本文の内容は、2025年6月4日に Dan Belmonte が投稿したブログ(https://sysdig.com/blog/practical-ai-security-in-multi-cloud-environments/)を元に日本語に翻訳・再構成した内容となっております。
人工知能ソリューションが普及するにつれ、AI を競争上の優位性として活用したい組織にとって、AI セキュリティは重要な考慮事項となります。
AIが様々な実装モデル(外部管理型AIプラットフォーム(AWS Bedrock、GCP Vertex、Azure OpenAI)、クラウドインフラストラクチャー内でカスタム構築されたAIサービス、オンプレミスAIシステムなど)を通じて普及するにつれ、セキュリティチームは大きな課題に直面しています。大規模な組織では、特定の部門がAIプラットフォームを活用し、重要なシステムには専用のAI機能が組み込まれているなど、混合エコシステムで運用されているケースが多く見られます。
Generative AI (GenAI) またはエージェント AI 製品の導入にどの AI ソリューションを使用しているかに関係なく、主な課題は、AI プラットフォームに対する可視性とセキュリティアプローチの欠如です。
さらに、国や業種によっては、特定の規制要件を満たす必要がある場合があります。AI規制は急速に進化しているため、新しい要件に常に対応するために、コンプライアンス監視プロセスを確立することが不可欠です。
この記事では、マルチクラウド環境における AI セキュリティのベストプラクティスとヒントをいくつか紹介します。
AIインフラのための強固なセキュリティ基盤から始める
まずはプロアクティブなセキュリティ基盤の構築が鍵となります。まずは、目指すべきセキュリティのベースラインを設定しましょう。以下の点に留意してください。
- インフラストラクチャー内に展開されているすべての AI コンポーネントを可視化します。
- 環境内の関連するリスクを管理します。
- セキュリティポスチャーを強化します。ポリシー、制御、監視を組み合わせることで、進化する脅威に対する AI インフラストラクチャーの耐性を維持できます。
- ゼロデイ脆弱性をプロアクティブに検知するための継続的なセキュリティ監視を実装します。
これを実現したら、リアクティブコンポーネントをクラウド検知・対応(CDR)と統合し、堅牢な総合的なセキュリティ戦略を構築できます。それぞれのベースラインについて、もう少し詳しく見ていきましょう。
インフラ全体にわたるAIの可視性
AIを効果的に管理し、セキュリティを確保するには、確実な可視性が不可欠です。それがなければ、「シャドーAI」と呼ばれる状況に陥り、管理されていない潜在的に危険なAIがあらゆる場所に出現する可能性があります。
AI セキュリティを強固に保つには、問題を迅速に発見して修正し、包括的なセキュリティ カバレッジを確保する必要があります。
既存および新規の資産 (特に大規模言語モデル) を継続的に監視することは、新たな脅威に対する保護に不可欠ですが、効果を上げるには、堅牢な脅威管理と組み合わせる必要があります。
インフラストラクチャーのリスクを事前に把握
脆弱性が、設定ミス、露出、過剰な権限、疑わしいランタイムアクティビティといった他のリスク要因と重なると、ビジネスに大きな混乱をもたらす可能性があります。本質的に、リスクとは望ましくないインシデントとその影響の発生確率を表します。
AI インフラストラクチャーに関する分析情報が利用できるようになるため、特定されたリスクを重大度に基づいて優先順位付けして管理できます。
どこから始めればよいかわからない場合でも、Sysdig Secure はすべての検出結果を「リスク」というセクションにまとめて表示してくれるため、影響を受けるリソースや潜在的な脅威の影響を特定し、最も重要な問題を優先的に対処することができます。
リスクセクションには、ワークロードにエクスプロイトがあるかどうか、実行時に使用されているかどうか、AI パッケージが含まれているかどうか、インターネットに公開されているかどうかなどの詳細を含む、より広範なコンテキストで影響を受けるリソースが表示されます。
ただし、この分析が有意義なものになるには、潜在的な脅威を評価するためのコンテキストを提供するセキュリティ ベースラインを確立する必要があります。
AIのための回復力のあるセキュリティ体制の確立: AI-SPM
世界中の規制当局は、セキュリティ、プライバシー、倫理的な懸念に対処するために AI ガバナンス フレームワークを導入しています。
マルチクラウド環境で AI を保護するには、必要な内部セキュリティ対策、ポリシー、規制標準を積極的に実装する必要があります。
AI セキュリティに対する構造化されたアプローチには、ここで説明する最新のMITRE ATLASおよびOWASP AIガイドラインに基づくリスク管理フレームワークの採用が含まれます。
さらに、特定のAIコンポーネントに紐づけた独自のコントロールを作成すべきです。これらはカスタムポリシーに組み込むことができ、たとえば「AWSの機密データ」に関連するベストプラクティスのような管理を維持することが可能になります。
