はじめに
NVIDIA GTCは、NVIDIAが主催するAI・アクセラレーテッドコンピューティング分野のフラッグシップカンファレンスです。開発者・研究者だけでなく、IT意思決定者、事業責任者、学生まで幅広い参加者が集まり、AIの最新技術、実装事例、産業活用、今後の方向性を確認できるイベントになっています。
2026年開催は 3月16日〜19日、米国サンノゼ現地開催+オンライン併催 の形式で実施され、開発者、研究者、ビジネスリーダー、AIネイティブ企業など、190カ国以上から3万人を超える参加者が集まったとNVIDIAの公式プレスリリースで明示されています。*
さて、筆者は日頃の業務において生成AIを使った業務効率化の支援や技術提供を生業としています。2025年はAIエージェントの年で、生成AIが私たちにとってただのツールとしてではなく、私たちの分身もしくは同業者としてより高度なワークフローを実行できるようになりました。
これは便利になったと喜ばしく思う一方で、AIがより私たちと同じ領域で仕事をするようになり、AIが過ち・誤りを起こした時の影響範囲が大きくなったということでもあります。
この問題意識は筆者だけのものではなく世界全体で広く議論されており、このカンファレンスでもどのようにセキュアな基盤が作れるか、どのようにAIが過ち・誤りを犯さないように手引きできるかという発表がされていました。
本記事ではNVIDIA GTC2026のセッション内容を一部紹介するとともに、それをきっかけに調査した内容や考察を紹介します。
エージェントも「境界」で守る
NVIDIAは今までNemoGuardrailやOpenShellといった生成AI環境のセキュリティ能力を向上させるOSS開発も精力的に行っていました。
NVIDIA OpenShell*はDockerコンテナ上で動作し、AIエージェントをSandboxという隔離された領域に入れることで、そこからのインバウンド/アウトバウンドを効率よく監視する仕組みです。
一方、EQTY LabのJonathan Dotanが登壇したセッションでは「Verify Runtime」が発表されました。
これはNVIDIAの技術(Confidential ComputingおよびBlueField DPU)を活用し、自律型AIエージェントの動作をリアルタイムで監視・保護するゼロトラストアーキテクチャです。AIエージェントの行動がガードレール(制限事項)内で行われているかを保証し、AIのガバナンスとセキュリティを強化できるとのこと。
Verify RuntimeはNVIDIA BlueField DPU上で動作し、ホスト(AIエージェントが動作する環境)からは物理的に分離されているため、エージェントがセキュリティポリシーを改ざんできない点がポイントです。
従来(OpenShell)はDockerで仮想的な環境分離が行われてましたが、これをさらに発展させてハードウェア領域に境目(ペリメータ)を持ってきたということになります。
Jonathanはエージェントそのものが動作するソフトウェア領域とは別に、ハードウェア領域でその動作を検証していく必要があると強調していました。
どちらもAIエージェントを守らなければならない設定やセキュリティポリシーから遠ざけることでセキュリティ能力を向上させた点で同じです。
しかし当然、ペリメータがハードウェア領域に来たとあれば、余計なコンテナを設けずに済むので処理効率の向上も期待できるでしょう。
Jonathanはこのソフトウェアとハードウェアの境界分離こそが、エージェントによる不正な認証や操作を不可能にし、今までのセキュリティパラダイムでは困難だった課題に対抗できると言います。
ここでJonathanが述べたのは、自分たちが構築・運用しているエージェントの挙動が妥当なものかを検証する仕組みです。外部の脅威からエージェントを守る仕組みとは異なります。
「Locus」はホストメモリに対するリアルタイムのメモリ・フォレンジクスを可能にする技術です。これにより、そのマシン上で動いているワーカーの状態や文脈を把握でき、インフラ起点の攻撃を見抜いたり、エージェントやソフトウェアを含むコンテナの整合性が保たれているかを確認できるようです。
ソフトウェア製品の普及に比べて、ハードウェア製品が浸透するのには時間がかかります。
このセクションで語られた製品はいずれもハードウェアとの結びつきが強いので、私たちの生活にまで行き渡るのには時間がかかるかもしれません。
悪意を持ったエージェントとの戦い
NVIDIAのCSOであるDavid Reberのセッションによると、コーディングエージェントが脆弱性を即座に見つけエクスプロイトを直ちに生成できるようになったことで、攻撃ウィンドウが極端に短縮しサプライチェーン全体に攻撃範囲が拡大したといいます。
実際に米国大手通信事業者"verizon business"の「2025 Data Breach Investigations Report*」によると、コーディングエージェントとの関連性は示されていないものの、エクスプロイト脆弱性によるインシデント発生が増加しておりフィッシングを上回ったとされています。
これはつまり、人を騙すよりもシステムの綻びを見つける方が簡単になってしまったということです。
生成AIはインターネット上に公開されている様々なOSSやSDKの中身を学習していることから、よくある脆弱性というものを熟知しており、攻撃対象のシステムがどんなパッケージの組み合わせで構築されているかがわかれば、その弱点をすぐに見つけることができるのでしょう。
また、スタンフォード大学の研究チームが、コーディングエージェントを与えた開発者とそうでない開発者にプログラムを作成させて、そのプログラムに含まれる脆弱性について比較しました。
すると、コーディングエージェントにアクセスできる開発者のほうがよりコードに脆弱性を組み込む可能性が高いことが論文*で示されました。
これは生成AIを過度に頼ったり、信頼しすぎてしまうことにより、脆弱性が組み込まれていることに気づかないことが一因にあります。
この問題は非常に深刻で、もしこれらの開発者がある単一のコーディングエージェントに依存していたとすると、同じ脆弱性を内包したシステムが量産され、たった一つのエクスプロイトによって全システムの情報が抜き取られることが容易に想定されるのです。
それでは、私たちはコーディングエージェントを使わない方が良いのでしょうか?
