LLMガードレール技術比較：NeMo GuardrailsとLlama Guardの選び方

一枚要約

LLMガードレールは入力・出力・会話フローを安全範囲に収めるための制御レイヤーであり、組み込みなしに本番運用するリスクは大きいといえます。NeMo GuardrailsはDSLによる透明な会話フロー制御、Llama GuardはLLMベースの汎用コンテンツ分類という強みがあり、要件に応じた組み合わせが現実的です。まず自社LLM基盤のレイテンシ許容値とポリシー保守体制を確認し、OSSかマネージドかの選択軸を定めることが第一歩になります。

このテーマを取り上げる理由

生成AIをサービスや社内ツールに組み込む動きが加速するなか、LLMの出力を安全な範囲に収める「ガードレール」の実装が急務になっています。プロンプトインジェクション¹への対策、不適切コンテンツのフィルタリング、トピック逸脱の防止など、ガードレールが担う役割は広く、選択するアプローチによって設計の複雑さとレイテンシのトレードオフが大きく変わります。本稿では代表的なNeMo Guardrails²とLlama Guard³を軸に、実務的な評価観点を整理します。

基本：何を解決する技術か

LLMガードレールとは、LLMへの入力（プロンプト）と出力（レスポンス）を検査・制御し、意図しない動作を防ぐ仕組みの総称です。解決したい問題は大きく3つに分類できます。

• 入力制御: プロンプトインジェクション・機密情報の混入・攻撃的指示の検出
• 出力制御: 有害・差別的・虚偽コンテンツの除去、スキーマ準拠の強制
• 会話フロー制御: トピックの逸脱抑止、ロールプレイ誘導の防止

アプローチには大きく「ルールベース（ポリシー記述）」と「モデルベース（分類器LLM）」の2系統があり、ツールによってどちらを重視するかが異なります。

主な機能要素と構成

NeMo Guardrails（NVIDIA が開発する OSS フレームワーク、Apache 2.0）は、Colang⁴（会話フローとガードレール動作を宣言的に記述するドメイン固有言語）でポリシーを書き、LangChainやLlamaIndex経由で任意のLLMに後付けできる設計になっています。「このトピックに誘導されたら拒否する」「外部ファクトチェックAPIを呼び出す」といったルールをコードとして管理できる点が特徴です。

Llama Guard（Metaが公開するオープンウェイトモデル）は、Llamaをベースにファインチューニングした安全性分類器です。入力・出力それぞれを「Safe/Unsafe」と14カテゴリ（MLCommonsハザードタクソノミーの13カテゴリ＋Code Interpreter Abuse、S1〜S14）に基づいて判定します。Llama Guard 3 8Bはテキスト入力に対応し、公式サポート言語は英・仏・独・ヒンディー・伊・ポルトガル・スペイン・タイの8言語で、日本語はサポート対象外です。画像入力には派生モデルのLlama Guard 3 Vision（11B）が別途用意されています。

クラウドマネージド型の選択肢としては、AWS Bedrock Guardrails（AWS基盤のLLMに統合されるフィルタリングレイヤー）やAzure AI Content Safety（Azureが提供するコンテンツ審査API）があります。インフラ管理を省略できる代わりに、カスタマイズの自由度は限られます。

