Artificial Intelligence (AI)
NVIDIA DOCAで実現する、AIエージェントの速度に追いつくセキュリティ
エージェント型AIは、攻撃が成立するまでの時間を数週間から数時間へと圧縮しており、事後対応型のセキュリティではもはや追いつけません。TrendAI™はNVIDIAと連携し、AIインフラ専用に設計された分離型トラストアーキテクチャを提供することで、攻撃者に侵入の糸口を見つけられる前にAIファクトリを堅牢化します。
AIファクトリは、新たなクラスのコンピューティングインフラであり、企業にとって最も価値の高い資産を単一の環境に集約します。具体的には、モデルの重み、それらの学習やカスタマイズに用いるデータ、そしてその周辺に構築された推論パイプラインです。従来のセキュリティツールは、こうした資産の集中や、これらのシステムが稼働する際のスループットおよび分散トポロジーを想定して作られていません。分離型トラストアーキテクチャは、本番環境の処理速度を落とすことなく、AIファクトリの保護を支援します。
これこそ、TrendAI™がNVIDIA DOCA(英語)で実現していることです。これは、エージェントからアプリケーションに至るまでAIスタックを保護するという当社の使命の一環です。
AIの脅威は現実のものに
AIファクトリは、攻撃者が最も狙う資産(モデルの重み、学習データ、ファインチューニングデータ)を保持しているため、格好の攻撃対象となります。強力なフロンティアモデルやエージェント型フレームワークの登場により、攻撃が成立するまでの時間は、数日から数週間という単位から、わずか数時間にまで短縮されました。これにより、サプライチェーンの侵害、メモリやコンテキストの汚染、予期しないコード実行といったリスクが高まるおそれがあります。
TrendAI™のアプローチは、インシデントを事後に追いかけるのではなく、攻撃者が侵入の糸口を見つける前にAIファクトリを堅牢化することにあります。攻撃が数時間で成立してしまう状況では、事後対応型の体制ではその隙を塞ぐことができません。だからこそ、予防的な対策が中心的な役割を担う必要があります。とはいえ、膨大な計算需要、分散型アーキテクチャ、リアルタイム処理の要件を特徴とする環境では、これは容易ではありません。
NVIDIA BlueField データプロセッシングユニット(DPU)は、セキュリティを念頭に置いて設計されています。これらは、ゼロトラストを中核に据えた分離型トラストドメインで動作し、ラインスピードでのネットワーク制御、暗号化、そしてホストの挙動・トラフィックパターン・その他の兆候の継続的な監視を実現します。ただし、NVIDIA BlueFieldだけでは、パズルの1ピースにすぎません。NVIDIA BlueField DPUを搭載したNVIDIA AIファクトリで可視性と脅威防御を最大化するには、専用のエンドポイント検知・対応(EDR)も必要となります。
データのギャップを埋める
TrendAI Vision One™ AI Factory EDRは、NVIDIA DOCAソフトウェアプラットフォーム上で動作し、NVIDIA BlueField上のワークロードの挙動を監視するとともに、継続的に更新される脅威インテリジェンスを取り込んで攻撃を特定・封じ込めます。DOCA Argusはすでにランタイムの可視性を提供しています。これまで欠けていたのはデータ層であり、そのギャップをDOCA Vaultが埋めます。データ層に対処することで、検知、対応、そして説明責任が向上します。
特に、エージェント型ワークフローがユーザに代わってデータの読み書きを行う場合には、アイデンティティに紐づいたアクセスポリシーと継続的な監査証跡が、検知シグナルそのものと同じくらい重要になります。AIのデータフローに対する強化されたテレメトリとポリシー駆動型の可視性は、データ汚染、モデルの重みの改ざん、データセットに潜むマルウェア、情報の不正持ち出し、敵対的な推論挙動といった兆候の特定に役立ちます。これにより、AIファクトリにおける「検知」の部分が最適化されます。一方「対応」については、ファイル単位のブロック、ワークロードレベルでのデータの隔離、テナント間の分離、そして「疑わしいが確証はない」状態に対する読み取り専用モードが用意されています。
AI Factory EDRを利用することで、組織は、ランタイム・ネットワーク・データの可視性を1つのハードウェア分離型トラストドメインに統合し、NVIDIA BlueField上で包括的な検知・対応を実現できます。さらに、組織は以下のメリットも得られます。
