AIファクトリーと企業のための信頼性とセキュリティを備えたエージェント型AI
ターンキー型のオーケストレーション、CPU+GPUの継続的な複合アテステーション、アテスト済みのワークロードアイデンティティ、HSMで保護された安全な鍵アクセスにより、承認ゲートが信頼できるエビデンスを備えたエージェント型AIを実行します。
課題
企業はエージェント型AIを本番投入へと進めていますが、特にオンプレミス、エアギャップ、ソブリン環境では、機密データを扱う実行環境が「その通りである」ことを機械的に継続検証できる証拠が不足しているため、準備審査が滞りがちです。現実の侵害データは、外部攻撃者と内部要因の両方が重要であることを示しており、平均侵害コストは2024年に4.88百万米ドルに達し、規制産業ではさらに高くなる傾向があります。
承認ゲートで足りないのは、データ利用中の保護に関するエビデンス、すなわちワークロードが(保存時や転送時の暗号化だけでなく)アテストされたハードウェアベースのセキュアエンクレーブ(コンフィデンシャル・コンピューティング)内で動作しているという証明です。
暗号制御はFIPS 140-2 レベル3の認証を受けたHSMに根差している必要があり、保存・転送・利用の各局面を支配する鍵のリリースが、検証可能な形で強制されなければなりません。
加えて、市場には信頼・セキュリティ・主権を内蔵したエージェント型AI向けのターンキープラットフォームが欠けています。アナリストは、今日のAIからエージェントへの道筋が分断され、ツールチェーンの成熟も遅れているため、「エージェント」が本番で希少なままだと指摘しています。
なぜオンプレミス/エアギャップ環境でコンフィデンシャル・コンピューティングが重要なのか?
エアギャップはインターネットを遮断しますが、ローカルリスク(ルート管理者、物理アクセス、サプライチェーンのドリフト)は止められません。コンフィデンシャル・コンピューティングは、データ、プロンプト、モデルの重み、認証情報を利用中も暗号化したまま保持し、実行環境の検証可能な証拠を提供するハードウェア隔離のセキュアエンクレーブを追加します。メジャードブートとオフラインアテステーションにより、スタックが証明されるまで復号は行われません。アテステーション連動の鍵リリースと封印ストレージは、秘密を特定のプラットフォームと測定値に結びつけるため、ディスクのクローンやファームウェアのロールバックは失敗します。CPU+GPUの複合アテステーションは、最重要IPを読み込む前にホストとアクセラレータを検証し、認証情報はエンクレーブ内で短命かつスコープ限定のトークンとして保持されます。
当社のソリューション
Fortanixは、データが存在する場所(オンプレミス、エアギャップ、ソブリン)で動作する、エビデンス主導のエージェント型AIプラットフォーム「Armet AI」を提供します。Armet AIはNVIDIA Confidential Computingとターンキー型オーケストレーションを組み合わせ、あらゆるワークロードが機微データを扱う前に自らの状態を証明できるようにします。実行時の信頼はCPUとGPUにまたがって確立され、暗号アイデンティティに結びつけ、ポリシーで強制されるため、鍵、データセット、モデル成果物は信頼されたサービスからのみアクセスされます。同じ証拠の連鎖が、統合監査と承認ゲートにも供給されます。結果として、チームが既に運用しているNVIDIA AIスタック上で、検証可能な信頼・セキュリティ・主権を備え、パイロットから本番までを実践的に進められます。
コンポーネント
NVIDIA コンフィデンシャル基盤: NVIDIA Hopper および NVIDIA Blackwell GPU と、NVIDIA Confidential Computing の機能により、エージェントサービスはハードウェアで強制されるTEE(Trusted Execution Environment)内で実行できます。ファームウェアとイメージは起動時にアテストされ、継続的に証跡が残ります。制限ネットワーク下でも、環境はアテステーションの証拠を保持し、保護された信頼更新や失効を受け入れます。結果として、制限ネットワークでも信頼できる時刻同期とアイデンティティを備え、オンプレでも同一の運用モデルを実現します。
