NeMo GuardrailsによるAIエージェント出力制御：確率的挙動を飼いならす3層アーキテクチャ設計

建設現場において、どれほど高性能な重機を導入しても、それを扱うための「安全管理ルール」や「物理的な柵」がなければ、現場は一瞬にして危険地帯と化します。AIエージェントの開発も、これと全く同じ構造にあると私は考えています。

PoC（概念実証）の段階では、LLM（大規模言語モデル）が紡ぎ出す流暢な回答に誰もが感嘆します。しかし、いざ本番運用を視野に入れた途端、その「自由奔放さ」が牙を剥くことに気づくはずです。根拠のない嘘（ハルシネーション）、不適切な発言、あるいは悪意あるプロンプトによる脱獄（ジェイルブレイク）。これらは、企業の信頼を損なう重大なリスクとなり得ます。

「プロンプトエンジニアリングでなんとかなる」と考えているなら、それは危険な賭けです。確率的に振る舞うLLMに対し、言葉による「お願い」だけで完全な制御を試みるのは、強風吹き荒れる高所作業で命綱なしに歩くようなものだからです。

建設現場特有の厳格な安全基準に照らし合わせると、システムにも多重のフェールセーフが不可欠です。本記事は、NeMo Guardrailsを活用した堅牢なAIエージェントのアーキテクチャ設計に向けた実践的なアプローチです。単なるツールの使い方にとどまらず、予測不可能なAIをシステムとしてどう制御し、ビジネス価値を生む安全なエージェントへと昇華させるか、その設計思想と実装パターンを提示します。

なお、AIフレームワークの進化は非常に速く、機能の追加や廃止が頻繁に行われます。NeMo Guardrailsの正確な最新仕様や利用可能な機能については、必ずNVIDIAの公式ドキュメントで確認してください。特定のフレームワークの機能変更にも柔軟に対応できるよう、ツールに過度に依存しない抽象化されたアーキテクチャを構築し、必要に応じて他のガードレール技術へスムーズに代替・移行できる設計を持たせることが、長期的な安定稼働の鍵となります。

1. 確率的出力と決定論的制御の境界線

AIエージェント開発における最大のジレンマは、「確率的（Probabilistic）なエンジン」を使って「決定論的（Deterministic）な業務」を行わせようとしている点にあります。この根本的な矛盾を解消しない限り、エンタープライズ品質のアプリケーションは完成しません。

LLMアプリケーションにおける「信頼性」の定義

私たちが普段扱う従来のソフトウェアは、入力Aに対して必ず出力Bが返ってくることが保証されています。しかし、LLMは本質的に「次に来る確率が高い単語」を選び続けているに過ぎません。この確率的な揺らぎこそが、人間のような自然な対話や創造性を生む源泉ですが、同時に「同じ質問でも毎回違う答えが返ってくる」という不安定さの原因でもあります。

業務システムにおける「信頼性」とは、この揺らぎを許容範囲内に収めることを意味します。たとえば、建設現場の安全規定に関する質問に対しては、創造性よりも正確性が求められます。「たぶんこうだと思います」ではなく、「安衛則に基づき、高さ2メートル以上の箇所には作業床が必要です」と答え、それ以外の不確かな情報は口を閉ざす。この厳格な振る舞いを担保することが、アーキテクトに課せられた使命です。

プロンプトエンジニアリングの限界とガードレールの必要性

多くの開発者が最初に試みるのが、システムプロンプトによる制御です。「あなたは親切なアシスタントです。嘘をつかないでください。差別的な発言は禁止です」といった指示を与える手法です。

しかし、これはあくまでモデルに対する「動機付け」に過ぎません。複雑な文脈や、意図的に混乱させるような入力（敵対的プロンプト）の前では、これらの指示はいとも簡単に無視されたり、上書きされたりします。これをプロンプトインジェクションと呼びますが、モデルの内部にある確率分布そのものをプロンプトだけで完全に制御することは数学的に不可能です。