- クローズドループ:ArgusのシグナルがリアルタイムでVaultの判断を駆動するため、ワークロードが侵害された場合でも、Vaultが直ちにデータへのアクセスを阻止します。
- ゼロトラスト:セキュリティパイプラインはすべてNVIDIA BlueField上で完結しているため、ホストOSが侵害されても破綻しません。
- 高パフォーマンス:AI Factory EDRは、GPUやホストCPUに負荷をかけることなく動作します。
DOCA Argusは、NVIDIA BlueFieldから直接、ハードウェアアクセラレーションによる詳細なテレメトリを提供します。これにより、プロセスやファイルの活動を極めて高い精度で、かつホストCPUへの負荷をかけずに監視できます。DOCA Vaultは、データ保護に関する以下のユースケースに対応します。
- アプリケーション制御:信頼されたアプリケーションのみの実行を許可します。
- データの不正持ち出し防止:プロセスが認可されていないファイルにアクセスできないようにします。
- リアルタイムのワークロード脅威検知・防御:ポリシーからの逸脱を、侵害を示す挙動の変化として検出します。
- ドリフト防止:設定ファイルが改変されないようにします。
- フォレンジック調査:ファイルベースのアクセスに関する詳細な情報を提供します。
- インシデント対応:侵害の可能性に対応して、リモートのファイルベースストレージへのアクセスを直ちにブロックします。
実際の動作の流れ
AI Factory EDRは、DOCA ArgusおよびDOCA Vaultと連携し、NVIDIA AIファクトリ環境向けに、統合されたハードウェア主導のセキュリティシステムを構築します。これらは連携して、ランタイムの可視性、ファイルストレージのアクセス制御、改ざん不可能な監査ログ、そしてNVIDIA BlueFieldによる高速化された制御を組み合わせ、ホストのCPUおよびGPUリソースへの影響を最小限に抑えながら、AIワークロード、モデル資産、設定ファイル、機微なデータを保護します。
1. AIモデル資産の保護
マルチテナント型のNVIDIA AIファクトリ環境において、テナントAの学習用コンテナが、テナントBが所有する独自のモデルファイルにアクセスを試みます。
DOCA Argusは「file_descriptor_open」イベントを捕捉します。これには、プロセスのアイデンティティ、ユーザID、コンテナID、ファイルパス、inode、タイムスタンプ、アクセスモードが含まれます。DOCA Vaultは、テナントの所有権、承認済みのファイルパス、許可されたアクセスモードといったファイルストレージのアクセス制御ポリシーに照らして、このリクエストを検証します。
このアクセスはテナント分離ポリシーに違反するため、DOCA Vaultは、モデル資産が読み取りやコピーをされる前に、不正なファイルアクセスをブロックします。TrendAI Vision One™プラットフォームは、DOCA ArgusのイベントとDOCA Vaultの適用結果を受け取り、ワークロードおよびテナントのコンテキストと相関分析することで、関与した異常なコンテナ、プロセス、操作主体を特定します。
これにより、共有型のAIファクトリ環境における、モデルの窃取、不正アクセス、テナント間のデータ漏洩を防止します。
2. 設定ドリフトの防止
別のシナリオでは、認可されていないプロセスが、「/etc/ai_agent」や「/models/config」といった機微なディレクトリ配下の保護された設定ファイルを変更しようとします。
DOCA Argusは、書き込みまたは追記の意図を持つ「file_descriptor_open」イベントを検知し、プロセスのコマンドライン、ファイルパス、ユーザのアイデンティティ、コンテナID、inode、タイムスタンプを報告します。Vaultは、ファイルストレージのアクセス制御ポリシーに照らしてリクエストを確認し、そのプロセスが対象ファイルの変更を許可されているかどうかを判断します。
プロセスが読み取り権限しか持たないにもかかわらず、書き込みまたは追記アクセスでファイルを開こうとした場合、Vaultはこれを読み取り専用から読み書きへの権限昇格の試みとみなし、その操作をブロックします。AI Factory EDRは、ArgusのランタイムシグナルとVaultのアクセス制御判断を相関分析し、不正な設定ドリフトやポリシーの改ざんに対してアラートを発します。
これにより、AIエージェントの設定、モデルのランタイム設定、その他の重要なファイルベース資産を、不正な変更から保護します。
3. リアルタイムの脅威検知とインシデント対応
