昨今、多くの企業がChatGPTやGeminiといった生成AIの活用に積極的だ。特に、社内独自のドキュメントをAIに参照させることで回答の精度を高める「RAG(検索拡張生成)」は、実務に即したアウトプットを得る手法として急速に普及している。しかし、その利便性の裏側には、従来のAI活用シーンとは異なる新たなセキュリティ上の脅威が潜んでいることに注意する必要がある。
本稿では、生成AIおよびRAGの導入・運用において企業が直面する具体的なセキュリティ脅威と、それらに対してインフラの基盤である「ストレージ」がどのような役割を果たすべきかについて、丸紅I-DIGIO デジタルソリューションセグメント デジタルプラットフォーム事業本部 アーキテクチャー技術部 技術第二課 本杉 聡に詳しく話を聞き、AIエンジンそのものの防御だけでなく、データの「最後の砦」としてのストレージ対策の重要性を解き明かす。
生成AI・RAG利用におけるセキュリティ脅威
――生成AIやRAGを利用する際、具体的にどのようなセキュリティ脅威を想定すべきでしょうか。
本杉 生成AIの利用形態は、SaaSをそのまま利用するものから、企業内データを用いるRAG、LLM(大規模言語モデル)自体を再学習させるファインチューニング、さらには自律的に動くAIエージェントまで多岐にわたります。中でも特にRAGについては、ここ最近、急速に企業での導入が進んでいます。非常に利用価値が高いことは事実ですが、同時に特有のリスクもあり、こうしたリスクについては細心の注意が必要です。
まず大きな脅威となるのが、アクセス権限(ACL)の不備による機密情報の漏洩というセキュリティリスクです。たとえば、ストレージ上では役員のみが閲覧できる重要ファイルが、RAGの検索インデックス化の過程で権限設定が抜け落ちてしまうといったケースがあります。その結果、一般社員がAIに質問することで、本来出てくるはずのない情報を引き出せてしまうリスクが生じます。
また、データを読み込ませる際の間接的プロンプトインジェクションも深刻です。これは、参照するWebサイトやドキュメントなどに、悪意のある命令を仕込んでおく攻撃です。AIがそのページを読み込んだ瞬間に命令が実行され、システムが乗っ取られる危険性があります。
他にも、ファインチューニングを行う場合に学習データにバックドアを仕込まれる学習データのポイズニングや、顧客データをAIが丸暗記してしまうことによる情報流出のリスクなども考慮しなければなりません。特にAIエージェントのように高い権限を持つシステムの場合、プロンプトインジェクションによって操られたAIが、過剰な権限付与により社内データベースを全削除するといった攻撃を招き、物理的・致命的な被害に至る可能性もあります。
AI利用時のセキュリティ脅威対策としてストレージの重要性
――それらの多様な脅威に対し、どのような指針で対策を立てればよいのでしょうか。
本杉 現在、実質的な世界標準として扱われている指標が2つあります。1つはOWASP Top 10 for LLM Applicationsで、現場向けの具体的な技術的脅威と防ぎ方がまとめられています。もう1つは経営・マネジメント層向けのNIST AI RMF(AIリスクマネジメントフレームワーク)です。
OWASPの指標では、先ほど挙げたプロンプトインジェクション(LLM01)や機密情報の漏洩(LLM06)に加え、AIの出力を無害化せずにシステムに実行させる、安全でない出力の取り扱い(LLM02)なども定義されています。対策の基本は、AIの出力を絶対視せず、後続システムへ渡す前に人間が介在する承認を挟むことや、すべての出力を「信頼できない(ゼロトラスト)」前提で検証することにあります。
――セキュリティ対策というとアプリケーション側の問題と思われがちですが、インフラ、特にストレージが果たす役割について教えてください。
本杉 おっしゃる通り、アプリケーション側での対策も重要ですが、同時にインフラ、とりわけデータの保管場所であるストレージでの対策も極めて重要になります。それは、「AI(アプリ層)は騙されたり暴走したりする可能性がある」という前提に立てば、企業の最重要資産であるデータを守り抜く『最後の砦』となるのがストレージだからです。
特にRAGにおいては、参照する元データそのものを守ることが、AIの信頼性を守ることに直結します。企業の心臓部であるデータとAIエンジンの間に、強固で厳格な「ストレージ基盤」という壁を挟み込むことが、多層防御の観点からも非常に重要になります。ストレージ側でデータの完全性(改ざん防止)や機密性(アクセス制御)などを担保することで、万が一アプリ側が突破されても、致命的なデータ被害を食い止めることが可能になるのです。
ストレージでの具体的な対策
――具体的に、ストレージの機能を使ってどのように脅威を防ぐのでしょうか。
本杉 具体的な方策としては、大きく2つの方向性があります。