導入を検討する際の評価観点

• アーキテクチャ型: ルールベース（Colang等）はポリシーの透明性が高く監査証跡を残しやすい。モデルベース（Llama Guard等）は文脈依存の複雑な判断に強い
• 対象フェーズ: 入力のみ・出力のみ・入出力両方・会話フロー全体のどこを制御するかで必要なコンポーネントが変わる
• レイテンシ許容値: モデルベース分類器の追加呼び出しは数百ms単位の遅延を生む。リアルタイム対話ユースケースでは専用推論インフラの検討が必要になる
• カスタムポリシーの保守性: DSLでポリシーをコード管理できるか、変更をCI/CDフローに乗せられるか
• OSS vs マネージド: OSSはコストと制御性に優れるがMLOpsが必要。マネージドは運用負荷を下げる代わりにベンダーロックインと従量課金が生じる
• 評価・レッドチーム対応: 候補ガードレールが公開ベンチマーク（HarmBench、JailbreakBench、AIR-Bench、HELM Safety等）でどの攻撃カテゴリにどの程度の検出率を報告しているか、自社ユースケースに対する事前評価データの充実度
• マルチエージェント境界の配置設計: LangGraphやAutoGen等のマルチエージェント構成では、オーケストレーター入口だけでなくサブエージェント間通信や外部ツール呼び出しの結果にもガードレールを配置するか、信頼ドメイン境界に絞るかをアーキテクチャ設計時に決めておく必要がある
• 多言語・マルチモーダル対応: 日本語コンテンツや画像入力が要件にある場合は対応言語と精度の事前確認が欠かせない

よくある落とし穴

• レイテンシの過小評価: 開発環境ではレイテンシが問題にならなくても、本番でLlama Guard等の分類器LLMを直列呼び出しするとP99レイテンシが数倍に膨らむケースがあります。負荷テストはガードレール込みで計画することが重要です。
• 間接プロンプトインジェクションの盲点: NeMo GuardrailsもLlama Guardも、ユーザーから直接送られるプロンプトの検査が中心です。RAGが取得したドキュメントや外部ツール呼び出しの応答に埋め込まれた指示は、ガードレールを素通りしてLLMに渡ります。RAG構成では取得テキストのrole分離やシステムプロンプトとの差別化（区切りトークンや構造化プロンプト）を、入出力ガードレールとは別レイヤとして設計する必要があります。
• すり抜けテストの省略: 攻撃者はエンコーディング変換や多言語混在に加え、長尺コンテキストに大量の例示を詰めて分類器の境界を飽和させるMany-shot Jailbreaking、無害な話題から段階的にエスカレートするCrescendo攻撃、分類器内部の判定境界を勾配法で突くAdversarial Suffix（GCG等）といった手法を併用します。OSSの自動レッドチームツール（Garak、PyRIT等）をCIに組み込み、リリース前にこれらのバイパス手法を網羅的に試す運用が必要です。レッドチームテスト⁵を実施し、ポリシーの抜け穴を定期的に棚卸しする運用サイクルが欠かせません。
• False positiveへの対処設計の不足: 厳格なポリシーを設定すると正当なリクエストが拒否され、ユーザー体験が損なわれます。「どの判定が誤検知だったか」をログから特定してポリシーを調整するフィードバックループをあらかじめ設計しておく必要があります。

参考になる動向

2026 年時点では、EU AI Act の高リスク AI システム条項（Annex III 列挙用途：採用スクリーニング・信用スコアリング・重要インフラ制御等に限定）の適用開始は 2026 年 8 月 2 日であり、対象事業者では準備期としてガードレールログの監査証跡保全が実務課題に浮上しています。顧客向けチャットボット・コパイロットの大半は自動的には Annex III に該当しないため、まず適用範囲の確認から始めます。NIST AI RMFのGOVERN/MAP機能との対応付けを行う際、ガードレールのポリシー記述をガバナンス文書の一部として管理する動きも見られます。

業種別影響

• 金融・保険: 顧客向けチャットボットでの不適切な投資アドバイス出力を防ぐトピック制限が優先課題です。規制当局への説明責任の観点から、ルールベースのポリシー記述と監査ログの整備が求められます。
• 医療・ヘルスケア: 誤った医療情報や自傷関連コンテンツの出力防止が必須の要件です。Llama GuardのS6: Specialized Adviceカテゴリは医療・法律・金融のアドバイスをデフォルトで対象としますが、モデル本体が公式サポートする8言語に日本語が含まれないため、日本語の医療コンテンツに対する検出精度は別途PoCで実測する必要があります。
• IT・SaaS: 開発者向けコパイロットでのコード生成制御（シークレットキー出力防止・ライセンス違反コード検出）に加え、マルチテナント環境でのポリシー分離が設計上の重要ポイントになります。

