2020年にセキュリティーに関してブログで発表して以降、コンフィデンシャル・コンピューティングとクラウドの環境は大きく変化しました。多くの企業とサービス・プロバイダーにとって、新たなプロジェクトを立ち上げたり優先順位を決めたりするうえで、生成 AI が重要なカギを握るようになっています。2024年に焦点が置かれたのは、大規模言語モデルのトレーニングと生成、オープンソース対クローズドソース、検索拡張生成 (RAG) による推論処理、プロンプト・エンジニアリング、Copilotを活用したコード生成です。
コンフィデンシャル・コンピューティングと AI を組み合わせた コンフィデンシャル AI に注目が集まりはじめ、多くのクラウド・プロバイダーやソフトウェア・ベンダーがコンフィデンシャル・コンピューティングを導入し、企業の機密ドキュメントやデータが含まれるプロンプト、重要なモデル、RAG パイプラインを守るソリューションの提供を開始しました。
2025年にはコンフィデンシャル・コンピューティングの現実的な利用が大きく拡大し、個人レベルで AI をワークフローやアプリケーションに組み込み、セキュリティーとデータ・プライバシーを保持しながら、どのように効率と生産性を向上させていくかに焦点が集まると見られています。また、「モデルの大規模化」一辺倒から、「推論能力の強化」へと AI 業界全体が移行していますが、これはモデル規模の拡大だけではもはや限界があり、推論能力を強化しないことには AI システムの効率化とインテリジェンス向上は見込めないからです。このような AI の推論能力強化に向けた動きを加速する例として、OpenAI の Chat GPT シリーズ、Google の Gemini、 DeepSeek などのモデルが挙げられます。
2025年以降に大きく飛躍すると予測される AI の次のフロンティアは、エージェント型 AI です。Gartner の最新調査レポート「2025年の戦略テクノロジー上位トレンド: エージェント型 AI」によると、2028年までにエンタープライズ向けソフトウェアの 33% にエージェント型 AI が組み込まれ、店頭でのデジタルなやり取りの 20% を AI エージェントが行うようになり、日常の意思決定の 15% が自律的実行になると予測されています。ただし、エージェント型 AI の普及によって、インテリジェント・マルウェアやプロンプト・インジェクション、不正 AI エージェントといった、巧妙化するサイバー攻撃にさらされる危険性が高まっていることも事実です。このようなリスクに適切に対処しなければ、業務運用の中断、ガバナンスの失敗、人命や組織の評判など、甚大な損失にもつながりかねません。
今回のブログでは、こうしたリスクに注目します。ではまず、エージェント型 AI とは何か? その定義から見ていきましょう。
エージェント型 AI
エージェント型 AI の普遍的な定義はないものの、大まかに言えば、人間あるいは別の AI システムに代わって自律的に行動し、特定の目的達成のために判断やアクションを行うエージェントやプログラムの実装を伴うパラダイムとされています。ルールに基づいて動くこれまでのエージェント型モデルとは異なり、エージェント型 AI は洗練された推論 / 知識 / インテリジェンスを駆使して、質問に答えるだけではなく、意思決定と行動によって処理の自動化を推進するのが特徴です。エージェント型 AI には、以下に示す 4 つのコア属性 / 特徴があります。
-
エージェント型 AI の特長
- 自律性: 人間の監視と命令がほとんど / まったくなくても独立して動作。
- 適応性: 教師あり / なしのマシンラーニング、強化学習の手法によって、機能を改良。基盤モデルはオーケストレーターとして機能し、タスクやワークフローの生成、推論と反復的な計画により、マルチステップで問題に対処。
- 意思決定と行動: データ処理 / 分析に推論メソッドとアルゴリズムを用いて、情報に基づいた意思決定を通じ、目的を達成。外部のツールと API を組み込み、膨大な量のデータを取り込んで、反復的に立てられる計画をもとにタスクを実行。
- コミュニケーションと協調: 自然言語での対話を含めた多様なモードを通じ、ほかの AI エージェントおよび / または人間と相互にやり取り。
システムの「エージェント性」レベルは、「直接的な指示が限られた複雑な環境下で、複合的な目標を自律的かつ順応的に達成できる度合い」で表され、このエージェント性レベルが幅広い範囲のどの段階にあるかでエージェント型 AI システムの種類が決まります。
エージェント型 AI システムのアーキテクチャー
図 1 は、エージェント型 AI システムのアーキテクチャーを単純化した、標準的な表現です。ここでは単一エージェントのシステムを描いていますが、複数エージェントを統合して連動させる複雑なエージェント型 AI システムも構成でき、各エージェントが独自の機能セットで動作します。
図 1. エージェント型 AI のアーキテクチャー
エージェント型 AI 以外のシステムにはない、このアーキテクチャーを構成する新しいコンポーネントがソフトウェア・オーケストレーターです。オーケストレーターは、期待されるタスクを完了するために AI エージェントに与えられた情報を、そのタスクをどのように完了させるかに関するガイダンスと指示とともに消費します。
