出典:Everything Possible via Alamy Stock Photo
AIは、機密コンピューティングの大規模な普及を牽引しています。大手AIプロバイダーであるGoogleやAnthropicは、ここ数か月でこの技術により一層注力し、AIモデルや機密データが漏洩するのを防いでいます。しかし、今後には課題もあります。AI企業は基盤技術をハードウェアベンダーに依存しており、各チップメーカーが独自の実装を持っています。
Hyperframe Researchの主席アナリスト、スティーブン・ディケンズ氏は、「AIモデルは数年にわたる実験を経て本番環境で稼働しており、機密コンピューティングはデータセキュリティやサイバーセキュリティの懸念に対応する上で重要です」と述べています。
「これは、データの所在やコンプライアンスが重要となる医療や金融などの規制業界で、安全なAIへの需要が高まっていることと一致しています」とディケンズ氏は述べています。
機密コンピューティングは、特定のハードウェアに信頼の境界を設けることで、アプリケーションが偽装され、信頼できないユーザーやシステムに秘密情報を漏らすことを防ぎます。処理中に暗号化された環境を作り出すことで、機密データを保護し、コンプライアンスやセキュリティの課題に対応します。
Futuriomのリサーチアナリスト、クレイグ・マツモト氏は、「AIプロバイダーは、企業がAIのセキュリティ全般に非常に懸念を抱いている分野に、急速に機密コンピューティングを導入しています」と述べています。
「推論自体が複雑化しており、それによりセキュリティホールとなる要素が増えています」とマツモト氏は述べています。AIエージェントはより多くのデータを動かすため、複数のソースから新しいデータが持ち込まれることになります。金融や医療などの厳しく規制された分野では、AIを用いて重要な意思決定が行われており、新たなセキュリティ課題が生まれています。これに機密コンピューティングが対応する設計となっています。
「企業は、こうした活動すべてに対して安全なパイプラインを持つことに魅力を感じるでしょう。機密コンピューティングは、その考え方の論理的な延長です」とマツモト氏は述べています。
大手AIプロバイダーが普及を推進
Googleは現在、顧客が自社内で、インターネット接続のないサーバー上で実行できる独自のGeminiモデルのカスタムバージョンを提供しています。このモデルはNvidiaのGPU上で動作し、AIモデルをロックする安全な環境を提供します。
Google Cloudのインフラストラクチャおよびソリューション担当バイスプレジデント兼ゼネラルマネージャー、サチン・グプタ氏は「オンプレミスで実行する上で最大の要件は、モデル自体を保護できることでした」と述べています。企業は非常に機密性の高いデータも処理しているとも述べています。
Claude AIモデルを提供するAnthropicは、先月、「Confidential Inference」と呼ばれる信頼できる環境を構築し、ユーザーデータやモデルの重みを非公開に保つことを発表しました。目的は、AIデータをメモリ内で暗号化・隔離し、盗難や攻撃から守ることです。
Fortanixの最高AI責任者リチャード・サール氏は、「Anthropicの取り組みは、AI-as-a-serviceプロバイダーとしての差別化を図る試みであり、AIモデルの完全性を示すものです」と述べています。
医療や金融サービスにおけるAIの利用事例は、すでに広範な規制監督やコンプライアンス監視の対象となっており、導入される特定のAIモデルやエージェントソフトウェアの監査可能性が求められます。
サール氏は、「規制当局は、AIモデルや関連ソフトウェアが改ざんされていないことを確認する方法を必要としており、機密コンピューティングは安全な検証プロセスによってそれを提供できます」と述べています。
CPUプロバイダーのIntelとAMDは、CPU上に機密コンピューティングのブロックを構築し始めました。しかし、ほとんどのAIモデルが動作するNvidiaのGPUが先行しており、機密コンピューティングの普及を牽引しているとアナリストは述べています。GPUはCPUよりもはるかに多くのアプリケーションを同時に実行できます。
「コンピューティングの加速という観点では、GPU上で動作するこれらの大規模なフロンティアモデルこそが、GPUによる機密コンピューティングの必要性を生み出しています」とエンタープライズAI製品担当バイスプレジデントのジャスティン・ボイタノ氏は述べています。
分断された技術が課題に
業界全体で機密コンピューティング技術を統合する標準は存在しません。多くのマシン間でワークロードを移動させることは、認証や信頼性検証のプロセスを複雑にし、脆弱性が生じる可能性があります。
セキュリティ企業BinarlyのCEO、アレックス・マトロソフ氏は「現状では、複数のコンピュートスタックベンダー間で信頼をシームレスに移行することができません」と述べています。
現在の機密GPU実装は、AMDのEPYCプロセッサーが信頼できる環境を作り、NvidiaのH100 GPUがデータ認証を担当しています。しかし、CPUとGPUがクラスター内でワークロードや認証を頻繁に切り替えることで、脆弱性が生じる隙間が増える可能性があります。
「このような環境では、機密コンピューティングや認証の信頼性が非常に脆弱になります」とマトロソフ氏は述べています。
Nvidiaのボイタノ氏は、Nvidiaはセキュリティ企業になりたいわけではなく、AIに注力し、パートナーと協力してフルスタックの機密コンピューティング技術を実装していると述べています。
ボイタノ氏は、GPUの認証だけでは不十分であり、システム全体としてテストする必要があると述べています。例えば、NvidiaのパートナーであるGoogleは、CPUとGPUの両方のセキュリティを検証してから仮想マシンに秘密情報を渡す独自の認証サービスを構築しています。
最終的には、機密コンピューティングがAIコンピューティング全体に浸透するだろうとボイタノ氏は述べています。
「長期的には、データの転送時や保存時の暗号化が主流になると思います。すべてが機密性を保った方法で動作すべきだと考えています」と彼は述べています。
Fortanixのサール氏は、業界の取り組みや米国国立標準技術研究所(NIST)のような政府機関を通じて、機密コンピューティングの業界標準を策定することで、分断を減らすことができると述べています。
しかし彼は、「これを定義し検証するには時間がかかり、実装には長い製品開発サイクルが必要になる」と警告しています。