【レポート】「AWSによる生成AIのセキュリティアプローチ」 #AWS Summit Japan 2025

概要

クラウドインテグレーション部クラウドソリューション3課の沖本です。
AWS Summit Japan 2025 1日目（6/25）にオフラインで参加してきました。
本記事は私が参加したセッションについてのレポートです。

セッション概要

セッション名：「AWSによる生成AIのセキュリティアプローチ」
Level 300： 中級者向け
テーマ：セキュリティ・アイデンティティ・コンプライアンス/ 機械学習・生成AI

スピーカー

宮口　直樹　氏

アマゾン ウェブ サービス ジャパン合同会社
パブリックセクター技術統括本部　中央官庁技術部　ソリューションアーキテクト

セッションレポート

本セッションでは、AWSのAIサービスを3つのレイヤーに分け、各レイヤーにおけるセキュリティ上の注意点や構成上のベストプラクティスが説明された。

1. 責任あるAIを実現するセキュリティフレームワーク

8つの責任ある生成AIのコアディメンションを言及しつつ、その中の以下2つの観点を説明。

• 安全性:
  • モデルの出力の安全性
  • 企業ブランドを適切に反映し、許容可能なレベルを事前に定義する必要がある。
• セキュリティ:
  • 典型的には機密情報の漏洩
  • 特定の技術だけでなく、ワークフロー全体で担保することを推奨。

※8つのコアディメンジョン（公平さ、説明可能性、制御性、安全性、プライバシーとセキュリティ、ガバナンス、透明性、正確性と堅牢性）

2. 生成AIスタックの各レイヤーにおけるセキュリティ

生成AIスタックは3つの層に分類され、それぞれでセキュリティを保護する技術が提供されている。

2.1. 基盤インフラストラクチャ層： AWS Nitro System と AWS Nitro Enclaves

• Confidential Computingによるデータ分離:
  • 第1の次元（対AWS）: AWS Nitro Systemにより、AWSのオペレーターがEC2インスタンスへアクセスする仕組みを排除。
  • 第2の次元（対お客様自身）: AWS Nitro Enclavesにより、インスタンス内のアクセス可能な要素をさらに分離し、お客様自身からもデータを保護。

2.2. ツール層： Amazon Bedrock

• セキュアなアーキテクチャ:
  • VPC内のリソースからVPCエンドポイントを使ったAWS PrivateLinkでAmazon Bedrockと通信可能
    • オンプレミスのリソースからもAWS Direct Connect→AWS PrivateLinkでAmazon Bedrockを呼び出し可能
  • データの保存時・転送時の暗号化
  • Amazon Bedrockの裏側では以下のようなアカウント構成になっている。
    • 「Amazon Bedrockサービスアカウント」：リクエストをモデルへルーティングし「オーケストレーション」を行うアカウント。
    • 「モデルデプロイアカウント」：LLMモデルがデプロイされているアカウント。
    • 「モデル準備アカウント」：モデルの安全性をテストするアカウント。安全性が確認された場合にモデルデプロイアカウントへ適用される。
      • 上記のようにアカウントが分離されていることでセキュリティを担保している。
  • 上記に加えAmazon GuardDutyなどの既存のAWSセキュリティサービスも適用することで、より強固なセキュリティ対策が可能。
• データ利用における多層的セキュリティ:
  • 安全なデータ利用方法: RAG、AIエージェント、モデルカスタマイズなど。
  • セキュリティ確保:
    • データアクセス制御
      • IAM Identity CenterやIAM Access Analyzerによる最小権限の適用。
      • AWS Verified Access、Amazon Verified Permissionによるきめ細やかなアクセス制御。
        • エージェント自体に認可のシステムを実装することで、ナレッジベースやツールへのアクセス制限を行うことがベストプラクティス。
  • 安全性: Guardrails for Amazon Bedrockを活用。
    • 入出力の制限による安全性の確保に加え、プロンプトインジェクション対策によるセキュリティ強化が可能であり、責任あるAIポリシーに準拠した多層的な防御として機能する。
• セキュリティにAIを利用する際の注意点:
  • AIの動作は確率論的であるため、セキュリティ判断をAIのみに委ねるのではなく、従来の決定論的なセキュリティ統制を維持することが重要。
  • また、セキュリティは多層防御を意識することでより堅牢なシステムが構築できる。 意識する観点は以前からのベストプラクティスであり、以下の通り。
    • ポリシー、手順および認識
    • ネットワークとエッジの保護
    • アイデンティティとアクセス管理
    • 脅威の検出とインシデント対応
    • インフラストラクチャ保護
    • アプリケーション保護
    • データ保護

2.3. アプリケーション層： Amazon Q Business

• Amazon Q Businessは、エンタープライズ向けに高度なセキュリティとプライバシーを組み込んで設計されたアプリケーションサービス。
  • 安全性
    • 入出力へのガードレールや、レスポンスの制限などで安全性を担保。
  • セキュリティ
    • AWS PrivateLinkによるセキュアなアクセスやIAM Identity Centerによるアクセス制御などで担保。

まとめ

このセッションではAWSのAIサービスを3つのレイヤー（基盤インフラ層、ツール層、アプリケーション層）に分け、それぞれのセキュリティアプローチが説明されました。
その中でもAmazon Bedrockを中心としたツール層について詳しく多く時間が割かれていました。

とくに印象的だったのは、多層的なセキュリティ対策の重要性です。

生成AIが非決定論的なレイヤーとして機能することから、従来の決定論的なセキュリティ対策（ファイアウォール、アクセス制御）を複数層で設定することでセキュリティを担保する重要性を再認識できました。

人間もある種非決定論的なレイヤーですので、生成AIに対しても同様のセキュリティアプローチが有効と考えることもできると思います。

今後はGuardrails for Amazon BedrockといったAIによるセキュリティ対策と従来のものを並存させることで、より良いシステムの構築を目指したいと思います。

以上、沖本からでした。