人工知能(AI)および機械学習(ML)のワークロードは、確立されたソフトウェアエンジニアリングとインフラの原則に基づいています。AI/MLのライフサイクルは新たな運用上の制約をもたらしますが、それでもコンピュート、ストレージ、ネットワークのプラットフォーム上でワークロードとして実行され、馴染みのあるIaaS、PaaS、SaaSの提供モデルに自然に当てはまります(AIはどこかで依然として ワークロードです)。
組織は、AIシステムを自社インフラに展開するか、マネージドサービスとしてモデルを利用するかのいずれかです。本記事では、Kubernetesとクラウドインフラ上に展開されるAIアプリケーションに焦点を当て、特にOracle Cloud Infrastructure(OCI)とOracle Kubernetes Engine(OKE)に注目します。
OCIは、セキュリティ、コンプライアンス、データ主権の観点から採用が拡大しています。コスト効率の高さと、エンタープライズおよび規制要件との強い整合性により、OCIはAIおよび高性能コンピューティング(HPC)アプリケーションの堅牢な基盤を提供します。RDMA対応ネットワーキング(高帯域幅、超低遅延)などの機能は、特に要求の厳しい並列コンピューティングワークロード(金融、自動車、航空宇宙、バイオメディカル、GenAI、ビッグデータ)にとって重要です。
拡大する攻撃対象領域
AIの脅威対象領域は、階層化されたスタック(物理CPUおよびGPU、仮想化レイヤーからモデル、データ、推論、エージェント、アプリケーション、APIまで)にまたがります。KubeflowやMLflowなどのMLOpsプラットフォームは、共有データストアに密接に結び付いたモデル成果物と学習パイプラインを管理します。
実行時には、vLLMやTensorRT-LLMなどの推論エンジンが高い権限と継続的なGPUアクセスで動作します。Kubernetes環境では、llm-dのようなスタックがモデルワーカー周辺の分散サービングのプリミティブを提供し、NVIDIA Triton Inference Serverのようなプラットフォームは、複数のモデルバックエンドに対応するプロダクション品質の推論サーバーを提供します。
さらにその上では、LlamaIndexやLangChainといったフレームワークで構築されたエージェント層が、アプリケーション層やAPI層を通じて機能を公開する前に、モデル、ツール、データを動的に接続します。これらの層は密接に相互接続されており、どこか一箇所の弱点が上位へ波及し、モデルの窃取、データ漏えい、または大規模なGPU悪用につながる可能性があります。
AI脅威の拡散
攻撃は量・高度化・影響のいずれも増大しています。ここ数か月で、多くの注目すべきインシデントが、脅威がいかに急速に進化しているかを浮き彫りにしました。
2025年7月 – LangFlow ServerのRCE脆弱性 → 未認証でAIパイプラインを乗っ取られる。
2025年7月 – Nvidiaのコンテナエスケープ → コンテナからホストへのGPUエスケープ。
2025年11月 – ShadowRay 2.0 → AI推論サーバーの悪用とクラウドマルウェア。
2025年11月 – Kerasのサプライチェーン脆弱性 → ML依存関係のサプライチェーン悪用。
2026年1月 – IBM Bobがだまされてマルウェアを実行 → 信頼されたAIエージェントの侵害。
より深い分析と追加例については、Sysdig Threat Research Teamのコンテンツをご覧ください。
得られた教訓
これらの攻撃の多くは、稼働中のワークロード内部で実行され、しばしばサプライチェーンの弱点やゼロデイ攻撃から侵入し、過剰権限のGPUランタイム、露出した推論サービス、または誤設定されたデータ/ベクターストアを介して権限を拡大します。
その結果、次の点に特別な注意を払う必要があります。
リアルタイムの挙動
強固なセキュリティ態勢があっても、ゼロデイやサプライチェーン攻撃は予防的コントロールを回避し得るため、AIおよびGPUワークロードの異常挙動を検知して阻止するには実行時保護が不可欠です。たとえばLLMベースのシステムでは、プロンプトベースの攻撃がリソースの乗っ取りや意図しない計算資源の悪用につながる可能性があります。
