AI Governance 分析
プロジェクト内の AI 関連構成を静的解析し、確認ポイントを可視化する
概要
Dependa の AI Governance 機能は、プロジェクト内の AI 関連構成を検出し、ガバナンス上の確認ポイントを整理します。依存関係・ソースコード・環境変数・IaC 定義から AI コンポーネントを統合的に棚卸しし、レポートに出力します。
v2.0 では ExternalServiceUsage の検出がリスク分析と統合され、AI 関連の外部サービス利用がリスク評価に反映されます。
AI Governance は Free 版で利用できます。追加費用はかかりません。
AI BOM(部品表)
プロジェクト内で使用されている AI 関連コンポーネントを検出し、一覧化します。
検出ソース
| ソース | 検出対象 | 例 |
|---|---|---|
| 依存関係 | AI SDK / フレームワーク / ML ライブラリ | openai, langchain, transformers |
| ソースコード | import / require / using 文 | import openai, from langchain import ... |
| 環境変数 | .env ファイル内の API キー参照 | OPENAI_API_KEY, ANTHROPIC_API_KEY |
| IaC 定義 | Terraform / Bicep / ARM JSON の AI リソース | azurerm_cognitive_account |
BOM テーブルの見方
| 列 | 説明 |
|---|---|
| コンポーネント | 検出された AI コンポーネントの名前 |
| 種別 | SDK / フレームワーク / サービスエンドポイント / 環境設定 など |
| バージョン | 検出されたバージョン(IaC の場合は API バージョン) |
| プロバイダー | AI プロバイダー名(OpenAI, Anthropic, Microsoft 等) |
| 直接 | 直接依存か間接(推移)依存か |
| 確度 | 検出の信頼度(High / Medium / Low) |
| ソース | 検出元ファイル |
ExternalServiceUsage とリスク分析の統合(v2.0)
v2.0 では、AI 関連の外部サービス利用(ExternalServiceUsage)がリスク分析に統合されています。外部 AI API を呼び出しているパッケージに対して、RiskReason と RecommendedAction が自動的に付与されます。
Excessive Agency 検出
AI エージェントや AI アプリに関連する過大な権限設定の候補を検出します。
| 検出項目 | 説明 |
|---|---|
| AGENCY-001 | ワイルドカード IAM 権限(Action: "*") |
| AGENCY-002 | 過大な OAuth スコープ |
| AGENCY-003 | 書込み / 削除 / 実行系ツール定義 |
| AGENCY-004 | 人間の監視なしの自動承認設定 |
| AGENCY-005 | 書込み可能ツール近傍に安全策が未検出 |
| AGENCY-006 | 無制限または過大な反復上限 |
Data Sovereignty 確認
AI サービスのデータ送信先やリージョン設定を確認します。
| 検出項目 | 説明 |
|---|---|
| SOV-001 | AI サービスのリージョンが未指定 |
| SOV-002 | 非特定リージョン設定(global / auto) |
| SOV-004 | 外部 AI API への直接呼出し |
| SOV-005 | データ残留設定が未検出 |
組織ポリシー照合
ローカルに配置したポリシーファイルに基づき、許可リージョン外のデータ送信先や未承認 AI プロバイダの利用を検出します。
ポリシーファイル(data/ai-governance/ai-governance-policy.json)を配置すると、ポリシー照合が有効になります。未設定時はスキップされます。
Finding の見方
各検出結果には以下の情報が付与されます。
- 理由 — なぜ確認が必要か
- アクション — 今すぐ何をすべきか
- エビデンス — 検出元のファイルと行番号
制約事項
- 静的解析のみ。実行時の挙動や動的に付与される権限は検出対象外です。
- カタログに登録されていない AI SDK は検出されません。
- 推移依存からの間接的な AI コンポーネント検出は Low confidence で表示されます。
注意: AI Governance 分析はフォルダスキャンでのみ実行されます。SBOM インポートでは実行されません。
AI Governance Analysis
Statically analyze AI-related configuration and surface governance review items
Overview
Dependa's AI Governance feature detects AI-related configuration in your project and organizes governance review items. It consolidates AI components from dependencies, source code, environment variables, and IaC definitions into an AI Bill of Materials.
In v2.0, ExternalServiceUsage detection is integrated with Risk Analysis. External AI API usage is reflected in risk assessments.
AI Governance is available in the Free edition at no additional cost.
AI BOM (Bill of Materials)
Detects and inventories AI-related components used in your project.
Detection Sources
| Source | Detection Target | Examples |
|---|---|---|
| Dependencies | AI SDKs / Frameworks / ML Libraries | openai, langchain, transformers |
| Source Code | import / require / using statements | import openai, from langchain import ... |
| Environment Variables | API key references in .env files | OPENAI_API_KEY, ANTHROPIC_API_KEY |
| IaC Definitions | Terraform / Bicep / ARM JSON AI resources | azurerm_cognitive_account |
BOM Table Columns
| Column | Description |
|---|---|
| Component | Name of the detected AI component |
| Type | Sdk / Framework / ServiceEndpoint / EnvironmentConfig, etc. |
| Version | Detected version (API version for IaC resources) |
| Provider | AI provider name (OpenAI, Anthropic, Microsoft, etc.) |
| Direct | Whether direct or transitive dependency |
| Confidence | Detection confidence level (High / Medium / Low) |
| Source | Source file where detected |
ExternalServiceUsage and Risk Analysis Integration (v2.0)
In v2.0, AI-related external service usage (ExternalServiceUsage) is integrated with Risk Analysis. Packages that call external AI APIs are automatically assigned RiskReason and RecommendedAction.
Excessive Agency Detection
Detects candidates for overly broad permissions in AI agent configurations.
| Finding | Description |
|---|---|
| AGENCY-001 | Wildcard IAM permissions (Action: "*") |
| AGENCY-002 | Overly broad OAuth scopes |
| AGENCY-003 | Write / delete / execute tool definitions |
| AGENCY-004 | Automatic approval without human oversight |
| AGENCY-005 | Safeguard not detected near write-capable tools |
| AGENCY-006 | Unlimited or excessive iteration limit |
Data Sovereignty Checks
Reviews AI service data destinations and region settings.
| Finding | Description |
|---|---|
| SOV-001 | Region not specified for AI services |
| SOV-002 | Non-specific region setting (global / auto) |
| SOV-004 | Direct external AI API calls detected |
| SOV-005 | Retention-related setting not detected for AI provider |
Organization Policy Evaluation
Compares detected AI configuration against a local policy file to identify regions outside the allowed list and unapproved AI providers.
Place ai-governance-policy.json in data/ai-governance/ to enable policy evaluation. Skipped when not configured.
Understanding Findings
Each finding includes:
- Why — Why this needs attention
- Action — What to do now
- Evidence — Source file and line number
Limitations
- Static analysis only. Runtime behavior and dynamically assigned permissions are not detected.
- AI SDKs not registered in the catalog will not be detected.
- Transitive dependency AI components are shown with Low confidence.
Note: AI Governance analysis runs only with folder scan. It does not run when importing an SBOM file.