TokyoBlackHatNews

sysdig.com 8分で読了

マルチクラウド環境における実践的なAIセキュリティ

Image

人工知能ソリューションが遍在するようになるにつれ、AIを競争優位として活用したい組織にとって、AIセキュリティは重要な検討事項です。

AIがさまざまな実装モデルで普及する中、セキュリティチームは大きな障害に直面しています。具体的には、外部で管理されるAIプラットフォーム(AWS Bedrock、GCP Vertex、Azure OpenAI)、クラウド基盤内の自社開発AIサービス、そしてオンプレミスのAIシステムです。大規模組織では、特定の部門がAIプラットフォームを利用する一方で、重要システムには目的特化のAI機能が組み込まれているなど、混在したエコシステムで運用されることが少なくありません。

生成AI(GenAI)やエージェント型AI製品を展開するためにどのAIソリューションを使っていても、主要な課題は同じです。AIプラットフォームに対する可視性の欠如と、適切なセキュリティアプローチの不足です。 

さらに、国や業界によっては、特定の規制要件を満たす必要がある場合があります。AI規制は急速に進化しているため、新しい要件に追随するにはコンプライアンス監視プロセスを確立することが不可欠です。

本記事では、マルチクラウド環境におけるAIセキュリティのベストプラクティスとヒントをいくつかご紹介します。

AIインフラの強固なセキュリティ基盤から始める

プロアクティブなセキュリティ基盤から始めることが重要です。そこで本題に入る前に、達成したいことのセキュリティベースラインを整理しましょう。あなたには次のことができる必要があります。

  • インフラ内に展開されているあらゆるAIコンポーネントを可視化する。
  • 環境内の関連するリスクを管理する。
  • セキュリティ態勢を強化する:ポリシー、コントロール、監視の組み合わせにより、進化する脅威に対してAIインフラのレジリエンスを維持する。
  • ゼロデイ脆弱性をプロアクティブに検知するための継続的なセキュリティ監視を実装する。

これが整ったら、クラウド検知・対応(CDR)によるリアクティブな要素を統合し、堅牢な全体セキュリティ戦略を構築できます。それでは各ベースラインをもう少し掘り下げていきましょう。

インフラ全体にわたるAIの可視性

AIを効果的に管理・保護するには、確かな可視性が絶対に必要です。これがないと、統制されていない潜在的にリスクのあるAI項目がどこにでも現れ得る「シャドーAI」の状況になってしまいます。

AIセキュリティを堅牢に保つには、問題を迅速に発見して修正し、包括的なセキュリティカバレッジを確保する必要があります。

Image

既存および新規の資産(特に大規模言語モデル)を継続的に監視することは、新たに出現する脅威から保護するうえで重要ですが、有効にするには強固な脅威管理と組み合わせる必要があります。

インフラ内のリスクを先回りする

脆弱性が、設定ミス、露出、過剰な権限、不審なランタイム活動といった他のリスク要因と重なると、ビジネスに深刻な影響を及ぼしかねません。要するに、リスクとは望ましくないインシデントが起こる可能性と、その結果を表します。

AIインフラに関する洞察が得られたことで、特定されたリスクを深刻度に基づいて優先順位付けし、管理できるようになります。

どこから始めればよいかわからない場合は、Sysdig Secureすべての検出結果を「Risks」というセクションにグルーピングして要約してくれるため、影響を受けるリソースや潜在的な脅威の影響を特定し、最も重要な問題を優先して対処できます。

Image

Riskセクションでは、ワークロードにエクスプロイトがあるか、ランタイムで使用されているか、AIパッケージを含むか、インターネットに露出しているか、などの詳細を含む広い文脈とともに、影響を受けるリソースが表示されます。

ただし、この分析を意味のあるものにするには、これらの潜在的脅威を評価するための文脈を提供するセキュリティベースラインを確立する必要があります。

AIのレジリエントなセキュリティ態勢を確立する:AI-SPM

世界各国の規制当局は、セキュリティ、プライバシー、倫理上の懸念に対処するためのAIガバナンスフレームワークを導入しています。 

マルチクラウド環境でAIを保護するには、必要な内部セキュリティ対策、ポリシー、規制標準をプロアクティブに実装することが求められます。

Image

Sysdig Secure内の「Zone」に割り当てられたポリシー一覧

AIセキュリティへの構造化されたアプローチには、MITRE ATLASおよびOWASP AIガイドラインに基づくリスク管理フレームワークの採用が含まれます。最新の議論についてはこちらで紹介しています。

さらに、特定のAIコンポーネントに紐づく独自のコントロールを作成するべきです。これらはカスタムポリシーに紐づけることができ、たとえばAWS Sensitive Dataに関連するこのようなベストプラクティスを維持できます。

Image

堅牢なセキュリティ態勢を確立することで、AI環境は必要な規制要件を満たしつつ、同時に顧客からの信頼を築けます。要するにセキュリティ態勢とは防御の構えであり、組織が脅威に対して露出しているのか、対処できる備えがあるのかを定義します。

