APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > Databricks > AIプロダクション化の壁を越える:Databricksが提唱するDatabricks AI Security Framework (DASF)の解説

AIプロダクション化の壁を越える:Databricksが提唱するDatabricks AI Security Framework (DASF)の解説

Databricks DAIS2025
< techblogAPCについて(はじめにお読み下さい) >

AIプロダクション化の壁を越える:Databricksが提唱するDatabricks AI Security Framework (DASF)の解説

AI、特に生成AIの活用がビジネスの核心に迫る中、多くの企業がその本番導入(プロダクション化)の壁に直面しています。Databricksの講演「# Best Practices to Mitigate AI Security Risks」では、同社のプラットフォームセキュリティを率いるSamrat Ray氏と、プリンシパルセキュリティエンジニアのArun Pammalapati氏が登壇し、この課題に対する体系的なアプローチを解説しました。

本記事では、このセッションの内容に基づき、AIシステムを安全に運用するための「Databricks AI Security Framework」を深掘りします。AI開発者、データサイエンティスト、そして企業のセキュリティ担当者が、AI特有のリスクを理解し、具体的な対策を講じるための実践的な知見を提供することを目的としています。

※本記事は、Data + AI Summit のセッションを現地で視聴したエンジニアが、内容をできる限り客観的に共有することを目的に、生成AIを活用して作成したものです。 ― エーピーコミュニケーションズ Lakehouse部

なぜ今、AIセキュリティが重要なのか

講演の冒頭で指摘されているように、実に90%もの企業が「自社のAIを本番環境で大規模に展開する自信がない」と感じています。AIがビジネス戦略の中核となりつつある中で、本格的な展開には、講演で示された3つの大きな課題が存在します。

 

1. セキュリティ:データとモデルの制御欠如 LLMの挙動は予測が難しく、機密データでの学習時に「データ漏洩」を招く懸念があります。また、自律的に動作する「AIエージェント」は、所有権や管理体制が不明確なままでは、意図しないデータアクセスなどのリスクをはらみます。

2. 品質と運用:本番導入の難しさ AIの「パフォーマンスが予測不可能」であり、ビジネス要件を満たす品質を安定して担保することが困難です。さらに、高品質なAIを組織全体で一貫して提供するための「自動化された仕組みや規模」が整っていないことも課題です。

3. コスト:規模拡大に伴う費用 基盤モデル(Foundation models)や、それを動かすためのGPUは「大規模に運用するには非常に高価」であり、費用対効果が見えにくい点が挙げられます。

これらのセキュリティ、品質、コストという複合的な課題に対し、DatabricksはAIを単体のモデルとしてではなく、データ準備から監視、アプリケーション統合までを含む一つの「システム」として捉えるべきだと提唱しています。そして、このAIシステム全体を網羅的に保護するため、独自のセキュリティフレームワークを開発しました。

Databricks AI Security Framework (DASF)の全体像

Arun Pammalapati氏が紹介した「Databricks AI Security Framework」は、2025年2月にバージョン2.0へとアップデートされました。この最新版は、特に生成AIの導入に伴う新たなセキュリティリスクに対応するために設計されており、AIシステムを安全に運用するための羅針盤となるものです。

このフレームワークは、2年以上の歳月と、社内外の30名以上の専門家、さらには顧客からのフィードバックを経て構築されました。

その中核は、AIシステムを12のコンポーネントに分解し、それらに紐づく62種類のセキュリティリスクと、64の具体的な対策(コントロール)をマッピングした点にあります。このフレームワークの目的は、AI開発者とセキュリティチームの間に「共通言語」を提供することです。例えば、開発者が「Prompt Injection」のリスクについて話すとき、セキュリティチームはそれがどのコンポーネント(例:推論リクエスト)に関わるリスクで、どのようなコントロール(例:入力値の検証)が必要かを体系的に理解できます。

このフレームワークは、特定のプラットフォームに限定されない汎用的なものですが、Databricksユーザーであれば、各コントロールを自社環境でどう実装するかのドキュメントリンクも提供されており、即座に実践に移せるようになっています。

AIシステムを構成する12のコンポーネントと潜むリスク

AIのセキュリティを考える上で、まずAIアプリケーションがどのような要素で構成されているかを理解することが不可欠です。フレームワークでは、AIのライフサイクルを以下の4つのフェーズと12のコンポーネントに整理しています。

  1. データ操作 (DataSecOps): データソースからのデータ取り込み、クレンジング、特徴量エンジニアリング、そしてUnity Catalogへの登録まで。
  2. モデル操作 (ModelSecOps): 準備されたデータを用いたモデルのトレーニングやファインチューニング。
  3. デプロイとサービング (DevSecOps): 完成したモデルをAPIとして公開し、エージェントが利用できる状態にする。
  4. プラットフォーム (Platform MLOps and Platform Security): 上記のすべてを支える基盤、CI/CD、認証・認可の仕組み。