1つ目は、アクセス権を元にした、データ機密性、完全性を担保する「アクセス権限の徹底と機密保持」という方向性です。ストレージ内を通常の業務領域とRAG専用領域に分けアクセス制限をかける事で、ポイズニングや情報漏洩、データ原本の破壊などを防ぐことが可能です。また、ストレージ内をスキャンしてマイナンバーや社外秘情報などの機微なデータを自動で分類し、それらをAIの検索対象から除外するData Classificationという手法も有効です。
2つ目は参照する社内データの保護という方向性です。悪意のある改ざんを防ぐために、一度書き込んだデータを一定期間変更・削除できなくするWORM機能を適用し、参照データの汚染を防ぎます。また、API連携などを介して大量のリクエストを送りつけ、システムをダウンさせるモデルDoS攻撃に対しては、ストレージの帯域や読み書き回数を制限するQoS機能を使って負荷をコントロールし、大量の処理が発生したとしても、システム全体の稼働を守るということもあります。
さらには、万が一AIが暴走させられたり、不正なスクリプトによってデータが削除されたりした場合に備え、定期的な「スナップショット」によるバックアップを確保しておくことも不可欠です。
NetAppでAI利用時のセキュリティ脅威を払拭
――そうした対策を実現するストレージとして、NetAppにはどのような強みがありますか。
本杉 OWASP Top 10の主要な脅威に対して、NetAppはインフラレベルで強力な対策を提供しています。主な対応策は以下の5点に集約されます。
機密情報の漏洩(LLM06)対策については、厳格なACLによる権限外の読み込みのブロックに加え、高機能なデータ分類機能であるBlueXP Classificationも有効です。ストレージ内をスキャンしてマイナンバーや「社外秘」のファイルを自動隔離し、RAGがこれらを読み込まないよう制御します。
データ汚染(LLM03)対策については、SnapLock(WORM機能)が有効です。学習データやRAGの参照用マニュアルを保存する領域をイミュータブル(上書き・削除不可)化することで、内部犯行や外部侵入によるポイズニングを極小化します。
プロンプトインジェクション(LLM01)対策としては、SVM(Storage Virtual Machine)によるゾーン分離が威力を発揮します。誰でも書き込める共有フォルダと、AI専用の検索フォルダを論理分割することで、外部から持ち込まれた出所不明のファイルなどをAIが無防備に読み込んでしまう可能性を劇的に下げます。
また、モデルDoS(LLM04)攻撃には、QoSで対抗します。AIサーバーやベクトルDBが消費する帯域やIOPS(1秒あたりの処理回数)に上限を設定することで、他のNetApp上の業務を巻き添えにすることなく、リソースを保護します。
さらに過剰な権限付与(LLM08)対策についてです。乗っ取られたAIがデータを一斉削除しようとした際、ARP(自律型ランサムウェア対策機能)が異常な振る舞いを即座に検知し、アクセスを自動遮断します。同時に、超高頻度で取得されるSnapshotを活用すれば、万が一被害に遭っても数分前、あるいは数秒前の無傷の状態へ一瞬でリストアすることが可能です。
このように、NetAppのストレージ機器は多様な機能を備えており、多層的なセキュリティを提供することができます。
NetAppを知り尽くした丸紅I-DIGIOをパートナーにするメリット
――最後に、NetAppを導入してAI活用を進める際、丸紅I-DIGIOをパートナーに選ぶメリットを教えてください。
本杉 生成AIやRAGの基盤構築は、今まさに多くの企業が取り組み始めた新しい領域です。そこで重要になるのは、個々の要素技術に対する深い経験値です。私たち丸紅I-DIGIOは、NetApp製品の取り扱いにおいて25年以上の実績があり、国内でも最古参かつ最上位のパートナーとして認められています。AIに特化した基盤構築は最新のテーマですが、それを支えるNAS利用、データ保護、セキュリティ対策といったNetAppの基幹的な機能については、長年にわたる膨大な実績と知見を持っています。
ストレージの設定一つでAI利用の安全性が大きく変わるからこそ、NetAppを知り尽くした私たち丸紅I-DIGIOが、お客様の環境に最適な設計・導入を支援することが重要だと考えています。
そして、単なる導入にとどまらず、最上位パートナーとしてのメーカー連携力と高品質なサポートを通じて、お客様が安心して生成AIの力をビジネスに活用できるよう、強力に伴走できることが、私たち丸紅I-DIGIOの強みであると自負しています。
――生成AIやRAGの活用を安全に進めるためには、アプリケーションの対策に加え、データの格納先であるストレージでの防御が不可欠である。OWASPなどの標準指標に基づき、NetAppが提供するWORM機能や、高度なACL連携、異常検知機能を組み合わせることで、データの完全性と機密性を極限まで高めることが可能になる。
AIの利便性を最大化しつつ、不測の事態から資産を守るためにも、NetAppを活用することは、とても有効なセキュリティ対策となり得るだろう。
NetAppお役立ち資料
本記事に関連するNetApp関連の資料をダウンロードいただけます
