AIの活用と依存度の高まりは、テクノロジー分野で突出して大きな成長領域となっています。しかしAIは膨大なエネルギーを消費するため、これまでとは質の異なるデータセンターが必要とされています。
この需要が、AIデータセンターの建設ラッシュに拍車をかけています。問題は、こうした新型データセンターを急速に建設する担い手たちが、従来型データセンターとAIデータセンターの違いを十分に理解していないケースが多いことです。その結果、新しいAIデータセンターはこれまでにない規模のリスクにさらされることになります。
従来型データセンターは、既知の顧客にサービスを提供するデータ処理の倉庫としての性格が強いものでした。これに対しAIデータセンターは、より広範で未知の顧客層にサービスを提供する高出力な演算工場に近い存在です。従来型データセンターが独立したサーバー群の集合体として構成できたのに対し、AIデータセンターははるかに大きな計算需要に対応するため、大規模並列処理が可能な単一のエンジンとして機能しなければなりません。つまりAIデータセンターは、従来型データセンターと同じ方法では構築できないのです。
Lava Labsは、AIデータセンターに求められるセキュリティ要件を調査し、その結果を報告書(PDF)にまとめました(『The Top 10 Data Center and AI Infrastructure Security Risks』)。同社は、AIデータセンターの構築速度がセキュリティ対策の整備速度を上回っていると結論づけています。従来型データセンターと新型AIデータセンターは、リスクの内容自体はおおむね共通しています。しかしAIは、その悪用可能性と被害範囲を大きく変えてしまいます。報告書は「もともと信頼された運用者向けに設計されたシステムが、いまや無関係の顧客による高価値のマルチテナント型ワークロードを支える基盤になっている」と指摘しています。
Lava Labsの報告書は、AIデータセンターおよびインフラにおけるセキュリティリスクの上位10項目を挙げ、これらを「Forge」と名付けています(「モデルの土台となる金属を鍛え上げる」という趣旨によるものです)。
- Forge 01:ファームウェアおよびハードウェアの完全性侵害
- Forge 02:ネットワークおよび相互接続の脆弱性
- Forge 03:安全性の低いマルチテナント分離とリソース再利用
- Forge 04:安全性の低いアウトオブバンド管理プレーン
- Forge 05:AIインフラのサプライチェーン侵害
- Forge 06:安全性の低い施設・データセンター管理システム
- Forge 07:安全性の低いデータ・成果物の取り扱い
- Forge 08:認証の欠落とプロバイダーの透明性不足
- Forge 09:安全性の低い運用インフラサービス
- Forge 10:ベンダーの出荷制限の穴とパッチ適用速度の不備
これらのリスクの並び順は、基本的に深刻度に基づいています。リスク01から05は、OSレイヤーより下位で発生するため検知が難しく、クラスタ全体に及ぶ被害範囲を持ちます。リスク06から09は、一般的に検知や復旧が比較的容易です。リスク10は最も検知・是正が容易であり、テナントに壊滅的な被害をもたらす可能性は最も低いとされています。

こうしたリスクが生じるのは、AIの性質そのものが従来型データセンースの基本的な信頼モデルを崩してしまうためです。03、07、08については、AIが無関係な商用テナント、高価値のワークロード、そして顧客間で再割り当てされるGPUノードを持ち込むことが原因です。
01、06、10については、高密度なGPUクラスタがもたらす新たなハードウェア上の現実が要因です。複雑なファームウェアスタックが必要になるうえ、熱への耐性が極めて低く、施設障害が発生した際の被害範囲も従来より大きくなります。
02については、InfiniBand、RoCE、RDMA、NVLinkといった高性能ファブリックが暗号化されておらず、監視も不十分で、権限が過度に高い状態にあることが多い点が問題です。ファブリックの分離が弱いと、発見・悪用・水平移動の経路を露出させてしまう恐れがあります。
04と09では、BMC自動化、Redfish/IPMI、ファームウェアパイプライン、オーケストレーションシステムへの依存度の高さが、運用上の権限集中を招く結果につながっています。
05と10については、GPUプロセッサの供給不足により、新しいAIデータセンターが分離性の弱い、本来あまり適さないプロセッサを選ばざるを得ないケースが多く、これがサプライチェーン侵害の可能性をより高めています。
Lava Labsの分析および報告書の目的は3つあります。第一にAIデータセンター特有のリスクを明らかにすること、第二に最も深刻なリスクに優先順位を付け、実質的なトリアージの順序を示すこと、そして第三に、これらのリスクに対する攻撃シナリオの具体例と実践的な緩和策を提示することです。
Lava Labsの分析から得られる教訓は次の通りです。AIを支えるには新しいデータセンターが必要になりますが、既存のデータセンターのモデルをそのまま設計の青写真として使うことはできません。
詳しくはAI Risk Summit(Ritz-Carlton, Half Moon Bay)で

翻訳元: https://www.securityweek.com/ai-data-centers-are-being-built-faster-than-they-can-be-secured/