プロダクション レディな AI Security Foundation の構築

※この投稿は米国時間 2025 年 12 月 5 日に、Google Cloud blog に投稿されたものの抄訳です。

生成 AI アプリケーションを概念実証から本番環境に拡張する際、セキュリティ上の懸念、特に機密データの漏洩やプロンプト インジェクションがボトルネックになることがよくあります。

プロダクション レディなポスチャーを確立するには、以下の 3 つのレイヤにわたる多層防御戦略が必要です。

• アプリケーション レイヤ: リアルタイムでの脅威の検出と軽減。

• データレイヤ: プライバシー管理とコンプライアンスの適用。

• インフラストラクチャ: ネットワーク セグメンテーションとコンピューティングの隔離。

こうした制御を実装するため、このガイドでは、このような特定のアーキテクチャ プレーンの保護に重点を置いた 3 つのハンズオンラボについて詳しく説明します。

アプリケーションのリアルタイム保護: Model Armor

ユーザーが AI モデルと直接対話するアプリケーション レイヤは、生成 AI アプリケーションで最も公開されるサーフェスです。このサーフェスは、プロンプトとレスポンスを使用して脆弱性を悪用する攻撃者の標的になることがよくあります。

このラボでは、Model Armor という包括的なセキュリティ サービスをデプロイする方法のデモを行うことで、アプリケーション レイヤとモデルレイヤを保護することに重点を置いています。Model Armor はインテリジェント ファイアウォールとして機能し、プロンプトとレスポンスをリアルタイムで分析して、脅威が損害を引き起こす前に検出してブロックします。

このラボでは、以下のような重大なリスクを軽減する方法を学びます。

• プロンプト インジェクションとジェイルブレイク: 悪意のあるユーザーが、安全ガードレールを回避したり機密データを抽出したりするプロンプトを作成すること。このような試みを自動的に検出してブロックする Model Armor セキュリティ ポリシーを作成します。

• 悪意のある URL の検出: プロンプトに間接的なインジェクションの一部となる可能性がある危険なリンクを埋め込むユーザーをブロックします。

• 機密データの漏洩: モデルが回答において個人情報（PII）を誤って漏洩しないよう防止します。

主なコンポーネント:

Model Armor が分析、検出、ブロックすべき対象を定義する再利用可能なテンプレートを作成します。block-unsafe-prompts テンプレートは悪意のある入力を対象とし、data-loss-prevention テンプレートはプロンプトやレスポンスにおいて機密データが漏洩するのを防ぎます。

このラボを完了すると、Model Armor をアプリケーションのバックエンド API に直接統合するための設計図が手に入ります。これにより、モデルへのすべてのリクエストがまずこのリアルタイム脅威検出レイヤを通過するようになります。

Sensitive Data Protection による AI データの保護

アプリケーション レイヤにはリアルタイム防御が必要である一方、AI モデルのトレーニングやテストに使用されるデータは、開発環境に入る前に保護する必要があります。生の顧客データはプライバシーに関する重大な課題を引き起こすため、デベロッパーは安全かつコンプライアンスに準拠した高品質のデータを必要とします。

このラボでは、AI 開発で使用される機密情報を保護するための自動データ サニタイゼーション パイプラインを構築する手順について説明します。Google Cloud の Sensitive Data Protection（SDP）を使用して、さまざまなデータ形式の個人情報（PII）を検査、分類、匿名化します。

主なコンポーネント:

• 検査テンプレート: 検査テンプレートを定義して、クレジット カード番号や SSN など、データや地域に関連する特定の機密情報タイプ（infoType）を検索します。

