【セッションレポート】 AWSによる生成AIのセキュリティアプローチ (AWS-21) #AWSSummit

AWS Summit Japan 2025
#AWS
#セッションレポート
#生成AI
#セキュリティ
asano haruki
2025.06.26
 はじめにクラウド事業本部コンサルティング部の浅野です。

AWS Summit 2025 Day1で行われたセッションを聴講してきましたのでレポートとしてまとめます。
 概要日時: 2025/06/25(水)
レベル: 300 (中級者向け)
カテゴリ: AI
登壇者: 宮口 直樹 氏 (アマゾンウェブサービスジャパン合同会社 パブリックセクター技術統括部 中央官庁技術部 ソリューションアーキテクト)
※以下セッション紹介ページから引用
AWS はお客様のワークロードのセキュリティと機密性の保護を最優先事項としており、AI インフラストラクチャとサービスには包括的なセキュリティ機能が組み込まれています。その中でも生成 AI スタックは3つの層、（1）AWS Nitro System や Nitro Enclaves による堅牢な基盤インフラストラクチャ、（2）Amazon Bedrock を中心としたセキュアなツール層、（3）Amazon Q Business に代表されるエンタープライズアプリケーション層で構成されています。本セッションでは、各レイヤーにおいて企業の機密データを保護するためのセキュリティテクノロジーについて解説します。
 セッションの対象者と目標想定聴講者
生成AIアプリケーション開発に関わるエンジニア
生成AIプロジェクト責任者
ゴール
AWSで提供する3つの生成AIスタック（基盤・ツール・アプリ）のセキュリティ技術を横断的に理解する
生成AIアプリケーション構築におけるセキュリティ対策のベストプラクティスを学ぶ
 アジェンダ責任あるAIを実現するためのセキュリティフレームワーク
各生成AIスタックにおけるセキュリティ
基盤レイヤー: AWSによる恒常的なセキュリティとインフラストラクチャー対策
ツールレイヤー: Amazon Bedrockを中心とした生成AIモデル利用時の対策
アプリレイヤー: Amazon Q Businessにおけるデータ保護とガバナンス

まとめ
 内容 責任あるAIを実現するためのセキュリティフレームワーク生成AIは将来性のある新しいイノベーションをもたらすと同時に、新たなリスクと課題も提起します。
AWSでは責任あるAI実現のため、8つのコアディメンションを定義しています。
公平さ: 様々な組織や関係者への影響を考慮する
説明可能性: システムの出力を理解して評価する
制御性: AIシステムの動作を監視および制御するメカニズムを備える
安全性: 有害なシステム出力と誤用を防ぐ
プライバシーとセキュリティ: AIモデルを適切に保護し、利用、保護する
ガバナンス: プロバイダーを含むAIサプライチェーンにベストプラクティスを適用する
透明性: ステークホルダーがAIシステムとの関わりについて、十分な情報を基づいた選択を行う
正確性と堅牢性: 予期せぬ入力や敵対的な入力があっても、正しいシステム出力を実現する
さらに今回は上記コアディメンションの以下2つに関してピックアップし、「責任あるAI」として深掘りを行います。
 安全性有害な出力の防止、正確で関連性の高い応答の提供
公平性、バイアス、企業のブランド表現の目標に合致させる
導入前に許容できるリスクを検討する必要がある
 セキュリティ権限のないユーザーへの機密情報の漏洩を防ぐ
従来のセキュリティ管理により、ユーザーに基づいて全てのデータをフィルタリングする
決定論的で、監査可能で説明可能な制御を使用する
 各生成AIスタックにおけるセキュリティAWSでは生成AIアプリケーション構築を支援する3層の生成AIスタックを提供しています。
 基盤レイヤー: AWSによる恒常的なセキュリティとインフラストラクチャー対策AIインフラストラクチャをセキュアにする機密性の高いAIデータに対してのゼロアクセスを掲げるために重要な項目として以下３つが存在します。
AIデータをインフラ管理者から完全に分離
お客様がAIデータを自身から分離する機能
保護されたインフラストラクチャ通信
Confidential Computingが実現すること
AWS Nitro System: AWSオペレーターからの分離