単一のメトリクスでは不十分です。ShadowRay 2.0で見られたように、攻撃者はアラートを回避するためGPU使用率を低く保っていました。効果的なセキュリティアプローチには、複数ドメインの情報をリアルタイムに相関させることが必要です。
セキュリティ態勢とガードレール
CI/CDセキュリティおよびKubernetesセキュリティ態勢管理(KSPM)プラットフォームは、汚染された依存関係、露出したAIサービス、安全でないGPUまたはKubernetes設定を検出し、最小権限IAM、信頼できるイメージ、強化されたGPUノードプールを強制することで、攻撃を早期に防止できます。
AIワークロード保護に対するSysdigのアプローチ
Sysdigは、CNAPPプラットフォームを3つの基盤となる柱に沿って整備することで、AIワークロードを保護します。
Runtime insightsは、複数ドメインの相関により、AIおよびGPUワークロードを深くリアルタイムに可視化します。
正確なアクションを実行するエージェント型AIは、推論サーバーの悪用からコンテナエスケープまで、脅威が実行される最中に検知・対応して阻止します。
オープンイノベーションがプラットフォームを支え、オープンソース、透明性のあるポリシー、顧客が制御するルールを活用して信頼を構築し、チームが主導権を保てるようにします。これらの柱はAIライフサイクル全体をカバーし、パフォーマンスやスピードを犠牲にすることなく、プロダクション品質のアプリケーションを安全に保ちます。
GPUノードを備えたOKEクラスターのセキュリティ確保
ハイレベルアーキテクチャ
OKE GPUアクセラレーションAIアプリケーションの運用セキュリティに関するホワイトペーパーをダウンロードして、詳細をご確認ください
AIワークロード保護を正しく行う
脅威からAIの攻撃対象領域を防御するには、主要なセキュリティのベストプラクティスと機能を活用する必要があります。
可能な限り早期に態勢を強化する
CI/CDの脆弱性およびリスク管理は、デプロイ前に汚染された依存関係、露出したサービス、安全でないGPU/Kubernetes設定をブロックすることでAI攻撃を防ぎます。SysdigのRuntime insightsはノイズを減らし、明確な優先順位付けを支援します。
- ドリフト検知を伴うIaCスキャン
- サプライチェーン、コンテナイメージ、SBOM
- 継続的な態勢管理とコンプライアンス(クラウド、コンテナ、OS、Kubernetesクラスター)
- リスク管理とインベントリ(高度な露出、機微データへのアクセス)
- Runtime Insightsによる優先順位付け
実行時の境界を保護する。常時オン。
ゼロデイやサプライチェーンの欠陥は依然として発生するため、AIおよびGPUワークロードの異常挙動を止めるには実行時検知が重要です。
- ほぼリアルタイムの検知と対応
- AI駆動の脅威インテリジェンス
- マルチドメイン相関
- フォレンジック分析
- ネットワークトポロジ
クラウドのスピードで対応できるよう備える
クラウド侵害のコストが445万ドルに達する中、セキュリティチームは攻撃者に迅速に対応する必要があります。SysdigはSysdig 555により検知と対応のベンチマークを再定義しました。その方法は次のとおりです。
- エージェント型AIセキュリティ(Sysdig SAGE)
- 高度な対応アクション
- 組み込みの自動化フレームワーク
さらに詳しく知りたいですか? Sysdig SecureのWebサイトをご覧ください。
ブループリントとランディングゾーン
GPUアクセラレーションKubernetesクラスターのセキュリティは後付けで考えるべきではありません。セキュリティは最も早い設計段階から取り組む必要があり、そのため、クラスターがデフォルトで安全になるよう、明確に定義されたランディングゾーンやブループリントから始めることが重要です。
Oracleはこのニーズに対し、増え続けるAIアプリケーション向けOCI Kubernetesブループリント(大規模言語モデルの参照アーキテクチャを含む)を通じて対応しています。これらのブループリントは、検証済みのインフラ設計、推奨GPUおよびノードプロファイル、必要なソフトウェアコンポーネント、ベースラインの監視設定を提供します。新しいアーキテクチャ採用時に、場当たり的で安全でないデプロイを避けつつ、チームがより迅速に進められるようにします。