オーケストレーター側から、必要なコンテキスト、RAG 経由で専用のデータ、従うべき制約事項とポリシーを、推論を実行する言語モデルに対して提供することで、タスクを完了させるための具体的なレシピ (計画) が生成されます。これはシステム主導で背後で実行され、ユーザーがプロンプトに入力した内容だけに依存するわけではありません。この計画に基づきオーケストレーターが一連の行動を自律的に実行し、ほかのツールと連動しますが、コンテキストやデータに変更が生じた場合は、必要に応じてレシピを動的に再生成することも可能です。
エージェント型 AI: 自律的、反復的、機密データでの動作
エージェント型 AI システムは、人間やほかの AI システムの代わりに行動します。ユーザー、ツール、API、データソースを含め、数多くの ID に直接または間接的にアクセス可能です。エージェント型 AI はこれらの ID を使用して、さまざまなツール、データソース、モデルと接続します。エージェント型 AI システムが処理するデータの多くは企業のデータソースであり (例えば、推論エンジンが計画を立てるときに用いる最新の業務に特化したデータを提供する RAG パイプラインなど)、こうしたデータの大半は取り扱いに注意を要する機密情報です。
成果、出力、判断を決める、計画と実行ワークフローが含まれます。ここでの決定が継続的なプロセスとしての行動を推進し、多くの場合、人間による監督や介入をほとんど受けることはありません。「エージェント性」のレベルによっては、金融取引や自律走行車、海上輸送取引のように、元に戻すことができない行動もあります。コンテキスト、意思決定に用いられたデータ、関連するメタデータは、透明性台帳に記録され、「説明責任」、科学捜査、学習などに適用する重要な要件となります。
またエージェント型 AI システムは、同様に取り扱いに注意が必要な、プライバシーや評判に影響する、ユーザーのメタデータへのアクセスも可能です。例えば、依存症やメンタルヘルス関連のモデルに回答を求めているユーザーや、代わりのサプライチェーンがないか手がかりを探している企業アナリストを考えてみてください。このメタデータが公開されてしまえば、その影響は個人にとっても企業にとっても重大です。
エージェント型 AI システムに、ハードウェアへの組み込みでもポリシーによるものでも、不正な挙動を防ぎ、規制や企業のセキュリティーとプライバシー要件を遵守するためのガードレール (防止策) が必要になるのは当然のことでしょう。エージェント型 AI システムへ不正に手を加えれば、運用に混乱をきたし、ガバナンスの崩壊や企業イメージの損傷といったリスクは計り知れません。
コンフィデンシャル・コンピューティングとゼロトラスト・アーキテクチャーで確保するエージェント型 AI のセキュリティー
エージェント型 AI がもたらす前例のないパワー、機会、柔軟性には、セキュリティーと信頼に対する重要な要件も伴います。エージェント型 AI のセキュリティーを確保するには、多面的なアプローチが必要になり、これは学習したパターンに基づいて自律的に行動を起こすことができるエージェント型 AI システムの特質から、誤用や攻撃に対して脆弱だからです。すでに説明したとおり、エージェント型 AI システムには保護が必要な多くの資産が存在します。次に挙げるような資産は、特に重点的な保護が必要です。
- 資産の例
- ID
- メタデータ
- データ (RAG、トレーニング / チューニング・データ…)
- プロンプト
- モデル、悪意ある操作の防止も含む
- オーケストレーター、DoS 攻撃の防止も含む
- 透明性台帳の統合、意思決定における透明性と説明責任の確保
通常は、こうした重要な資産を保存されている間も転送中も保護する、対称暗号方式や TLS のような強力な技術が導入されています。これらの保護手段を業界のさまざまなベスト・プラクティスと組み合わせ、開発 / 実装環境のセキュリティー対策を整えておくことは、エージェント型 AI システムの安全性確保に欠かせません。ゼロトラストのアーキテクチャーと原則を適用することで、定義されたポリシーに基づいてアクセス時にエンティティーの認証 / 許可を行い、侵害が発生した場合でも影響を最小限に抑え、リスクを軽減することができます。
重要なデータ資産を守る「最後の防衛線」と言われているのが、エージェント型 AI システムの実行サイクル中に使用 / アクセス / 処理されている間のデータ保護です。実行中はデータが保護されないため、最も脆弱なリンクになってしまいます。敵対者や悪質な攻撃者はこの脆弱性を突いて、エージェント型 AI システムの悪用や不正操作を狙い、データ侵害を引き起こし、出力を改ざんして、警戒すべき結果をもたらします。
コンフィデンシャル・コンピューティングの技術こそ、この最後の防衛線に申し分なく適したソリューションです。コンフィデンシャル・コンピューティング・コンソーシアム (CCC) によると、コンフィデンシャル・コンピューティングは、証明されたハードウェア・ベースの信頼できる実行環境 (TEE) で実行することにより、プライバシーと信頼性を保証するために設計されました。TEE は、エージェントによって処理された機密情報の機密性を保持し、許可されたエンティティーのみのアクセスを保証します。また、認証済みのコードのみを実行できるようにすることで、エージェントの完全性を保証します。実行時には、TEE がランタイム環境を隔離し、攻撃対象領域を縮小して、不正な外部エンティティーからの防御を強化します。