ターンキーオーケストレーション: データが存在する場所(オンプレミス、エアギャップ、ソブリン)で動作する本番レイヤーです。チームは明確な役割とランブックでプロジェクトを進め、サービスは毎回同じ手順で立ち上がります。コネクタ、ガードレール、承認、可観測性は運用モデルに対応します。ロールベースのアクセスと変更管理を内蔵し、すべてAPIファーストのため自動化に自然に適合します。結果として、パイロットを自信を持って本番へと進める再現可能なパターンを提供し、カスタムのつぎはぎを不要にします。
Fortanix Confidential Computing Manager(CCM): スタックの信頼とポリシーのプレーンであり、ハードウェア証拠を強制可能な実行時の意思決定に変換する場です。CPUアテステーション(Intel TDX、AMD SEV-SNP)とGPUアテステーション(NVIDIA NRAS)を統合し、継続的な姿勢チェックを実施、短命のRA-TLSワークロードアイデンティティを発行して、アイデンティティが検証済みの実行状態を反映するようにします。制約のあるネットワークでも、ローカル検証とエアギャップ拠点向けの事前配置された信頼バンドルにより同様に機能します。証拠は標準形式に正規化され、ログはSIEMへ署名付きで送られ、改ざん検知可能な記録を提供します。これにより、セキュリティ/運用チームはAPIファーストで監査対応のコントロールプレーンを得られます。
Fortanix Data Security Manager(DSM HSM + KMS): 鍵と暗号ポリシーのシステム・オブ・レコードであり、FIPS 140-2 レベル3認証のHSMに根差しています。暗号鍵、トークン、シークレットを保管し、承認済みのアテストワークロードアイデンティティが提示され、かつポリシーが許可した場合にのみリリースします。これにより、保存・転送・利用のデータアクセスが検証可能な形で統制されます。DSMは暗号のアジリティ(アルゴリズムやローテーション)と、リスクの高い操作に対するデュアルコントロール/定足数(クオーラム)を提供します。すべての操作はSIEMへ署名付きの改ざん検知可能なログを出力し、職務分離と監査を支援します。規制運用に向けて設計され、高可用性と災害復旧オプションを備え、鍵が管理外に出ないという信頼を維持します。
仕組み
1. データが存在する場所から開始: 自社のデータセンターやAIファクトリー(オンプレ/エアギャップ)で、チームが既に信頼している運用パターンを用いて環境を立ち上げます。ターンキーオーケストレーションにより、NVIDIA GPU上で、NVIDIA AI Enterprise のエージェントサービスを、ダクトテープや場当たりスクリプトなしで動かせるCC対応の提供スタックを起動します。
2. 機微に触れる前にプラットフォームを証明: 複合アテステーションにより、CPU側のエンクレーブとGPUのコンフィデンシャル状態を、承認済みリファレンスと照合します。エアギャップ拠点では、ローカルのベリファイアが事前配置された信頼バンドルを用いるため、証明はインターネットに依存しません。
3. その証明を実体あるワークロードアイデンティティに結合: 短命のRA-TLS証明書は、「このエンクレーブ内のこのワークロードが、今この瞬間に承認済みである」ことを示す暗号パスポートだと考えてください。アイデンティティはホスト名やロールではなく、検証済みの実行状態に結びつきます。
4. 想定ではなくポリシーで許可: 鍵、シークレット、データセット、モデルファイルは、要求者が有効なアテストアイデンティティを提示し、かつポリシーが許可した場合にのみリリースされます。HSMでガードされたモデルにより、証明がなければ決定はクローズドに失敗(=アクセス拒否)するため、保存・転送・利用のデータは測定可能な管理下にとどまります。
5. エンクレーブ内で処理: エージェントは、データやモデル成果物をセキュアエンクレーブ内でのみ復号・処理します。ガードレールとロールベース制御はワークロードとともに移動します。
6. 承認者が信頼できる証跡を残す: すべてのチェックと意思決定が一元的に記録されます—誰が、何を、どこで、いつ、なぜ—本番準備審査、監査、インシデント対応に役立ちます。
