AIシステムのセキュリティとは?責任共有モデルとAWSの守り方を図解【AIF-C01】

AIシステムのセキュリティ AIF-C01対策 AIプラクティショナー(AIF)
無料オールインワン対策|公式シラバス(AIF-C01)準拠|責任共有モデルとIAM・暗号化・Macie・PrivateLinkなどAIの守り方を図解で。

AWS認定AIプラクティショナー(AIF-C01)のドメイン5「セキュリティ・コンプラ・ガバナンス」(配点14%)は、AWS固有の知識が問われる差がつきやすい分野です。この記事では責任共有モデルを出発点に、IAM・暗号化・Macie・PrivateLinkなどAIシステムの基本的な守り方を整理します。攻撃対策の Guardrails、運用面の ガバナンス もあわせてどうぞ。

出発点:責任共有モデル

AWSの責任共有モデル。利用者がクラウドの中(データ・権限・暗号化)、AWSがクラウド自体(物理・サーバー・ネットワーク)を守る図
図:AWSは「クラウド自体」を、利用者は「クラウドの中(データ・設定・権限)」を守ります。

クラウドのセキュリティは、AWSと利用者で役割を分担します。これが責任共有モデルです。

  • AWSの責任=「クラウド自体(of the cloud)」:物理データセンター、サーバー、ネットワーク基盤など
  • 利用者の責任=「クラウドの中(in the cloud)」自分のデータ、アクセス権限(IAM)、暗号化設定、アプリの構成など

BedrockやSageMakerのようなマネージドサービスでも、データの管理・暗号化・権限設定は利用者の責任である点が重要です。

AIシステムを守る基本対策

IAM・暗号化(KMS)・Macie・PrivateLink・GuardDuty・InspectorによるAIセキュリティ対策の図
図:AIの学習データやモデルを守る代表的なAWSサービス。
  • IAM(最小権限):人やサービスに必要最小限の権限だけを与える
  • 暗号化(AWS KMS):データを保存時・通信時ともに暗号化(鍵はKMSで管理)
  • Amazon Macie:学習データが入るAmazon S3の個人情報(PII)を自動検出
  • AWS PrivateLink / VPCエンドポイント:Bedrock等への通信を公開インターネットに出さずAWS内で完結
  • Amazon GuardDuty:ログを分析して脅威を継続検知
  • Amazon Inspector脆弱性を自動スキャン

さらに、データの来歴(どこから来たデータか)を記録し、SageMaker Model Cardsでモデルを文書化しておくと、監査やトラブル対応に役立ちます。

AI固有の脅威と生成AIセキュリティスコーピングマトリクス

  • プロンプトインジェクション:入力で指示を乗っ取る攻撃 → Bedrock Guardrailsで対策
  • データポイズニング:学習データを汚染する攻撃 → データの出所管理・品質チェックで防ぐ(Guardrailsの対象外)

AWSは生成AIの責任分担を整理する生成AIセキュリティスコーピングマトリクスを提供しています。スコープ1(消費者向けアプリ)→2(企業向けアプリ)→3(事前学習モデル)→4(ファインチューニング)→5(自前で学習)と進むほど、利用者が負うセキュリティ責任が大きくなるという考え方です。

📝 AIF-C01 試験のポイント

  • 責任共有モデル=AWS:クラウド自体/利用者:クラウドの中(データ・権限・暗号化)
  • 最小権限=IAM/暗号化=KMS/S3のPII検出=Macie/通信を非公開=PrivateLink
  • 脅威検知=GuardDuty/脆弱性=Inspector
  • スコーピングマトリクスは自前度が上がるほど利用者責任が増す

確認クイズ

Q1. ある企業がフルマネージドのAmazon Bedrockで社内向け生成AIを構築する。責任共有モデルにおいて『利用者(顧客)の責任』に必ず含まれるのはどれか?

A. 基盤モデルを動かすGPUハードウェアの保守
B. 入力データ・出力の取り扱いとIAMによるアクセス権限の設定
C. データセンターの入退室管理
D. Bedrockが動く物理サーバーのパッチ適用

Q2. 機械学習の学習データを保管するAmazon S3バケットに、氏名やクレジットカード番号などの個人情報(PII)が紛れ込んでいないかを自動で検出・分類したい。最適なサービスは?

A. Amazon Inspector
B. AWS Config
C. Amazon Macie
D. Amazon GuardDuty

Q3. VPC内のアプリからAmazon Bedrockを呼び出す際、通信を一切インターネットに出さずAWSネットワーク内に閉じたい。最適な方法は?

A. Bedrock用にパブリックIPを割り当てる
B. インターネットゲートウェイ経由でアクセスする
C. S3バケットを公開設定にする
D. AWS PrivateLink(VPCインターフェイスエンドポイント)を使う

よくある質問(FAQ)

Q. GuardDutyとInspectorとMacieの違いは?

A. GuardDuty=脅威の検知(不審な挙動)、Inspector=脆弱性の検査(弱点のスキャン)、Macie=S3の個人情報の検出。守る対象が違うとセットで覚えましょう。

Q. データポイズニングはGuardrailsで防げますか?

A. いいえ。Guardrailsは入出力の検査が役割で、学習データの汚染は別の脅威です。データの出所管理・品質チェック・アクセス制御で防ぎます。

Q. スコーピングマトリクスは何のため?

A. 生成AIの使い方(既製アプリ〜自前学習)ごとに、セキュリティ上どこまでが利用者の責任かを整理するためのフレームワークです。

まとめ

  • 責任共有モデル=AWS:クラウド自体/利用者:クラウドの中(データ・権限・暗号化)
  • IAM・KMS・Macie(PII)PrivateLink(非公開通信)・GuardDuty・Inspectorが基本の守り
  • AI固有脅威=プロンプトインジェクション/データポイズニング。スコーピングマトリクスで責任を整理

※本記事はAWS公式試験ガイド(AIF-C01)およびAWSセキュリティ関連ドキュメントに基づき、エンジニアKが作成しています。サービス仕様は更新されるため、最新は公式情報をご確認ください。

コメント

タイトルとURLをコピーしました