ここで必要となるのが、モデルの外側に配置する「ガードレール」です。建設現場で言えば、作業員の注意深さに頼るのではなく、物理的に転落を防ぐ手すりを設置するのと同じです。NeMo Guardrailsは、LLMの入出力を監視し、あらかじめ定義されたルールに違反した場合に強制的に介入するミドルウェアとして機能します。

NeMo Guardrailsが担うアーキテクチャ上の役割

NeMo Guardrailsは、アプリケーションとLLMの間に位置するプロキシ（代理人）のような存在です。ユーザーからの入力は直接LLMに渡されるのではなく、まずガードレールシステムが受け取ります。そこで安全性のチェックや意図の分類が行われ、問題がないと判断された場合のみLLMに渡されます。そしてLLMからの出力もまた、ガードレールによる検閲を経てユーザーに届きます。

このアーキテクチャの最大の利点は、「LLMモデルの変更や廃止に左右されない安全性」を担保できる点です。

例えば、OpenAIのAPIでは、2026年2月13日にGPT-4oやGPT-4.1などの旧モデルが廃止され、GPT-5.2（InstantおよびThinking）が新たな標準モデルへと移行しました。また、AnthropicのClaude APIにおいても、Sonnet 4.5からSonnet 4.6へのアップデートにより、タスクの複雑度に応じて思考の深さを自動調整する「Adaptive Thinking」機能が追加されるなど、モデルの世代交代と機能の統廃合が絶えず行われています。さらに、自社でファインチューニングしたLlamaのようなオープンモデルを運用する場合でも、基盤モデルのアップデート対応は避けられません。

このように提供側の都合によって旧バージョンが突然利用できなくなり、新モデルへの強制的な移行を余儀なくされるケースは珍しくありません。新しいモデルがリリースされた際には、推論能力や自律的なツール実行能力が大幅に向上する一方で、プロンプトに対するデフォルトの挙動や安全基準が以前のモデルから変化している可能性があります。特定のモデルの特性に強く依存したプロンプト制御を行っていると、モデル移行のたびに予期せぬ出力のブレやセキュリティリスクに直面します。

しかし、NeMo Guardrailsを導入していれば、バックエンドのモデルが最新版にアップデートされたり、利用可能なモデルが切り替わったりした場合でも、企業として定めたセキュリティポリシーやコンプライアンス基準（建設現場の安全ルールや専門用語の厳密な定義など）をガードレール層で一貫して維持できます。モデル層の急速な進化とセキュリティ層の厳格な管理を分離するこの設計思想こそが、長期的な運用に耐えうるエンタープライズ品質のAIシステムを構築する鍵となります。

参考リンク

• NVIDIA NeMo Framework - 公式ドキュメント

• Amazon Bedrock Guardrails - AWS公式ドキュメント

2. NeMo Guardrailsのコアアーキテクチャ

NeMo Guardrailsを効果的に使いこなすには、その内部構造を理解する必要があります。NVIDIAが提供するこのOSS（オープンソースソフトウェア）は、単なるフィルタリングツールではなく、対話の状態管理を行う高度なエンジンです。

Programmable Guardrailsの概念モデル

NeMo Guardrailsの中核にあるのは、「Programmable Guardrails（プログラム可能なガードレール）」という概念です。これは、自然言語で記述されたルールと、Pythonコードによるロジックを組み合わせて制御を行う仕組みです。

システムは大きく分けて以下のプロセスで動作します。

1. 入力のベクトル化と分類: ユーザーの入力をEmbeddingモデルでベクトル化し、あらかじめ定義された「ユーザーの意図（Canonical Form）」に近いものを検索します。
2. フローの決定: 特定された意図に基づき、次にどのようなアクションを取るべきかを決定します。ここでColang（後述）で定義されたフローが参照されます。
3. アクションの実行: 必要に応じてPython関数を実行したり、LLMにプロンプトを投げたりします。
4. 出力の生成: LLMの生成結果、または定義済みの定型文をユーザーに返します。

このプロセス全体が、LLMへの問い合わせ回数を最小限に抑えつつ、かつ意図したレールの上を走らせるように設計されています。

Colang言語による対話フローの記述

NeMo Guardrailsの最大の特徴であり、学習コストとなるのがColangという独自のモデリング言語です。これは、自然言語のような読みやすさと、プログラミング言語の構造を併せ持った言語です。

