効率性と革新性は、生成型AIの代表的な特性としてしばしば強調されます。しかし、多くの企業がこの技術をワークフローに統合しようとするにつれ、データの処理と共有における機密性は極めて重要になります。
安全で安心かつ信頼できるAIに関する米国大統領令や欧州連合のAI法など、AIに特化した政策の最近の導入は、開発者とユーザー双方にとって規制面での前進です。これらの政策は、AI開発者が機密データ、独自データ、または秘密データを確実に保護するためのコンプライアンス基準を定めています。また、AIモデルが知的財産として持つ固有の価値も考慮に入れており、学習データ、アルゴリズム、モデルアーキテクチャ、重みは不正アクセスから保護されるべきです。
機密コンピューティングが大規模にデータを保護する方法
クラウドサービスプロバイダー(CSP)は、顧客の機密コードとデータがネットワーク上で転送中はTLSとHTTPS暗号化を使用し、ディスク上に保存中は顧客管理キーによる暗号化を使用して安全に保管されるよう支援してきました。しかし、データ保護において最近まで対応が遅れていた領域が、サーバーメモリ内で使用中のデータの保護です。この状況は2019年に変わりました。Microsoftをはじめとする業界リーダーが、Linux FoundationのプロジェクトコミュニティであるConfidential Computing Consortium(CCC)を設立し、Confidential Computingの開発と導入を加速させたのです。CCCは、Confidential Computingを、ハードウェアベースの認証済みTrusted Execution Environment(TEE)で計算を実行することで使用中のデータを保護することと定義しています。
この分野のパイオニアとして、Microsoft Azure は、コンフィデンシャル コンピューティング対応 CPU 上で実行される仮想マシンであるコンフィデンシャル VM をいち早く導入した CSP の 1 つとなりました。コンフィデンシャル VM では、CPU ハードウェアとコンフィデンシャル VM のコンテンツのみが信頼されます。ハイパーバイザーやホスト OS を含むソフトウェア スタックの他のすべてのコンポーネントは、この信頼境界の外側にあると見なされ、メモリ内の機密データを公開することなく侵入できます。また、CCC のコンフィデンシャル コンピューティングの定義に準拠し、Microsoft は、ディスク暗号化キーがリリースされ、機密データが VM に読み込まれる前に、CPU と VM の状態が正常であることをユーザーが確認できる構成証明ツールを提供しています。
機密性の高いGPUの必要性
Azure Confidential Computing の製品責任者である Vikas Bhatia 氏は、次のように述べています。「お客様と緊密に連携し、どのような AI モデルを実行したいのか、どのようなセキュリティ体制を求めているのか、どのようなユースケースを実現したいのかといったフィードバックを収集してきました。Stable Diffusion、Zephyr、Llama2、GPT2 といった AI モデルに関する回答から、GPU を活用した Confidential Computing の必要性が明確になりました。NVIDIA H100 Tensor Core GPU を搭載した Azure Confidential VM の導入は、この市場への対応に向けた第一歩です。」
「NVIDIAとの協業は数年にわたる取り組みです」とバティア氏は述べています。「これは、コンフィデンシャルVMのTEEを安全に拡張し、GPUとそれらを接続する通信チャネルを含めるために必要不可欠なものでした。このスタック上にアップロード、構築、展開されるすべてのAIアプリケーションは、エンドツーエンドで保護されます。」
これらの新しいGPU強化Confidential VMにより、既存のAzureユーザーは、AI ML空間で既に記述したCUDAモデルとコードをConfidential GPU環境に再デプロイし、Bhatia氏が「統合された機密性」と呼ぶものを実現できます。これにより、GPUとの安全なチャネルが確立され、VMとGPU間のそれ以降のすべてのデータ転送が保護されます。さらに、認証プロセスにより、機密性の高いアプリケーションを起動する前に、VMとGPUが正しく構成されたTEEを実行していることが検証されます。
機密GPUの多様な用途