今日着手できる3アクション

• NeMo Guardrailsのローカル動作確認: pip install nemoguardrails でインストール後、公式リポジトリ（https://github.com/NVIDIA/NeMo-Guardrails）の examples/bots/abc ディレクトリを取得し、nemoguardrails chat --config=examples/bots/abc を実行します。Colangの記述感とポリシー動作を30分程度で確認できます。
• Llama Guard 3のハザードカテゴリ棚卸し: Hugging Face Hub（meta-llama/Llama-Guard-3-8B）のモデルカードで14カテゴリ（S1〜S14）の定義一覧を確認し、自社ユースケースに対するカバレッジ過不足をスプレッドシートで整理します。日本語コンテンツが要件にある場合は事前にPoCデータセットを用意し、Hugging Face Inference APIで精度を実測します。
• AWS Bedrock Guardrailsの設定試作: AWSコンソールの「Amazon Bedrock」→「Guardrails」→「Create guardrail」から、コンテンツフィルタ強度（None/Low/Medium/High）と禁止トピックのテスト設定を作成します。CLIでは aws bedrock list-guardrails --region us-east-1 のようにリージョンを明示して設定一覧を取得します。Bedrock Guardrailsの対応リージョンはAWS公式のリージョン表でユースケースの所在地と整合するか確認し、既存Bedrockワークロードがある場合は呼び出し1,000回あたりの単価も合わせて見積もります。

AI×セキュリティの観点

LLMガードレールは防御ツールでありながら、それ自体が攻撃対象になります。攻撃者が分類器の判定境界を探るアドバーサリアルプロンプトや、ガードレールをバイパスするよう設計された越境プロンプトの精度は年々向上しています。防御側は定期的なレッドチームテストとポリシーのバージョン管理をセットで運用し、ガードレールを「設置したら終わり」ではなく継続的に更新するコンポーネントとして扱うことが求められます。EU AI Actの適合性評価においても、ガードレールの有効性テスト記録は技術文書の重要な構成要素とされています。

用語ミニ解説

1. プロンプトインジェクション — 悪意ある指示をプロンプトに埋め込み、LLMに意図しない動作をさせる攻撃手法。ガードレールが防ぐべき主要リスクの一つ。 ↩
2. NeMo Guardrails — NVIDIAが開発するOSSのLLMセーフティフレームワーク。Colangというドメイン固有言語でポリシーを記述し、任意のLLMに後付けで会話フロー制御を加えられる。 ↩
3. Llama Guard — MetaがLlamaをベースにファインチューニングした安全性分類器モデル。Llama Guard 3 8Bは入力・出力を14カテゴリ（S1〜S14）のハザード分類に基づきSafe/Unsafeと判定する。 ↩ライセンス注意: Apache 2.0 ではなく独自の Llama 3 Community License。月間 7 億 MAU 超の場合は Meta への個別申請が必要、第三者提供時も条件確認が必要。
4. Colang — NeMo Guardrailsが採用するドメイン固有言語。Pythonのインデント構文に近い独自記法で、会話フローとガードレール動作（define flow、user said、bot say等）を宣言的に記述してコード管理できる。本稿のコード例は Colang 1.0 のもの。NeMo Guardrails 0.8.0 以降は Event-based の Colang 2.0 が推奨されており構文互換がないため、本番採用前に公式 Quickstart で最新版の記法を確認すること。 ↩
5. レッドチームテスト — ガードレールの抜け穴を意図的に探すテスト手法。攻撃者視点でバイパス手順を試し、ポリシーの有効性を定期的に検証する。 ↩

参考リンク

• NeMo Guardrails — GitHub (NVIDIA)
• meta-llama/Llama-Guard-3-8B — Hugging Face モデルカード
• Amazon Bedrock Guardrails
• Azure AI Content Safety
• NIST AI Risk Management Framework