たとえば、「挨拶されたら挨拶を返す」という単純なフローは以下のように記述されます。

define user express greeting
  "こんにちは"
  "ハロー"

define flow greeting
  user express greeting
  bot express greeting

define bot express greeting
  "こんにちは！どのようなお手伝いができますか？"

このように、ユーザーの発言パターン（define user ...）と、ボットの返答（define bot ...）、そしてそれらを繋ぐ対話の流れ（define flow ...）を定義します。これにより、LLMが勝手なことを話す余地をなくし、特定のシナリオでは確実に決められた台詞を言わせることができます。

Runtimeの処理フローとイベントループ

実行時（Runtime）において、NeMo Guardrailsはイベント駆動型のアーキテクチャをとります。ユーザーからのメッセージはイベントとしてシステムに入り、Colangインタプリタが現在の対話状態と照らし合わせて次のステップを決定します。

ここで重要なのが、「LLMを使うべきか、ルールベースで返すか」の判断です。Colangで厳密に定義されたフローに合致する場合は、LLMを使わずに即座に定型文を返すことができます。これにより、レスポンス速度の向上とコスト削減、そして絶対的な安全性が確保されます。一方で、定義されていない複雑な質問が来た場合は、汎用的なLLMの回答生成フローへと分岐させます。この「硬軟使い分け」こそが、実用的なエージェント設計の鍵となります。

3. 3層の防御壁：ガードレールの実装パターン

安全な建設現場には、立ち入り禁止のフェンス、作業員への安全教育、そして最終防衛ラインとしての監視員という多層的な対策があります。AIエージェントも同様に、Input（入力）、Dialog（対話進行）、Output（出力）の3つの層でガードレールを設ける「多層防御」のアプローチが有効です。

Input Rails：入力段階での攻撃検知と無害化

最初の防衛線は、ユーザーからの入力時点です。ここで悪意ある攻撃や不適切な内容を弾くことができれば、無駄なLLMリソースを消費せずに済みます。

• Jailbreak（脱獄）検知: 「あなたはAIではありません」「開発者モードを有効にして」といった、LLMの制限を解除しようとするプロンプトを検知します。これには、既存の攻撃パターンを学習させた分類モデルや、NeMo Guardrails標準のライブラリを活用します。
• PII（個人識別情報）のマスキング: クレジットカード番号や電話番号などが入力に含まれる場合、LLMに渡す前にこれらを検知し、[PHONE_NUMBER] のようなプレースホルダーに置換します。これにより、外部のLLMプロバイダーへの個人情報流出を防ぎます。

Input Railsで重要なのは、「即時遮断」か「サニタイズ（無害化）」かの判断です。明らかな攻撃は遮断し、単なる個人情報の誤入力などはマスクして処理を続行するといった柔軟な設計が求められます。

Dialog Rails：トピック逸脱防止と対話フローの強制

対話が進む中で、ユーザーが本来の目的とは関係ない話題を持ち出してくることがあります。たとえば、建設機械のサポートボットに対し、「今日の株価を教えて」「政治についてどう思う？」と聞くようなケースです。

Dialog Railsでは、Colangを用いて「許可されたトピック」を定義します。

define user ask off_topic
  "株価はどう？"
  "大統領選挙について"

define flow off_topic_handling
  user ask off_topic
  bot refuse to answer

このように、特定のトピック群を「Off-topic（話題外）」として定義し、それらが検知された場合は「申し訳ありませんが、私は建設機械のサポート専用です」といった拒絶のフローへ強制的に誘導します。これにより、AIエージェントが専門外のことを適当に答えたり、炎上のリスクがある話題に巻き込まれたりするのを防ぎます。