強固なセキュリティ体制を確立することで、AI環境は必要な規制要件を満たしつつ、顧客との信頼関係を構築することができます。簡単に言えば、セキュリティ体制とは防御体制であり、組織が脅威にさらされているか、あるいは脅威に対処する準備ができているかを定義するものです。
クラウドAIセキュリティのための振る舞いベースの脅威検知
効果的なAIセキュリティには、静的なポスチャー評価以上のものが求められます。実行時にコンポーネントがどのように動作するかをリアルタイムで把握することが求められます。従来のシステムとは異なり、AI駆動型サービスは予測不可能な動作をするため、正常な状態を定義することが困難です。そのため、検出されない設定ミス、異常、またはセキュリティ侵害のリスクが高まります。
したがって、ワークロードが予想されるパターンから逸脱したり、望ましくない状態になったりしたことを識別するには、継続的な監視と振る舞いベースの検知が重要です。
クラウドの検知と対応、およびランタイム セキュリティポリシー機能を使用することで、AI サービスが望ましくない構成になったとき、ワークロードまたはインスタンスが侵害されたとき、またはその他の潜在的なセキュリティ問題が発生したときなどを検知できます。
新たなAIリスクに対する継続的な脅威検出
Falco とクラウド監査ログを搭載した Sysdig のエージェントにより、資産とコンポーネント全体の動作監視が可能になり、疑わしいアクティビティが特定されると指定されたエンドポイントにアラートが送信されます。
Sysdig Secureを使用すると、管理された Falco ルールをランタイムポリシー内で直接取得し、リアルタイムの脅威検知を実現できます。
これらの厳選されたルールは、最新の脅威に対応するため、Sysdigの脅威リサーチチームによって継続的に維持・更新されています。Sysdigチームは迅速な対応を心がけています。例えば、最近のマルウェア亜種はわずか24時間以内にSysdig製品で検知され、対処されました。
一般的に、Falco ルールは、潜在的に脅威に関連するイベントをトリガーする条件で定義されます。
ユースケースに応じて、各イベントの重大度は異なり、関連するリスクに直接影響を及ぼします。そのため、どのイベントを有効にするか、また必要に応じて調整するかを検討することをお勧めします。
たとえば、AWS Bedrock エージェントの呼び出しを検出するためのマネージド Falco ルールの例を次に示します。
- rule: Bedrock Invoke Agent
id: 111111
description: Detect invoking an Amazon Bedrock agent to run inference using the prompt and inference parameters provided.
condition: ct.src="bedrock.amazonaws.com" and ct.name="InvokeAgent" and not ct.error exists
output: An Amazon Bedrock agent %json.value[/requestParameters/agentId] was invoked to run inference …
source: awscloudtrail
tags
exceptions (1)
監査ログに基づいてFalcoルールを使用することは重要なステップですが、ワークロードに焦点を拡張して、AI インフラストラクチャのコンピューティング レベルでの継続的な調査が可能になります。
このアプローチは、脅威がクラウド レベルでの検知を回避した場合でも (監査ログの欠落など)、コンピューティング レベルで特定された場合 (疑わしいツールの実行、LLM ジャッキングなど)、またはその逆の場合でも、完全な保護を実現します。
最後に
環境内のすべてのAIコンポーネントに対する可視性を確保することは極めて重要です。これにより、何がデプロイされているのか、それに伴うリスクは何か、そしてそれらを効果的に最小化するために必要なアクションが明確になります。
可視性を得た後は、AIセキュリティに対する体系的なアプローチとして、AIリスク管理フレームワーク(AI-SPM)を採用すべきです。こうしたフレームワークの活用は、EU AI法やNIST AI RiskといったAI関連のコンプライアンス基準への準拠にもつながります(該当する場合)。
次に、Falcoを主要なツールとして用い、実行時の振る舞いベースの脅威検知に対応しました。これにより、クラウドインフラ(監査ログ)を超えて、アプリケーションのランタイムレイヤー(コンテナおよび仮想マシン)まで保護範囲を拡張しています。
この構成により、従来の予防的手法では回避されがちなゼロデイ脆弱性による悪意ある挙動の検知が可能となり、AIインフラおよびデータを標的とする高度な攻撃に対する重要な防御層を提供します。
Sysdig で AI セキュリティをさらに詳しく調べる準備はできていますか?
このホワイトペーパーは、明確なビジネス影響分析に基づいて、AI の脅威、規制上の影響、必要な制御を経営幹部に効果的に伝えるのに役立ちます。
AI セキュリティをより広い視点で見るには、データの整合性からサプライ チェーンの保護まですべてを網羅したAI セキュリティのベスト プラクティス トップ 8 をご覧ください。
👉 Sysdig がどのように機能するかを確認するには、デモをリクエストしてください 。