答えは、「No」です。
セキュリティ業界における基本的な考え方として、「攻撃者が使うツールや情報は即座に公開してシステムの運営側はそれに対策を講じるべき」というものがあります。
その言葉を体現している例として、Solitonからは情報漏洩事件から日本人がよく利用するパスワードの傾向を分析してランキング形式でまとめたものを公開しています。
同様に、多くのセキュリティ会社からはペネトレーションテストのツール(疑似的にシステムに対して攻撃を仕掛けられる)が配布されていることも挙げられます。
このように攻撃者の手口を社会全体で共有し、それに備えることが今までの、そしてこれからも必要なセキュリティ対策の一つです。もし私たちがコーディングエージェントの利用を忌避してしまえば、悪意をもった人物たちだけがノウハウを獲得し、我々はなすがままに機微情報を差し出すしかなくなってしまいます。
続けて、Davidは技術スタックが変わっても、セキュリティの基本原則は変わらないと言います。
ここでは、1990年代のDMZアーキテクチャを例に、ネットワークやコンピューティングの境界分離がAIエージェントにも適用できるとし、エージェントがインターネット経由でプロンプトインジェクションを受けるリスクを低減できるとしました。
技術スタックが変わっても、以下の原則は不変:
✅ セキュア・バイ・デザイン(設計段階でのセキュリティ組み込み)
✅ Infrastructure as Code(再現性のある展開パターン)
✅ テストケースの検証(正常系・異常系の両方)
✅ オブザーバビリティ(リアルタイムモニタリング)
✅ ランタイム強制(動的なアプリ挙動制御)
✅ 耐障害性・レジリエンス
「新しい時代だからといって、これまでの学びを捨てる必要はない」
そのうえで、3つのリスク領域モデルを使ったセキュリティ境界の維持を提案しています。
| リスク要素 | 内容 |
|---|---|
| 内部データへのアクセス | 社内システム・DB |
| 外部データへのアクセス | インターネット・外部API |
| コード実行 | 動的コード生成・実行 |
上記3つのリスク要素のうち、3つを同時に組み合わせることが最高リスクであり、マイクロサービスの考え方と同様に、2つ以内に制限することでセキュリティ境界を維持できるというものです。
まとめ
今回のリサーチで注目したのは、Verizon Businessのレポートにもあるようにサイバー攻撃の在り様が少しずつ変わってきていることです。レポート内ではエクスプロイトの生成とAIエージェントとの関係性は示されていませんが無関係ではないと考える方が自然です。
Jonathanは生成AIエージェントが誤った判断のもと使い手の脅威になるシナリオと対応策を紹介した一方、Davidは外部の脅威からAIエージェントを守るための考え方を提案しました。
しかし、二人の意見は境界分離という一つのアイデアに合流しました。
コーディングエージェントの登場によってプログラマが不要になるのではないかという議論もある中で、過去の歴史から新時代のセキュリティの考え方を説いたDavidのセッションは、真っ黒でGUIもないコンソールでプログラムを作ってきた私のようなエンジニアの知見が新時代の課題に対抗するアイデアとなりうるのだと勇気をもらえました。
「境界分離」の考え方はセキュリティの分野ではAIエージェントについてだけでなく、今後新しい技術の登場においてもある意味で普遍的なものの見方を提示したように感じました。