NVIDIA BlueFieldによる制御は、OSがリクエストを認識する前に行われます。高度な脅威検知のために、AI Factory EDRは、ファイルおよびネットワークの活動にまたがる複数のArgusイベントを相関分析します。
例えば、あるプロセスが機微なモデルファイルを開いた後に未知の外部IPアドレスへ接続した場合、AI Factory EDRは「file_open」イベントと「network_connection」イベントを相関分析し、情報の不正持ち出しの試みである可能性を検出します。その後、Vaultはファイルストレージのアクセス制御判断を適用でき、同時にNVIDIA BlueFieldは、ホストOSが疑わしい活動の処理を続行する前に、Network File System(NFS)、Server Message Block(SMB)、Internet Small Computer Systems Interface(iSCSI)の各サーバへのアクセスに対して、ハードウェアオフロードによるブロックを適用します。
DOCA Argusはさらに、ユーザID、グループID、コンテナID、プロセスのメタデータ、inode、ファイルパス、タイムスタンプ、コマンドライン、ネットワークの宛先を含む、完全なフォレンジックペイロードを提供します。DOCA Vaultは、アクセス判断と適用結果を、ホスト外の改ざん不可能な監査証跡に記録します。
これにより、機微なファイルへのアクセス、データの不正持ち出しの試み、侵害されたワークロードの挙動に対して、迅速な封じ込め、フォレンジック調査、インシデント対応が可能になります。
AI Factory EDR、DOCA Argus、DOCA Vault、NVIDIA BlueFieldは連携して、クローズドループの防御アーキテクチャを形成します。Argusがランタイムの可視性を提供し、DOCA Vaultがファイルストレージのアクセス制御を適用し、AI Factory EDRが脅威の相関分析とオーケストレーションを担い、NVIDIA BlueFieldがハードウェアレベルのブロックを実行します。このアーキテクチャは、企業のAIファクトリ環境において、AIモデル、ワークロード、設定ファイル、機微なデータを、不正アクセス、改ざん、不正持ち出し、設定ドリフトから保護します。
AIスタックの保護
AIイノベーションを守るには、インフラ層、ワークロード層、データ層だけを保護するのでは不十分です。だからこそTrendAI™は、Agentic Governance Gatewayを通じて、インフラ層からガバナンス層に至るまでのセキュリティを使命としています。これらが一体となることで、NVIDIA BlueFieldからエージェント層に至るまでを貫く、包括的なセキュリティのビジョンが実現します。
また、TrendAI™はAnthropicと連携し、同社の最も強力なモデルをこの課題の解決に活用しています。信頼されるCyber Verification Programパートナーとして、TrendAI™はOpus 4.7を活用した発見を、NVIDIA BlueField上のリアルタイム保護へと変換します。Anthropicが発見を加速し、TrendAI™が対処を確実に実行します。TrendAI™ Zero Day Initiative™(ZDI)は、ベンダーのパッチ提供に対して96日先行するアドバンテージを組織にもたらします。当社のエージェント型AI脆弱性ハンターであるTrendAI™ FENRIRは、マシンスケールで問題を発見します。そしてAI Factory EDRは、その保護をNVIDIA BlueFieldへ直接届けます。
今後の展開はまだまだ続きます。当社は現在、セキュリティゲートウェイ全体にわたる追加のDPUプリミティブ、GPUを活用した高度なセキュリティ機能、GPUおよびDPUのテレメトリ、エージェントレベルでの制御、AI Factory EDRの機能拡張、TrendAI Vision One™ Agentic SIEM、そしてNVIDIA DSX Airのサポートを検討しています。AIイノベーションのスピードは目まぐるしいものですが、お客様が築こうとしている未来が安全な基盤の上で発展していけるようにすることは、当社の責務です。
参考記事
Driving Security at the Speed of AI Agents with NVIDIA DOCA
By: TrendAI™ Research
翻訳:与那城 務(Platform Marketing, Trend Micro™ Research)