明可能性)。
確認クイズ
Q1. あるEC企業が、社内AIシステムのIAMロールやS3バケットなどの設定が『定めた社内ルールに準拠した構成のままか』を継続的に自動評価したい。最適なサービスは?
Q2. クラウド上で『誰が・いつ・どのAPIを呼び出したか』という操作の証跡を記録し、後から監査するためのサービスは?
Q3. 金融系企業の監査対応で、(1)AWSのSOC2/ISO認証報告書を入手し、(2)自社ワークロードがHIPAA等の基準に準拠している証拠を自動収集して監査報告にまとめたい。(1)(2)に使うサービスの正しい組合せは?
よくある質問(FAQ)
Q. ConfigとCloudTrailの覚え方は?
A. Config=「状態(どんな構成か)」、CloudTrail=「操作(誰が何をしたか)」。”状態のConfig、操作のTrail” と語呂で覚えると混同しません。
Q. Audit ManagerとArtifactの違いは?
A. Audit Manager=自社ワークロードの証拠を集めて監査報告、Artifact=AWS自身の認証報告書をダウンロード。主語(自社かAWSか)が逆です。
Q. AIのガバナンスで特に意識することは?
A. データの来歴・品質・保持を管理し、Model Cardsでモデルを文書化すること。説明責任と追跡可能性を確保できます。
まとめ
- ガバナンス=自社の統制、コンプライアンス=外部基準への適合
- Config=状態/CloudTrail=操作ログ/Audit Manager=自社の証拠収集/Artifact=AWSの報告書
- AIではデータ来歴・Model Cards・Model Dashboardで説明可能・追跡可能に
※本記事はAWS公式試験ガイド(AIF-C01)およびAWSガバナンス関連ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されるため、最新は公式情報をご確認ください。



コメント