C04 インフラストラクチャ、構成、デプロイメントセキュリティ (Infrastructure, Configuration & Deployment Security)
管理目標
AI インフラストラクチャは、安全な構成、ランタイム分離、信頼できるデプロイメントパイプライン、包括的な監視を通じて、権限昇格、サプライチェーン改竄、ラテラルムーブメントに対して堅牢化される必要があります。セキュリティ、完全性、監査可能性を確保する、管理されたプロセスを通じて、検証されて認可されたインフラストラクチャコンポーネントのみが本番環境に到達します。
主要なセキュリティ目標: 暗号署名され、脆弱性スキャンされたインフラストラクチャコンポーネントのみが、セキュリティポリシーを適用し、不変の監査証跡を維持する自動バリデーションパイプラインを通じて、本番環境に到達します。
C4.1 ランタイム環境の分離 (Runtime Environment Isolation)
OS レベルの分離プリミティブにより、コンテナエスケープと権限昇格を防止します。
4.1.1
検証: すべての AI ワークロードは、たとえばコンテナの場合は不要な Linux 機能を削除するなどにより、オペレーティングシステムに必要な最小限のパーミッションで実行している。
1
D/V
4.1.2
検証: ワークロードは、サンドボックス、seccomp プロファイル、AppArmor、SELinux などの悪用を制限するテクノロジによって保護されており、構成は適切である。
1
D/V
4.1.3
検証: ワークロードは読み取り専用のルートファイルシステムで実行し、書き込み可能なマウントは明示的に定義され、制限オプション (noexec, nosuid, nodev など) で堅牢化されている。
2
D/V
4.1.4
検証: ランタイム監視は権限昇格やコンテナ脱出の動作を検出し、問題のあるプロセスを自動的に終了している。
2
D/V
4.1.5
検証: 高リスクの AI ワークロードは、リモートアテステーションに成功した後にのみ、ハードウェア分離された環境 (TEE、信頼できるハイパーバイザー、ベアメタルノードなど) で実行している。
3
D/V
C4.2 セキュアなビルドとデプロイメントパイプライン(Secure Build & Deployment Pipelines)
再現可能なビルドと署名されたアーティファクトを通じて、暗号論的完全性とサプライチェーンセキュリティを確保します。
4.2.1
検証: ビルドは再現可能であり、独立した検証できるビルドアーティファクトに応じて署名された来歴メタデータを生成している。
1
D/V
4.2.2
検証: ビルドはソフトウェア部品表 (SBOM) を生成し、デプロイメントのために許可される前に署名されている。
2
D/V
4.2.3
検証: ビルドアーティファクト (コンテナイメージなど) の署名と来歴メタデータはデプロイメント時に検証されており、検証されていないアーティファクトは拒否されている。
2
D/V
C4.3 ネットワークセキュリティとアクセス制御 (Network Security & Access Control)
デフォルト拒否ポリシーと暗号化通信でゼロトラストネットワークを実装します。
4.3.1
検証: ネットワークポリシーはデフォルト拒否の受入 (ingress) と送出 (egress) を強制し、必要なサービスのみが明示的に許可されている。
1
D/V
4.3.2
検証: 管理アクセスプロトコル (SSH, RDP など) とクラウドメタデータサービスへのアクセスは制限されており、強力な認証を必要としている。
1
D/V
4.3.3
検証: 送出 (egress) トラフィックは承認された宛先に制限され、すべてのリクエストはログ記録されている。
2
D/V
4.3.4
検証: サービス間通信は、証明書バリデーションと定期的な自動ローテーションを備えた、相互 TLS を使用している。
2
D/V
4.3.5
検証: AI ワークロードと環境 (開発、テスト、本番) は、直接インターネットアクセスできず、共有 IAM ロール、共有セキュリティグループ、環境間接続がない、分離されたネットワークセグメント (VPC/VNet) で実行している。
2
D/V
C4.4 シークレットと暗号鍵管理 (Secrets & Cryptographic Key Management)
安全なストレージ、自動ローテーション、強力なアクセス制御で、シークレットと暗号鍵を保護します。
4.4.1
検証: シークレットは、保存時に暗号化され、アプリケーションワークロードから分離された、専用のシークレット管理システムに保存されている。
1
D/V
4.4.2
検証: 暗号鍵はハードウェア支援モジュール (HSM、クラウド KMS など) で生成され、保護されている。
1
D/V
4.4.3
検証: シークレットのローテーションは自動化されている。
2
D/V
4.4.4
検証: 本番環境のシークレットへのアクセスは強力な認証を必要としている。
4.4.5
検証: シークレットはシークレット管理ソリューションを通じて実行時にアプリケーションにデプロイされている。シークレットは、ソースコード、構成ファイル、ビルドアーティファクト、コンテナイメージ、環境変数に埋め込んではいけない。
2
D/V
C4.5 AI ワークロードのサンドボックス化とバリデーション (AI Workload Sandboxing & Validation)
信頼できない AI モデルを安全なサンドボックスで分離し、高信頼実行環境 (TEE) と機密コンピューティングテクノロジを使用して機密性の高い AI ワークロードを保護します。