コンフィデンシャル・コンピューティングの詳細については、Confidential Computing Consortium (CCC) のページを参照してください。コンフィデンシャル・コンピューティングでは、認証済みの TEE を使用することで、多種多様な攻撃に対抗できる、アクセスの保護、プライバシーの確保、重要な資産の使用中の保護を追求しています。
図 2 は、エージェント型 AI のアーキテクチャーにコンフィデンシャル・コンピューティングを組み合わせた場合の構造を示したものです。この組み合わせによって、インフラストラクチャー・プロバイダーの管理者、インフラストラクチャーの運用事業者、エージェント型 AI システムの運用元、そして同じインフラストラクチャーで稼働するほかのシステム / アプリケーション / サービスからの、重要な資産の保護強化が可能になります。
図 2. エージェント型 AI のアーキテクチャーとコンフィデンシャル・コンピューティング
コンフィデンシャル・コンピューティングとゼロトラスト・アーキテクチャーを併用することで、エージェント型 AI の安全性を確保する、信頼できるアプローチをとる準備ができます。コンフィデンシャル・コンピューティングが追求するのは、処理中のデータとコードを守ると同時に、認証済みのエンティティーのみが AI システムにアクセスできるゼロトラスト・アーキテクチャーによる安全措置です。この 2 つの戦略を組み合わせれば、機密データとエージェント型 AI のワークロードを強力に保護し、組織のリスクと考えうる侵害の影響を最小限に抑えることができます。
今後のブログでは、コンフィデンシャル・コンピューティングとゼロトラストの原則にシームレスに対応するために必要な追加コンポーネントや、この「暗黙の信頼は前提としない」というパラダイムの中で求められる運用の監視、ポリシーの施行、是正措置の要件など、エージェント型 AI のソフトウェアとハードウェア・スタックの多様な構成要素について深く掘り下げていく予定です。
コンフィデンシャル・コンピューティング技術の現状
コンフィデンシャル・コンピューティングを実現するテクノロジーは、パブリック・クラウド、ハイブリッド・クラウド、ソブリン・クラウドの環境にわたり、広く実装が進められています。
この 2 年の間に、数多くの独立系ソフトウェア・ベンダー (ISV) とクラウド・サービス・プロバイダー (CSP) が、コンフィデンシャル・コンピューティング対応のアプリケーション、データベース、AI ワークロード、機密コンテナサービスの開発に積極的に取り組んできました。CPU や GPU などベンダーが提供する現行世代のハードウェアは TEE に対応しており、インテルではアプリケーションの隔離にインテル® ソフトウェア・ガード・エクステンションズ (インテル® SGX) を、VM の隔離にインテル® トラスト・ドメイン・エクステンションズ (インテル® TDX) を提供しています。
また、Arm の CCA や、AMD の SEV-SNP といった VM 隔離によるセキュリティー機能もあります。TEE にネイティブ対応している NVIDIA H100 Tensor コア・ハイパーバイザーと OS はすでに複数の OS ベンダーと CSP から製品品質で提供を開始。2025年にはさらにリリースが続く予定です。また、TEE を検出して利用できるコンテナランタイムや Kubernetes オーケストレーション・プラットフォームも提供されているため、このようなセキュアな環境でエージェント型 AI システムのコンポーネントをコンテナとして実装することもできます。
エージェント型 AI の利用拡大とともに、AI エージェントのセキュリティーを確保し、多様なデータ資産を保護することが、ますます重要になっています。コンフィデンシャル・コンピューティングとエージェント型 AI には相互に補完しあう特性があり、AI 時代に社会的な評判と役割を守るために欠かせないプライバシーと信頼を維持しながらイノベーションを育む、バランスのとれたアプローチを提供する組み合わせです。コンフィデンシャル・コンピューティングに関する知識を高めて、コンフィデンシャル・コンピューティングとゼロトラストの原則をエージェント型 AI システムの設計に組み込んでください。
インフラストラクチャー・プロバイダーに問い合わせて、コンフィデンシャル・コンピューティングへの対応と提供状況を確認することをお勧めします。
元記事
著者: Raghu Yeluri、Ehssan Khan
所属: インテル
公開日: 2025年2月13日
この記事は、インテルフェロー兼 CTO 研究室所属コンフィデンシャル AI & コンピューティング・サービス担当主任セキュリティー・アーキテクト Raghu Yeluri と米国標準技術局 (NIST) 情報テクノロジー研究室所属シニア・コンピューター・サイエンティスト Murugiah Souppaya 氏による共著です。