• 匿名化テンプレート: データ形式ごとに個別の匿名化テンプレートを作成することで、きめ細かい制御が可能になります。

• 非構造化データ: テキスト ファイル（チャットログなど）の機密値を infoType 名に置き換えてコンテキストを保持します。

• 構造化データ: CSV ファイルで文字マスキングなどのレコード変換を使用して、テスト用のデータ ユーティリティを維持しつつ機密フィールドを匿名化します。

• 画像データ: 光学式文字認識（OCR）を利用して、画像に埋め込まれた機密テキストを検出して編集します。

• 自動化されたジョブ: 検出および検査したファイル形式に基づいて適切な匿名化を自動的に適用する単一のジョブを構成し、Cloud Storage に保存されたデータのセキュリティ ワークフローを自動化します。

本番環境では、これらのテンプレートを使用して、新しい生の顧客データがアップロードされるたびにジョブトリガーを設定することで、完全に自動化されたハンズオフの検出および匿名化プロセスを作成します。ビジネスに固有の機密データについては、Sensitive Data Protection 内でカスタム infoType を定義できます。

AI Infrastructure Foundation の強化

最後の防御レイヤは、開発、トレーニング、デプロイのプロセスをホストする基盤となるインフラストラクチャです。プロダクション レディな AI 環境は、システムの改ざん、権限昇格、偶発的なデータ漏洩から隔離、強化、保護されている必要があります。

このラボでは、多層のセキュリティ基盤を構築することで、一般的なインフラストラクチャの脅威を軽減することに重点を置きます。

主なコンポーネント:

• 安全なネットワーク基盤: 安全な Virtual Private Cloud（VPC）とサブネットをプロビジョニングし、プライベート Google アクセスを構成することで、コンピューティング リソースがパブリックインターネットを経由せずにプライベート ネットワーク経由で Google API にアクセスできるようにします。また、Cloud NAT ゲートウェイをデプロイすることで、プライベート インスタンスがパブリック IP を持たずに制御されたアウトバウンド接続を開始できるようにします。

• 強化されたコンピューティング: 隔離された開発環境として機能する安全な Vertex AI Workbench インスタンスをプライベート VPC 内にデプロイします。必要なロールのみを持つ専用のサービス アカウントを作成して割り当てることで、最小権限の原則を適用します。インスタンス自体は、ルートアクセスを無効にし、セキュアブートなどのセキュリティ機能を有効にすることで強化されます。

• 安全な保管: データセット、モデル、アーティファクト用に強化された Cloud Storage バケットを作成します。以下のような強力な構成を適用します。

• 公開アクセスの防止を適用して、IAM 設定の誤りを上書きする。

• 均一なバケットレベルのアクセスにより、よりシンプルで予測可能な制御を実現する。

• オブジェクトのバージョニングと削除（復元可能）により、誤操作や悪意のある上書きまたは削除からの復元を可能にする。

• データアクセス ログにより、包括的かつ不変の監査証跡を提供する。

セキュリティを最大限に高めるために、この環境全体を VPC Service Controls の境界で囲むことができます。これにより、プライベート ネットワーク境界内の承認済みリソースのみがサービスにアクセスできるようになり、データ漏洩が防止されます。

プロダクション レディな AI セキュリティを今すぐ構築する

AI プロジェクトをプロトタイプから安全な本番環境グレードのアプリケーションに移行する準備は整っていますか？今すぐ Codelab を確認して、アプリケーション、データ、インフラストラクチャの各レイヤにわたる取り組みの第一歩を踏み出しましょう。

• AI アプリケーションの保護

• AI アプリケーションに使用されるデータの保護

• AI アプリケーションのインフラストラクチャの保護

ご紹介したラボは、Google の公式プログラムである「Google Cloud でのプロダクション レディな AI の開発」の AI アプリケーションの保護モジュールの一部です。有望なプロトタイプから本番環境グレードの AI アプリケーションへの移行に役立つコンテンツについては、カリキュラム全体をご覧ください。

ハッシュタグ #ProductionReadyAI で成果を共有し、仲間とつながりましょう。ご利用をお待ちしております。

-デベロッパー リレーションズ エンジニア、セキュリティ アドボケイト Aron Eidelman