4.5.1
検証: 外部の AI モデルや信頼できない AI モデルは分離されたサンドボックス内で実行している。
1
D/V
4.5.2
検証: サンドボックス化されたワークロードはデフォルトで送信ネットワーク接続を持たず、必要なアクセスは明示的に定義されている。
1
D/V
4.5.3
検証: ワークロードアテステーションはモデルやワークロードをロードする前に実行されており、高信頼実行環境の暗号証明を確保している。
2
D/V
4.5.4
検証: 機密ワークロードは、ハードウェアによる分離、メモリ暗号化、完全性保護を提供する高信頼実行環境 (TEE) 内で実行している。
3
D/V
4.5.5
検証: コンフィデンシャル推論サービスは、シールされたモデルの重みと保護された実行での暗号化された計算を通じて、モデルの抽出を防いでいる。
3
D/V
4.5.6
検証: 高信頼実行環境のオーケストレーションは、ライフサイクル管理、リモートアテステーション、暗号化された通信チャネルを含んでいる。
3
D/V
4.5.7
検証: 秘匿マルチパーティ計算 (SMPC) は、個々のデータセットやモデルパラメータを公開することなく、協調 AI トレーニングを可能にしている。
3
D/V
C4.6 AI インフラストラクチャリソース管理、バックアップとリカバリ (AI Infrastructure Resource Management, Backup and Recovery)
リソース枯渇攻撃を防ぎ、クォータと監視を通じて公平なリソース割り当てを確保します。安全なバックアップ、テスト済みのリカバリ手順、災害復旧機能を通じて、インフラストラクチャ耐性を維持します。
4.6.1
検証: ワークロードのリソース消費は、サービス拒否攻撃を緩和するために、Kubernetes ResourceQuotas などで適切に制限されている。
2
D/V
4.6.2
検証: リソース枯渇は、定義された CPU、メモリ、リクエスト閾値を超過すると、自動保護 (レート制限やワークロード分離など) をトリガーしている。
2
D/V
4.6.3
検証: バックアップシステムは個別のクレデンシャルでの分離されたネットワークで実行しており、ストレージシステムはエアギャップネットワークで実行されているか、不正な変更に対する WORM (write-once-read-many) 保護を実装している。
2
D/V
C4.7 AI ハードウェアセキュリティ (AI Hardware Security)
GPU、TPU、特殊な AI アクセラレータなどの AI 固有のハードウェアコンポーネントを保護します。
4.7.1
検証: ワークロードを実行する前に、AI アクセラレータの完全性はハードウェアベースのアテステーションメカニズム (TPM、DRTM など) を使用して検証されている。
2
D/V
4.7.2
検証: アクセラレータ (GPU) メモリは、ジョブ間のメモリサニタイゼーションを備えたパーティショニングメカニズムを通じて、ワークロード間で分離されている。
2
D/V
4.7.3
検証: ハードウェアセキュリティモジュール (HSM) は、FIPS 140-3 Level 3 または Common Criteria EAL4+ の認定で、AI モデルの重みと暗号鍵を保護している。
3
D/V
4.7.4
検証: アクセラレータファームウェア (GPU/TPU/NPU) は、ブート時にバージョン固定され、署名され、証明されている。署名されていないファームウェアやデバッグファームウェアはブロックされている。
2
D/V
4.7.5
検証: VRAM とオンパッケージメモリはジョブ/テナント間でゼロ設定されており、デバイスのリセットポリシーはテナント間のデータ残留を防いでいる。
2
D/V
4.7.6
検証: パーティショニング/アイソレーション機能 (MIG/VM パーティショニングなど) はテナントごとに適用され、パーティション間にわたるピアツーピアのメモリアクセスを不正できる。
2
D/V
4.7.7
検証: アクセラレータ相互接続 (NVLink/PCIe/InfiniBand/RDMA/NCCL) は承認されたトポロジーと認証されたエンドポイントに制限されており、プレーンテキストのテナント間リンクは許可されていない。
3
D/V
4.7.8
検証: アクセラレータテレメトリ (電力、温度、ECC、パフォーマンスカウンタ) は SIEM/OTel にエクスポートされ、サイドチャネルや隠れチャネルを示す異常についてアラートしている。
3
D
C4.8 エッジと分散型の AI セキュリティ (Edge & Distributed AI Security)
エッジコンピューティング、連合学習、マルチサイトアーキテクチャなどの分散 AI デプロイメントを保護します。
4.8.1
検証: エッジ AI デバイスは相互 TLS を使用して中央インフラストラクチャに対して認証している。
2
D/V
4.8.2
検証: エッジデバイスは、ファームウェアダウングレード攻撃を防ぐために、検証済みの署名とロールバック保護を備えたセキュアブートを実装している。
2
D/V
4.8.3
検証: 分散型 AI 協調は、協力者バリデーションと悪意のあるノードの検出を備える、ビザンチンフォールトトレラントコンセンサスメカニズムを使用している。
3
D/V
4.8.4
検証: エッジとクラウドの通信は、帯域幅スロットリング、データ圧縮、暗号化されたローカルストレージでのオフライン操作機能をサポートしている。
3
D/V
参考情報
Last updated