SysdigとOracle Kubernetes Engineは、セキュリティに特化したクイックスタート・ブループリントを共同開発しました。このブループリントにより、Terraformを使用しOCI Quick Start標準に整合させた形で、Sysdig Secureがデフォルトで統合されたOKEクラスターをワンクリックでデプロイできます。目的は、ワークロード稼働後に後付けするのではなく、実行時セキュリティ、可視性、脅威検知を初期のクラスター設計に組み込むことです。
セキュリティの運用定着
現代のセキュリティチームは、ツールが日々の運用に適切に統合され、使用されて初めて価値を提供することを理解しています。これは通常、新しいツールを既存のセキュリティスタックに組み込むことを意味します。これは特にSOCチームに当てはまり、ワークフロー、データ所有権、対応自動化について確立された見解を持つ傾向があります。
運用モデルは大きく異なるため、チームは統合、所有権、対応パターンについて意図的に選択する必要があります。Sysdigをセキュリティスタック内でどのように展開すべきかを判断するために、次の質問を検討してください。
- 貴社にはどのようなサービスレベルが必要ですか?
Sysdigはクラウド環境全体にわたるほぼリアルタイムの検知・エンリッチメント層として動作し、高品質なセキュリティシグナルを生成して、タイムリーな対応アクションを支援できます。 - 長期保管と相関が必要ですか?
Sysdigはセキュリティイベントを選択的にエンリッチし転送できるため、ノイズを減らし、SIEMに保持すべき内容を限定できます。これにより運用負荷とデータ取り込みコストの低減に役立ちます。 - 貴組織は規制要件の対象ですか?
Sysdigはリスク、資産、コンプライアンス管理プラットフォームと統合し、規制環境と継続的なコンプライアンスプロセスを支援します。 - セキュリティチームはコードからクラウドまでのパイプラインをどの程度コントロールできますか?
SysdigはSCA、SAST、ASPMツールと統合し、ビルド、デプロイ、実行時の各段階にわたってセキュリティコンテキストを提供します。 - 自動化はどこまで進めますか?
APIおよびSOARプラットフォームとの統合を通じて、Sysdigは自動化されたカスタマイズ可能なセキュリティワークフローを支援します。 - マネージドセキュリティサービスプロバイダーと協業していますか?
SIEM、SOAR、ケース管理システムと統合することで、Sysdigは可視性と制御を維持しながら外部プロバイダーとの協業を支援できます。
まとめ
OCI上のOKEは、GPUアクセラレーションAIワークロードに対して堅牢でコンプライアンスに準拠した基盤を提供しますが、その上で動作するアプリケーションを保護する責任は最終的にお客様にあります。
セキュリティ業界の多くは出力の分析やプロンプト層でのガードレール追加に注力していますが、インフラ、サプライチェーン、実行時セキュリティは依然として不可欠な第一級の課題です。拡大するAI脅威の状況と新しい技術スタックは、専用のセキュリティアプローチを求めています。
Sysdigはこの課題に対応するため、ほぼリアルタイムの検知、ノイズを減らしコストを下げるためのセキュリティシグナルのエンリッチメント、コンプライアンスおよびセキュリティ運用プラットフォームとの強力な統合など、AIワークロード保護機能を提供します。
SysdigとOracle Cloudについて詳しく読む:
OCIブログ投稿 https://blogs.oracle.com/developers/sysdig-monitoring-security-for-oci-oke-and-oracle-linux
SysdigとOracle https://www.sysdig.com/ecosystem/oracle
ホワイトペーパー全文をこちらからダウンロードしてください。
翻訳元: https://www.sysdig.com/blog/securing-gpu-accelerated-ai-workloads-in-oracle-kubernetes-engine
