こんにちは、セキュリティエンジニアの田所です。
AWS Summit Japan の会場からセッションの模様をお届けします。

 

セッションについて

AWS-21 AWS による生成 AI のセキュリティアプローチ

AWS はお客様のワークロードのセキュリティと機密性の保護を最優先事項としており、AI インフラストラクチャとサービスには包括的なセキュリティ機能が組み込まれています。その中でも生成 AI スタックは3つの層、(1)AWS Nitro System や Nitro Enclaves による堅牢な基盤インフラストラクチャ、(2)Amazon Bedrock を中心としたセキュアなツール層、(3)Amazon Q Business に代表されるエンタープライズアプリケーション層で構成されています。本セッションでは、各レイヤーにおいて企業の機密データを保護するためのセキュリティテクノロジーについて解説します。

生成 AI の活用が急速に進んでいる昨今ですが、そのセキュリティはどのように考えればよいのでしょうか。
AWS の生成 AI に対するセキュリティの考え方や活用できるサービスのご紹介です。

 

1. 生成 AI のスタック

生成 AI はイノベーションをもたらしますが、新たなリスクもあると提起されるところから始まります。

生成 AI のスタックは以下の3つに分類できます。

  • 基盤レイヤー(インフラストラクチャ)
  • ツールレイヤー(ビルダー向けのサービス)
  • アプリレイヤー(エンタープライズ向けのサービス)

そして当然、これらに対応する AWS サービスが存在します。
Amazon SageMaker, Amazon Bedrock, Amazon Q などよく耳にするサービスですね。

 

2. AI インフラストラクチャのセキュリティ

AI のインフラがセキュアでないとはどういった状況でしょう。

  • AWS のオペレーターが企業の AI データにアクセスできる
  • 企業内の関係者以外が AI データにアクセスできる
  • 通信が保護されていない

これらはセキュアであるとは言えないですね。
どのように対策できるのでしょうか。

EC2 インスタンスの基盤である AWS Nitro を利用するとこれら対策が可能だと言います。

  • AWS オペレーターがオペレーターがアクセスする仕組み自体が存在しない AWS Nitro System
  • 汎用のスペースと、機密性の高いデータのための狭いスペースを分けることにより、EC2 インスタンス内でのデータ分離を実現する AWS Nitro Enclaves

これらの技術によりデータ分離の対策ができます。

生成 AI を使うシーンにおいては、 AWS KMS を利用することにより通信の保護も達成されます。

AWS Nitro ベースの EC2 インスタンスで ML モデルを稼働し、KMS を利用することで、
インフラレイヤーのデータ分離と通信保護ができることが分かりました。

 

3. AI ツールレイヤーのセキュリティ

次に Amazon Bedrock に代表されるツールレイヤーのセキュリティについてです。

Amazon Bedrock や他の AWS サービスを活用すれば、
データのトレーニング使用を抑え、プライベート通信や暗号化を実現し、
アクセス制御や脅威検知が可能になります。

また Amazon Bedrock の AWS 内部においても、機能別にアカウントが分離されており、セキュアに運用されています。

  • モデルアーチファクトを検査するモデル準備アカウント
  • モデルをデプロイするためのモデルデプロイアカウント
  • エージェントがタスクの計画を立て、実行指示をするサービスアカウント

これでデータ分離と通信保護がなされ、十分セキュアであるように思えましたが、まだデータへのアクセスが制限できていません。

そこで、AWS サービスを組み合わせて認証・認可の仕組みを入れ、データ、モデル、出力へのアクセスを制限します。

以下のサービスが紹介されていました。

  • IAM Identity Center
  • IAM Access Analyzer
  • AWS Verified Access
  • Amazon Verified Permissions

例えば IAM Identity Center でエンドユーザーの認証・認可を行い、
Amazon Verified Permissions でエージェントとナレッジベースやツールの認可を行います。

ここではエージェントにセキュリティの判断をさせるのではなく、
ポリシーで明示的なルールによって判断する仕組みが望ましいとのことでした。

また Amazon Bedrock Guardrails を活用すれば、ユーザーの入力や推論結果に対してポリシーに沿ったフィルターをかけることができます。
キーワードや PII のフィルタリングだけでなく、ハルシネーションチェックをして結果に応じてフィルターする機能もありました。

ここまで見てきたように、セキュリティは一層の対策だけで万全とはなりません。
多段で防御することがベストプラクティスであり、生成 AI に限らず原則は同じです。

そして生成 AI サービスを他のサービスと統合して使うことで、よりセキュアな生成 AI の利用が可能となります。

非常に多くの統合可能なサービスがありますね。

 

まとめ

生成 AI スタックとそれぞれに必要なセキュリティ対策、活用できる AWS サービスを見てきました。
新しい技術が普及するにつれ、それに対応するセキュリティを考慮する必要がある一方、
分離、保護、認証・認可が重要であるという考え方、原則は変わらないものだと知りました。
生成 AI を安全に活用したいものですね。

おしまい