これらの各コンポーネントには、従来型のサイバーセキュリティリスクに加え、AI特有のリスクが潜んでいます。例えば、以下のようなものが挙げられます。

  • 機密データの漏洩 (Model Data Linkage): モデルのトレーニングに使われた個人情報や企業秘密が、推論時の出力から漏洩するリスク。
  • 過剰な権限を持つエージェント: AIエージェントに与えられた権限が強すぎると、ユーザーがアクセスできないはずのデータにアクセスしてしまうリスク。
  • プロンプトインジェクション (Prompt Injection): 悪意のあるユーザーがプロンプトを操作し、モデルの出力を不適切に誘導するリスク。

これらのリスクを網羅的に把握し、どのコンポーネントで対策を講じるべきかを明確にすることが、セキュアなAIシステム構築の第一歩となります。

64のコントロールと責任分担の明確化

62のリスクに対して、フレームワークは64のコントロールを提示します。これらをすべて一度に実装するのは現実的ではありません。重要なのは、リスクとコントロールをマッピングし、誰がその責任を負うのかを明確にすることです。

フレームワークでは、各コントロールに対して「プラットフォーム提供者(Databricks)」「クラウド事業者(AWS, Azure, GCP)」「組織(ユーザー企業)」の誰が責任を持つべきかという、責任共有モデルの考え方が適用されています。これにより、ユーザーは自社で実装すべきコントロールに集中し、プラットフォームが提供する機能を最大限に活用できます。

3つの重点領域から始める実践的アプローチ

Samrat Ray氏は、膨大なコントロールの中から特に重要なものとして、以下の3つの重点領域を挙げ、具体的な実践アプローチを解説しました。講演者によれば、これらの領域に注力することで、AIセキュリティの基盤を効率的に固めることができます。

1. セキュアなプラットフォームの構築

AIアプリケーションが動作する土台そのものを強固にすることが最初のステップです。

  • ハードニング済みランタイム: Databricksでは、ユーザーが意識せずとも、分離され、セキュリティが確保された実行環境が提供されます。
  • サーバーレスEgress制御: AIエージェントが意図せず外部の悪意あるAPIを呼び出したり、データを外部のストレージに送信したりするリスクを防ぎます。Databricksでは、インターネット、クラウドストレージ、Databricks APIへのアウトバウンド通信を単一のポリシーで制御できます。
  • CMK (Customer-Managed Keys) による暗号化: 機密データの学習に際しても、CMKを用いてデータとモデルを暗号化し、プラットフォーム管理者からも保護します。

2. エンドツーエンドのガバナンス

データ、モデル、ユーザーアクセスをライフサイクル全体で一元的に管理します。

  • Unity Catalogによる属性ベースアクセス制御 (ABAC): 「PII」や「機密」といったタグをデータやモデルに付与し、該当するポリシーを適用。ACLの個別管理を必要とせず、スケーラブルなガバナンスを実現します。
  • OAuthとMFAによる強固な認証: AIシステムへのアクセスにも徹底した多要素認証を適用。
  • AIエージェントの最小権限管理: Databricksの「On-Behalf-Of (OBO) 認証」により、エージェントは呼び出し元ユーザーの権限で動作。Unity Catalogで定義したアクセス制御をAI経由の操作にも適用できます。

3. モデル出力の監視と監査

AIセキュリティはデプロイ後の継続的な監視こそが核心です。

  • MLflow 3.0によるトレーシングとベースライン設定: モデル開発段階で出力のトレースを行い、「正常な振る舞い」のベースラインを確立します。
  • AI Gatewayと推論テーブルの活用: DatabricksのAI Gatewayは、すべてのモデルリクエストを一元管理。推論テーブル機能を有効にすると、プロンプトと出力がUnity Catalog管理下に自動記録され、不審な振る舞いや侵害の兆候をリアルタイムに検知できます。

導入事例とまとめ

講演では、オーストラリアの大手金融機関であるNational Australia Bankが、AI GatewayやEgress制御、Private Linkといった機能を組み合わせ、規制の厳しい金融業界でAI活用を安全に推進している事例が紹介されました。

AIをプロダクション環境で安全に運用するためには、個別の対策だけでは不十分です。本記事で紹介したDatabricks AI Security Frameworkのように、AIシステム全体を俯瞰し、リスクを体系的に洗い出し、プラットフォームの機能を活用して多層的な防御を構築することが不可欠です。

AIセキュリティは一度構築すれば終わりというものではなく、継続的な監視と改善が求められるプロセスです。まずは公開されているフレームワークのドキュメントに目を通し、自社のAIセキュリティ体制を見直すことをおすすめします。