クラウドAIセキュリティのための行動ベース脅威検知

効果的なAIセキュリティには、静的な態勢評価だけでは不十分で、コンポーネントがランタイムでどのように振る舞うかをリアルタイムで把握することが求められます。従来のシステムとは異なり、AI駆動のサービスは予測不能な挙動を示すことがあり、「正常」を定義するのが難しくなります。これにより、検知されない設定ミス、異常、侵害のリスクが高まります。

そのため、ワークロードが想定されるパターンから逸脱したり、望ましくない状態に入ったりしたときに特定するには、継続的な監視と行動ベースの検知が不可欠です。

クラウド検知・対応およびランタイムセキュリティのポリシー機能を活用することで、AIサービスが望ましくない構成に入った場合、ワークロードやインスタンスが侵害された場合、またはその他の潜在的なセキュリティ問題が発生した場合を検知できます。

新たに出現するAIリスクに対する継続的な脅威検知

Falcoとクラウド監査ログによって強化されたSysdigのエージェントにより、資産とコンポーネント全体で行動監視が可能になり、不審な活動が特定されると指定されたエンドポイントへアラートが送信されます。

Sysdig Secureでは、ランタイムポリシー内で管理されたFalcoルールを直接利用でき、リアルタイムの脅威検知を提供します。 

これらの厳選されたルールは、最新の新興脅威に追随するため、Threat Research Teamによって継続的に保守・更新されています。Sysdigチームは迅速な対応を重視して構成されています。たとえば、最近のマルウェアの亜種は、わずか24時間以内に当社製品で検知・対処されました。

Image

Sysdig SecureにおけるAWS Bedrock向け管理Falcoルールの簡易一覧

Falcoルールは一般に、脅威に関連し得るイベントをトリガーする条件で定義されます。

ユースケースによって、各イベントは異なる重大度レベルを持ち得て、それが関連するリスクに直接影響します。そのため、どれを有効化するか、または調整(チューニング)するかを確認し、自社の状況に合わせることを推奨します。

たとえば、以下はAWS Bedrockエージェントの呼び出しを検知するための管理Falcoルール例です:

- rule: Bedrock Invoke Agent

id: 111111
description: プロンプトおよび指定された推論パラメータを用いて推論を実行するために、Amazon Bedrockエージェントが呼び出されたことを検知します。

condition: ct.src="bedrock.amazonaws.com" and ct.name="InvokeAgent" and not ct.error exists

output: Amazon Bedrockエージェント %json.value[/requestParameters/agentId] が推論を実行するために呼び出されました …

source: awscloudtrail

 tags
 exceptions (1)

監査ログに基づくFalcoルールの利用は重要なステップですが、焦点をワークロードにも広げることで、AIインフラに対してコンピュートレベルで継続的な調査を可能にします。

Image

AWS Bedrock向けに、前述のルールに基づいてトリガーされたイベント一覧

このアプローチにより、脅威がクラウドレベル(監査ログの取りこぼしなど)での検知をすり抜けても、コンピュートレベル(不審なツールの実行、LLMjackingなど)で特定される場合、あるいはその逆の場合でも、全面的な保護が得られます。

まとめ

環境内のすべてのAIコンポーネントにわたる可視性を確保することは極めて重要です。何が展開されているか、それに紐づくリスクは何か、そしてそれらを効果的に最小化するために必要なアクションは何かを把握できるからです。可視性を得た後は、AIセキュリティ(AI-SPM)への構造化されたアプローチとして、AIリスク管理フレームワークを採用すべきです。フレームワークの利用は、組織に該当する場合、EU AI ActやNIST AI RiskなどのAIコンプライアンス標準を満たすことにも寄与します。

次に、主要ツールとしてFalcoを用いたランタイムでの行動ベース脅威検知を取り上げ、クラウドインフラ(監査ログ)を超えて、アプリケーションのランタイム層(コンテナおよび仮想マシン)まで保護を拡張しました。

この構成により、従来の予防策を回避しがちなゼロデイ脆弱性によって引き起こされる悪意ある振る舞いを検知でき、AIインフラとデータを狙う高度な攻撃に対する不可欠な防御層を提供します。 

SysdigでAIセキュリティをさらに深掘りする準備はできていますか?

このホワイトペーパーは、AIの脅威、規制上の影響、必要なコントロールを、明確なビジネス影響分析とともに経営層へ効果的に伝えるのに役立ちます。

AIセキュリティをより広い視点で捉えるには、データ整合性からサプライチェーン保護までを網羅したAIセキュリティのベストプラクティス トップ8をご覧ください。

👉 デモをリクエストして、Sysdigの仕組みをご確認ください。

翻訳元: https://www.sysdig.com/blog/practical-ai-security-in-multi-cloud-environments

ソース: sysdig.com
#AI-SPM(AI Security Posture Management) #AIコンプライアンス(EU AI Act・NIST) #AIセキュリティ #Falcoルール #クラウド検知・対応(CDR) #マルチクラウドセキュリティ #ランタイムセキュリティ #リスク管理 #可視化(Visibility) #生成AI(GenAI)

関連記事

セキュリティブリーフィング:2026年5月

特権コンテナなしのランタイムセキュリティ:最小権限制御によるコンプライアンスの迅速化

AIエージェントが主導:攻撃者がLLMを使ってCVEから内部データベースへ4つのピボットで侵入した方法