生成AIモデルの有効性は、学習データの質と量という2つの要素に左右されます。公開データセットを用いた学習は進展していますが、エンタープライズモデルの潜在能力を最大限に引き出すには、独自のデータへのアクセスが不可欠です。機密性の高いGPUコンピューティングを活用することで、企業は機密データの分析、共同モデリング、セキュアな投票、マルチパーティコンピューティングといった、より複雑で的を絞ったタスクを実行するために、特殊なデータの使用を安全に承認することができます。
Bhatia 氏は、機密 GPU の 3 つの主要な使用例を挙げました。
- 機密性の高いマルチパーティ計算:組織は、独自のデータを共有することなく、モデルのトレーニングと推論の実行を共同で行うことができます。参加者には、計算の最終結果のみが開示されます。
- 機密推論:推論は、クエリまたは入力が機械学習モデルに送信され、予測または応答を取得するときに行われます。機密GPUは、推論プロセスのすべての段階で、クライアント、モデル開発者、サービス運用、クラウドプロバイダーからデータを保護します。
- 機密性の高いトレーニング:モデルのアルゴリズムと重みは、AI開発者が構築したTEEの外部には公開されません。モデルは、ハードウェアで保護された境界内で各関係者に機密性が保たれた、暗号化された分散データセットを用いて安全にトレーニングできます。
例えば、Azure のヘルスケア分野のお客様は、機密性の高い推論技術を用いて、X 線、CT スキャン、MRI などの医療画像を分析することに関心を持っています。その際に、患者の機密データや独自のアルゴリズムを開示する必要はありません。高度な画像処理により、スキャン画像における腫瘍、骨折、異常の特定が容易になり、診断と治療の可能性を高めることができます。しかも、患者データを危険にさらすことはありません。
例えば、機密性の高いGPUは、データのプライバシーが重要でありながら協調的な計算が依然として必要なシナリオで威力を発揮します。研究者は、機密データ(政府データや科学データなど)のシミュレーションを、データセットやコードを権限のない第三者と共有することなく実行できます。金融分野では、機密性の高いマルチパーティ・コンピューティングは不正防止に役立ちます。金融機関は、個人の財務情報を開示することなく、保護されたデータクリーンルームで分析や計算を実行できます。
「コンフィデンシャルコンピューティングが登場する前は、企業はこの種のデータ共有技術を安全に実装するのに苦労していました」とバティア氏は述べた。「プレビュー期間中、お客様はVMをテストし、セキュリティ強化によってコンプライアンス、ガバナンス、セキュリティに関して直面している課題の一部が解決されることを実感しました。」
AI時代の新たなセキュリティ標準
機密コンピューティングのリーダーとして、Azure の堅牢なセキュリティ プラットフォームは、世界中の企業のプライバシーニーズに応えます。革新的なハードウェアは、Azure が目指す機密性の高いアプリケーションと AI モデルの GPU エコシステムを維持する上で不可欠です。Bhatia 氏は、このレベルの機密性が将来、あらゆる業界で標準となることを願っています。データプライバシーと AI の機密性は、日常的なコンピューティングにおける標準となるべきです。
「当社の初期製品は、小規模な言語モデルでの使用に最適です」とバティア氏は述べた。「この技術をLLMに対応させるべく拡張する作業は現在進行中ですが、お客様はこの技術がもたらす可能性を発見することで、現在のバージョンから大きな恩恵を受けると確信しています。」
初期のインターネットが安全でないHTTPサイトで動作していたのと同様に、セキュリティ基準は常に進化しています。AIモデル向けに機密データを処理する組織が増えるにつれ、機密性の高いNVIDIA GPU搭載AIへのニーズが高まっています。Azureの最新VMは、安全なGPUコンピューティングへの必須かつ革新的な導入であり、Azureはこれを複数のGPUにスケールアップできるよう取り組んでいます。
「私たちは、機密性の高いVMで新たなセキュリティ基準を確立したいと考えています」とバティア氏は述べた。「私たちは、満潮になればすべての船が浮かぶという考え方に基づいて開発を行っています。」
NVIDIA H100 Tensor Core GPU を搭載した Azure Confidential VM についてご興味がありますか? Azure のハードウェア ベースのセキュリティ強化をプレビューし、使用中の GPU データを保護するためにサインアップしてください。