AWS Nitro Enclaves: お客様環境内の分離
Nitro System導入前は、お客様インスタンスが複数のDomUとして動作し、下部にXen hypervisorとホストシステムが存在していました。
Nitro System導入後は、お客様インスタンスがNitro hypervisorの上で直接動作し、ホストシステムにはNitro Cardsが配置される構造となりました。
常時有効なConfidential Computing
Nitro Systemの設計にはオペレーターがアクセスする仕組みが存在しない
SSHや一般的なアクセス手段は存在しない
全てのNitro操作は安全で認証、承認、記録、監査された管理APIを通して実行
お客様データへのアクセスを提供するAPIは存在しない
AI/ML向けのEC2高速コンピューティングインスタンスAWSでは様々なAI/MLアクセラレーターやASIC、GPUに対応した高性能インスタンスを提供しており、以下のサービスには全てNitro Systemが使用されており Confidential Computingが有効です。
さらに、AWS Nitro Enclavesを使用するとAmazon EC2インスタンス内で、ユーザー、3rd Partyライブラリ、アプリ、OSから暗号化された基盤やプレーンテキストにセキュアなローカルチャネルでアクセスできる環境を実現します。
Nitro Enclavesの特徴
利用中のデータの更なる分離を実現
CPUとメモリの分離
Nitro Enclavesは利用中のデータの更なる分離を実現
 ツールレイヤー: Amazon Bedrockを中心とした生成AIモデル利用時の対策Amazon Bedrockは基盤モデルを活用した生成AIアプリケーションを簡単に構築、拡張できる方法を提供するサービスです。
主な特徴:
APIを介して基盤モデルを利用することで生成AIアプリ開発を加速
インフラ管理は不要
お客様の業務用途に適した基盤モデルを選択（Amazon、AI21 Labs、Anthropic、Cohere、Meta、Mistral AI、Stability AI等）
データセキュリティ、プライバシー、安全性に配慮した構築
Amazon Bedrockのデータフロー
主要なセキュリティ機能:
基盤となる基盤モデルのトレーニングには、お客様データは一切使用されない
全てのデータは保存時と転送時に暗号化される
VPCとAmazon Bedrock間のプライベート公開値をVPCエンドポイントを使用したAWS PrivateLinkで実現
モデルカスタマイズに使用されるデータはVPC内に残る
IAMとの統合により詳細なアクセス制御を、Amazon GuardDutyとの統合で脅威検出を実現
Bedrockの裏側も含めたデータフロー例
お客様アカウント - お客様VPC内でクライアントがNAT gatewayとAWS PrivateLink経由でアクセス
Amazon Bedrockサービスアカウント - オーケストレーション、エンドポイント、基盤モデルを管理
モデルプロバイダーアカウント（AWS分別/運用） - ベースモデルとベースモデル用パッケット群を保管
これらデータフローの実現によりAWS側が顧客データや推論データに直接アクセスできないようになっています。
包括的なモニタリングとログ機能も組み合わせることでガナバンスと監査のサポートも実現可能です。
Amazon CloudWatchを使用して利用状況メトリクスを追跡し、カスタムダッシュボードで詳細を確認
AWS CloudTrailを使用してAPIアクティビティをモニタリングし、他のシステムとガバナンス、セキュリティ、コンプライアンス監査との統合を実現
多数のコンプライアンス審査基準に対応: C5、CISPE、DoD CC SRG IL2、ENS High、FINMA、FedRAMP (Moderate/High)、FIPS 140-2 Level 1、HiTech、HIPAA BAA、ISMAP L1/2/3/0 and CSA STAR、MTCS、OSPAR、PCI、Pinakes、PiTuKri、SOC 1、2、and 3
ただ今まで述べたセキュリティ対策や機能はあくまで氷山の一角にすぎません。生成AIのセキュリティアプローチとは目新しい技術や機能ではなく従来のセキュリティ対策の積み重ねによって成り立つという考え方が重要です。