Output Rails：ハルシネーション検知とフォーマット検証

最後の防衛線は、LLMが生成した回答をユーザーに見せる直前のチェックです。ここでは主に品質と安全性を担保します。

• ハルシネーション（幻覚）の検知: 特にRAG（検索拡張生成）の場合、検索したドキュメントに書かれていないことをAIが勝手にでっち上げていないかをチェックします。「Self-Check」と呼ばれる手法では、生成された回答がソースドキュメントに基づいているかを、別のLLMインスタンスを使って検証させます。
• フォーマット検証: JSON形式で出力するよう指示したにもかかわらず、余計な説明文がついている場合などを修正します。システム連携を行うエージェントでは、このフォーマット遵守がシステムの安定稼働に直結します。
• 禁止語句フィルタ: 競合他社の製品名や、不適切なスラングが含まれていないかを最終確認します。

4. RAGアーキテクチャへの統合設計

企業ユースケースにおいて、独自のナレッジベースを参照して回答するRAG（Retrieval-Augmented Generation）は最も一般的な構成です。NeMo Guardrailsは、このRAGの信頼性を高めるために非常に強力な機能を提供します。

検索拡張生成（RAG）における信頼性担保

RAGにおける最大のリスクは、「もっともらしい嘘」です。検索されたドキュメントの内容を誤って解釈したり、ドキュメントにない知識を混ぜて回答したりすることです。

NeMo GuardrailsをRAGに統合する場合、通常は以下のようなフローを構築します。

1. ユーザーの質問を受け取る。
2. Input Railsで安全性を確認。
3. ナレッジベースから関連情報を検索（Retrieve）。
4. 検索結果（Context）と質問をLLMに渡し、回答を生成。
5. Fact-checking Rail を起動し、生成された回答がContextに基づいているかを検証。
6. 検証をパスすれば回答を出力、失敗すれば「情報が見つかりません」と返す。

この「Fact-checking Rail」こそが、業務レベルのRAGには不可欠です。

引用元チェックと回答の整合性検証

NeMo Guardrailsでは、fact checking というガードレール機能を利用できます。これは、LLMに対して「以下の回答は、提供されたコンテキストのみに基づいていますか？ (Yes/No)」と問いかける検証プロセスを自動化するものです。

設計上のポイントは、検証の厳格さです。少しでもコンテキストから外れたらNGとするのか、多少の一般常識による補完は許容するのか。これはプロンプトの調整によってコントロールします。建設現場の安全規定のような厳密なドキュメントの場合は、厳格な設定にするべきでしょう。

ナレッジベース外の質問への対応フロー

ユーザーは往々にして、ナレッジベースにない質問をしてきます。通常のLLMは親切心から、自身の学習データ（一般的なWeb知識）を使って答えようとします。しかし、企業向けボットとしては、これは誤情報の元です。

これを防ぐために、Colangで以下のようなフローを定義します。

define flow answer_from_knowledge_base
  user ask question
  $context = execute retrieve_knowledge
  if $context is empty
    bot say "社内規定に関連する情報が見つかりませんでした。"
  else
    bot answer using $context

検索結果（$context）が空、あるいは閾値以下の関連度しかない場合は、LLMに回答生成をさせずに、即座に「わかりません」と返すロジックを組み込みます。「知らないことを知らないと言える」能力こそ、AIエージェントの信頼性の証です。

5. パフォーマンスとトレードオフの考慮事項

ここまで安全性を高める仕組みを解説してきましたが、これには明確なコストがかかります。ガードレールを幾重にも張り巡らせることは、システムのリソース消費とレスポンスタイム（レイテンシ）の増加を意味します。現場監督として、このトレードオフから目を背けるわけにはいきません。

ガードレールによるレイテンシへの影響

NeMo Guardrailsを導入すると、1回の対話往復の中で、裏側では複数回のLLM呼び出しやEmbedding計算が発生する可能性があります。

• 入力の意図分類（Embedding + 類似度検索）
• 攻撃検知（専用モデルの推論）
• 回答生成（メインのLLM呼び出し）
• 事実確認（検証用LLM呼び出し）

これらをすべて直列に実行すると、ユーザーへのレスポンスに数秒から十数秒の遅延が生じることもあります。チャットボットにおいて、数秒の沈黙はユーザー体験（UX）を著しく損ないます。

