ETSIは、AIコンピューティングプラットフォームのセキュリティ要件を定めた技術仕様書TS 104 033を公開しました。この仕様書は、データセンターおよびエッジコンピューティング環境でAIアプリケーションをホストするプラットフォーム向けのセキュリティフレームワークを確立するもので、AIモデル・データセット・学習プロセス・推論ワークロードを保護するためのセキュリティ機能、プラットフォームコンポーネント、インターフェース、サービスを網羅しています。
「この取り組みは、これまでに開発してきたAIコンピューティングプラットフォームのセキュリティフレームワークを基盤としており、プラットフォーム自体に対する具体的かつ実行可能なセキュリティ要件の確立に向けて大きな前進を果たしています」と、ETSI技術委員会「Securing AI」の議長を務めるScott Cadzow氏は述べています。
AIコンピューティングプラットフォームとは、AIアプリケーションをホストすることを目的としたコンピューティング基盤です。AIワークロードのライフサイクル全体をサポートするために必要な演算リソース、ストレージ、ネットワーク、ソフトウェアコンポーネントを提供します。データセンターおよびエッジコンピューティング環境に展開され、GPUやNPUといったAIアクセラレータを含むことも多くあります。
AIコンピューティングプラットフォームの構成概要(出典:ETSI)
AIコンピューティングプラットフォームのセキュリティ要件
本仕様書では、セキュリティ要件をIDおよびアクセス管理、データ保護、完全性保護、監査、インシデント対応、レジリエンスの各カテゴリに分類しています。
IDおよびアクセス管理は最小権限の原則をサポートし、プラットフォームへのアクセスを認可されたユーザーとシステムのみに制限します。ルートレベルアカウントへのリモートアクセスは禁止されています。完全性保護には、システムコンポーネントが改ざんされていないことを確認するセキュアブートの仕組みも含まれます。
プラットフォームは、認可されたエンティティとの間で送受信されるデータを不正な漏洩から保護しなければなりません。また、保存データのバックアップと復旧、およびシステム復元に必要なシステム構成情報の保全もサポートする必要があります。
本仕様書は、AI環境に特有のリスクにも対応しています。AIモデルとデータセットは、保存中・転送中・処理中を通じて保護された状態を維持する必要があります。GPUやNPUなどの共有AIアクセラレータは、ユーザーやワークロード間の適切な分離を提供する必要があります。
プラットフォームはAI推論プロセスを標的とした攻撃を検知し、監査およびフォレンジック分析のためにAI関連ログを安全に保管する必要があります。また、障害やサイバー攻撃が発生した際にはモデル学習の復旧をサポートし、異常な動作状況下でもサービスの可用性を維持することが求められます。これらの要件は、データセンターおよびエッジコンピューティング環境における安全で信頼性の高いAI運用の基盤を形成するものです。
AIワークロード向けセキュリティサービス
AIコンピューティングプラットフォームは、AIモデル・データセット・学習プロセス・推論処理をライフサイクル全体にわたって保護するセキュリティサービスを提供します。
本仕様書が定めるコアサービスには、転送中および保存中のAI資産の保護、処理中のAI資産の保護、AIアクセラレータのリソース分離、学習の復旧、推論攻撃の検知、セキュアロギング、モデル部品表(Model BoM)サポートが含まれます。
これらのサービスは、AIシステムの機密性・完全性・可用性・追跡可能性を支えるものです。暗号化、完全性検証、テナント固有の鍵管理、ハードウェアに紐づいた復号処理によって、AI資産を不正アクセスや改ざんから保護します。リソース分離は、共有コンピューティング環境においてテナント同士が相手のワークロードにアクセスできないようにします。推論攻撃検知は、機密情報の抜き取りやAIモデルへの不正操作を試みる行為を識別します。
学習復旧サービスは、システム障害やサイバー攻撃後にモデルの学習を再開できるようにし、作業の損失リスクを軽減します。セキュアロギングはAI関連の記録を改ざん・削除から守り、Model BoMサービスはモデルの開発・学習履歴を検証可能な形で記録することで、監査・フォレンジック調査・モデルの追跡可能性を支援します。
セキュリティフレームワークを支えるメカニズム
プラットフォームのセキュリティ要件とサービスを支えるため、本フレームワークはAI機密コンピューティング環境の構築と、それらの環境間の通信を保護するためのメカニズムを定義しています。
主要なメカニズムとして、保存中または転送中のモデルやデータセットを保護するAI資産の暗号化・復号処理、および機密性の高いAIワークロードを保護された実行環境内で動作させるAI機密コンピューティングが挙げられます。また、同一ハードウェアリソースを共有するユーザー間の不正アクセスを防ぐAIアクセラレータのリソース分離機能も含まれています。
そのほかにも、障害からの復旧、推論プロセスへの攻撃検知、AI関連ログの改ざん防止、そしてAIモデルの開発および展開に関する情報の完全性と真正性を証明するModel BoM証明機能をサポートするメカニズムが含まれています。
翻訳元: https://www.helpnetsecurity.com/2026/06/04/etsi-securing-ai-computing-platforms-standard/