 生成AIをお客様のデータで活用する生成AIの3つの主要な活用パターン:
検索拡張生成（RAG）: プロンプト拡張を通じて専門知識を組み込む
既存の企業内文書コーパスを活用
基盤モデルの変更は不要
AIエージェント: ツールを使用したマルチステップワークフローを実現
推論的にAPIを介してアクションを実行し、リアルタイムにデータを照会
基盤モデルの変更は不要
モデルカスタマイズ: お客様のドメイン向けに特化した専門知識
企業データによるファインチューニングと継続事前学習
基盤モデルを独自領域に特化
データ、モデル、出力へのアクセスを制限生成AIワークロードのデータアクセス制御のためのID活用とゼロトラスト
主要なサービス
AWS IAM Identity CenterとIAM Access Analyzerを使用してユーザーIDを管理し、きめ細かなアプリケーションに最小権限のポリシーを適用
AWS Verified AccessとAmazon Verified Permissionsを使用してきめ細やかなアクセス制御を実現するゼロトラスト機能
AWS Verified Accessを使用してコスト、複雑さ、パフォーマンスの課題を解消
セキュリティとアイデンティティの統合生成AI導入における従来のセキュリティメカニズムとの統合
ワークフロー:
ユーザーがユーザー認証と認可を通じて生成AIアプリにアクセス
エージェントが基盤モデルに要求を送信
従来のセキュリティメカニズム（Knowledge BaseとTools）との統合
最終レスポンスの生成
Amazon Bedrock Guardrailsはアプリケーション要件に合わせてカスタムしてセーフガードを実装し、責任あるAIポリシーに準拠する機能です。
主要機能
エージェント、ナレッジベース、Amazon Bedrockの基盤モデルのプロンプトとレスポンスを評価
有害コンテンツ、ジェイルブレイク、プロンプトインジェクション攻撃をフィルタリングする閾値を設定
自然言語の記述で禁止トピックを定義し拒否
生成AIアプリケーションから個人を特定できる情報（PII）や機密情報を除去
コンテキストに基づいてモデルレスポンスの根拠と関連性を検出しハルシネーションをフィルタリング
プロセスフロー
ユーザー入力がFM推論に送られる前にGuardrailで処理
責任あるAIポリシーに基づく6つのフィルター機能:
コンテンツフィルタ
拒否トピック
関連性フィルタ
機密情報フィルタ
単語フィルタ
ハルシネーションフィルタ

最終レスポンスの生成
 アプリレイヤー: Amazon Q BusinessアプリレイヤーではAmazon Q Businessにおけるデータ保護とガバナンス機能により、企業内での安全な生成AI活用を実現します。
エンタープライズレベルのセキュリティ機能
ロールベースアクセス制御: 組織階層に基づいた細かい権限設定により、ユーザーが必要な情報のみにアクセス可能
データソース統合とフィルタリング: 既存のIAM権限やActive Directoryと連携し、ユーザーの権限に応じて検索可能なデータを自動制限
監査ログとコンプライアンス: 全ての質問と回答を記録し、コンプライアンス要件への対応を支援
機密情報検出と除去: 応答生成時に個人情報や機密データを自動検出し、適切にマスクまたは除去
セッション管理: ユーザーセッションの有効期限管理や異常なアクセスパターンの検出
 まとめ 多層防御セキュリティ生成AIのための階層化されたセキュリティ制御としてAWSでは以下の7つの層でセキュリティを実現しています。
ポリシー、手順、および認識
ネットワークとエッジの保護
アイデンティティとアクセス管理
脅威の検出とインシデント対応
インフラストラクチャ保護
アプリケーション保護
データ保護
これらの層が同心円状に配置され、中央の生成AIシステムを多層的に保護します。
 AWS生成AIとセキュリティの統合基本的なAWSサービスと生成AI関連サービスのセキュリティ機能を組み合わせることで、包括的なセキュリティ対策を実現できます。
本セッションでは、生成AIの安全で責任ある活用を実現するため、AWSが提供する包括的なセキュリティフレームワークと具体的な技術ソリューションを学ぶことができました。特に、3層のスタック（基盤・ツール・アプリ）それぞれにおける具体的なセキュリティ対策と、それらを組み合わせた多層防御の重要性を理解できました。