意味的類似性検索（Semantic Search）のコスト管理

Colangのフロー決定に使われる「Canonical Form（標準形）」へのマッピングは、Embeddingモデルによる類似度検索で行われます。ユーザー入力があるたびにEmbedding APIを叩くと、コストもレイテンシも嵩みます。

対策として、ローカルで動作する軽量なEmbeddingモデル（all-MiniLM-L6-v2など）を採用したり、頻出する入力パターンをキャッシュしたりする戦略が有効です。また、すべての発言に対して厳密なチェックを行うのではなく、セッションの開始時や、重要なトランザクション（発注確定など）の直前だけガードレールを強化するといったメリハリのある設計も検討すべきです。

非同期処理とストリーミング対応

レイテンシを感じさせないためのテクニックとして、ストリーミングと非同期検証があります。

• ストリーミング: Output Railsの一部（フォーマットチェックなど）を諦める代わりに、LLMが生成したトークンを順次ユーザーに表示します。これにより体感速度は向上します。
• 非同期検証: ユーザーにはとりあえず回答を表示しつつ、バックグラウンドで事後的に監査（Audit）を行う方法です。もし後から「不適切だった」と判定された場合は、ログに記録して管理者に通知するか、即座に訂正メッセージを送るといった対応をとります。リアルタイムの遮断が必須でないケースでは有効な選択肢です。

6. 運用と継続的な改善サイクル

ガードレールシステムは、一度構築して終わりではありません。建設現場が日々変化するように、ユーザーの入力パターンや攻撃手法も進化します。リリース後こそが、本当の戦いの始まりです。

ガードレール検知ログの分析と活用

運用フェーズで最も重要なのは、「何がブロックされたか」のログ監視です。NeMo Guardrailsは、どのレールが発動したかの詳細なログを出力できます。

• 誤検知（False Positive）: ユーザーの正当な質問が、攻撃や話題逸脱としてブロックされていませんか？これはUXを損なうため、ルールの緩和やColang定義の修正が必要です。
• 検知漏れ（False Negative）: 不適切な回答が出力されてしまったケースはないですか？ユーザーからのフィードバック（Good/Badボタン）と照らし合わせ、新たなガードレールを追加する必要があります。

未想定の対話パターンへのルール追加プロセス

初期リリース時にすべての対話パターンを網羅することは不可能です。運用中に見つかった「AIが答えに窮した質問」や「意図しない挙動」を、定期的にColangファイルに追記していくプロセスを確立しましょう。

例えば、「現場の雨天時の対応」についての質問が多く、AIがうまく答えられていないことがログから判明した場合、define user ask rain_policy という新しいインテントを定義し、正確な回答フローを追加します。このように、ログ駆動でルールを育てていくことが、エージェントの賢さと安全性を高める唯一の道です。

Red Teamingによる安全性検証

定期的なRed Teaming（擬似攻撃演習）も推奨されます。開発チームとは別のメンバーや外部の専門家が、意地悪なプロンプトや最新のJailbreak手法を使ってエージェントを攻撃し、ガードレールが正しく機能するかをテストします。

このテスト結果をもとに、Input Railsの検知ロジックを更新したり、LLMへのシステムプロンプトを強化したりすることで、防御壁を常に最新の状態に保つことができます。

まとめ

NeMo Guardrailsは、確率的なLLMの世界に、決定論的な秩序をもたらすための強力なフレームワークです。しかし、それは魔法の杖ではありません。現場の特性に合わせた詳細な設計、パフォーマンスとの冷静なトレードオフ判断、そして泥臭い運用改善があって初めて、その真価を発揮します。

建設現場で足場を組むように、一つひとつのレールを慎重に設計し、ユーザーが安心して対話できる環境を構築してください。堅牢なガードレールに守られたAIエージェントは、予期せぬトラブルを未然に防ぎ、ビジネスに確実な成果をもたらす頼もしいパートナーとなるはずです。

より具体的な実装イメージを掴みたい方、あるいは自社の業界特有の規制要件に合わせたガードレール設計の事例を知りたい方は、ぜひ以下の導入事例集をご覧ください。同様の課題を持った企業が、どのようにして安全なAI活用を実現したのか、その詳細なケーススタディをご確認いただけます。