目次
はじめに
「AIを導入したものの、そのリスクをどう管理すればよいかわからない」——生成AIの急速な普及とともに、多くの企業がこうした課題に直面しています。AIは強力なツールである一方、データ漏洩・モデルの不正操作・説明責任の欠如・規制違反といったリスクを内包しており、従来のサイバーセキュリティフレームワークだけでは対応しきれない新たな領域が生まれています。
こうした課題に対して、IT調査会社のGartnerが提唱しているのがAI TRiSM(AI Trust, Risk and Security Management)という包括的フレームワークです。本記事ではAI TRiSMの定義と構造を解説したうえで、コンフィデンシャルAI・TEE(Trusted Execution Environment)・準同型暗号といった秘密計算技術がこのフレームワークの中でどのような役割を果たすかを整理します。
AI TRiSMとは:Gartnerの定義
AI TRiSM(AI Trust, Risk and Security Management)は、AIモデルのガバナンス・信頼性・公平性・可用性・堅牢性・有効性・データ保護およびデータ保護を確保するためのフレームワークです。モデルの解釈可能性・説明可能性、AIデータ保護、モデルオペレーション、敵対的攻撃への耐性などのソリューションと技術を含みます。
Gartnerは2023年の「Top Strategic Technology Trends」においてAI TRiSMを戦略的技術トレンドのひとつとして位置づけ、組織がAIの透明性・信頼・セキュリティを運用化することで、AIモデルの採用・ビジネス目標・ユーザー受容において2026年までに最大50%の改善が見込まれると予測しています。
重要なのは、AI TRiSMが「リスクを避けるためのフレームワーク」であるだけでなく、「AIを安全に使うことで競争優位を得るための基盤」として捉えられている点です。
AI TRiSMの4層構造
GartnerのAI TRiSMフレームワークは、AIガバナンス・AIランタイム検査と実施・情報ガバナンス・インフラストラクチャ&スタックという4つのコア領域で構成されており、これらが連携してAIシステムのライフサイクル全体を保護します。
各層を順に見ていきましょう。
第1層:インフラストラクチャ&スタック(Infrastructure & Stack)
AIシステムを支えるハードウェア・クラウドインフラ・APIといった基盤技術の保護です。この層ではAIワークロードの保護として、準同型暗号や連合学習などのコンフィデンシャルコンピューティング技術の適用が含まれます。
ここが、コンフィデンシャルAI・TEE・準同型暗号が最も直接的に機能する層です(後述)。
第2層:情報ガバナンス(Information Governance)
AIが扱うデータ資産全体の管理です。データがどこにあり、誰がアクセスでき、どのように利用されるかを把握・制御します。情報ガバナンスはAI TRiSMを支えるフレームワーク全体の基盤であり、データの品質・データリネージ・監査証跡・アクセス管理が揃っていなければ、AIモデルはリスクを抱えたままになります。
第3層:AIランタイム検査と実施(AI Runtime Inspection & Enforcement)
AIが実際に稼働している最中(ランタイム)の監視・ポリシー適用・異常検知です。プロンプトインジェクション攻撃、データ漏洩、モデルの予期しない挙動など、AIに特有の脅威をリアルタイムで検出・制御します。
第4層:AIガバナンス(AI Governance)
AIの意思決定に対するアカウンタビリティ・透明性・倫理的整合性の確保です。モデルがなぜその判断を下したかを説明できること(解釈可能性・説明可能性)、規制要件への適合、組織ポリシーとの整合が求められます。
コンフィデンシャルAI・秘密計算技術はAI TRiSMのどこに位置するか
AI TRiSMの4層の中で、コンフィデンシャルAIおよびその基盤となる秘密計算技術(TEE・準同型暗号・連合学習)は、主に第1層のインフラストラクチャ保護を担います。同時にその「証明可能性」を通じて、情報ガバナンスやAIガバナンスにも貢献します。
それぞれの技術がAI TRiSMの文脈でどのように機能するかを整理します。
TEE(Trusted Execution Environment):インフラ層の信頼の基点
TEEは、CPUやGPU内部にハードウェアレベルで隔離された安全な実行環境を構築し、そこでAIの処理を行うことで「使用中のデータとモデル」を保護します。TEEはリモートアテステーションによって、外部の第三者が詳細な内部情報にアクセスすることなく計算の完全性を暗号学的に検証できるようにします。
AI TRiSMとの対応で重要なのは、この「アテステーション(証明)」の機能です。TEEはAIモデルが適切な環境で実行されたことを第三者が検証可能な形で証明できるため、単なる技術的なセキュリティ対策を超えて「監査可能なAI基盤」の構築に貢献します。これはAIガバナンス層が求める説明責任・透明性とも直接つながります。
AIモデルの推論(Confidential Inferencing)の文脈では、利用者はTEEが承認されたソフトウェア——LLMとその推論コード——を実行するよう設定されていることを検証でき、自分の機密入力データがポリシーに従って処理されると確認できます。
連合学習(Federated Learning):データを動かさないアーキテクチャ
連合学習は、データをローカルに置いたまま各組織で個別にAIを学習させ、モデルのパラメータだけを共有する手法です。AI TRiSMの情報ガバナンス層との関係で言えば、データの所在と主権を分散させたまま保つ設計として機能します。
ただし、パラメータから元データが推測される「勾配漏洩攻撃」のリスクがあるため、TEEと組み合わせることで、複数の組織が互いに証明された環境に暗号化データをアップロードし共同処理を実行する、より強固なマルチパーティ連携が可能になります。
AI TRiSMが求める「証明可能な信頼」と秘密計算の親和性
AI TRiSMが従来のセキュリティフレームワークと一線を画す点のひとつが、「AIシステムへの信頼は宣言するものではなく、技術的に証明するもの」という考え方です。
この点において、コンフィデンシャルコンピューティングが持つ「リモートアテステーション」の機能は特に重要です。CCCがまとめたホワイトペーパーによれば、TEEはリモートアテステーションを通じてコンフィデンシャルコンピューティング環境の信頼性について「真正で正確かつタイムリーなレポート」を提供でき、検証者が外部からその環境の完全性を確認できます。
つまり、「このAIはあなたのデータを安全に処理しています」という主張を、技術的・暗号学的な証拠として提示できるようになります。これはAI TRiSMが目指す「信頼の技術基盤」そのものです。
業界・規制との接続
AI TRiSMは規制対応の文脈でも不可欠な概念になりつつあります。EU AI Act・NISTのAIリスクマネジメントフレームワーク(RMF)・ISO/IEC 42001などが各組織に準拠を求める中、AI TRiSMはこれらの規制要件と整合したガバナンスポリシーを統合するための基盤として機能します。
特に金融セクターでは、DORAが求める「使用中データの保護(Encryption in Use)」がTEEを中心としたコンフィデンシャルコンピューティングによって対応可能である点は、AI TRiSMの第1層(インフラ)と規制要件の直接的な接続を示す好例です。
まとめ
AI TRiSMは、GartnerがAI時代の企業統制として提唱する4層のフレームワークであり、AIをガバナンス・信頼・リスク・セキュリティの観点から包括的に管理する考え方です。
その中で、コンフィデンシャルAIを支える秘密計算技術——TEE・準同型暗号・連合学習——は、AI TRiSMの第1層(インフラ保護)において「使用中のデータとモデルを暗号学的に保護し、かつその保護を証明する」という役割を担います。単なるセキュリティ対策ではなく、AIへの信頼を技術的根拠とともに示す手段として、AI TRiSM全体の実装に不可欠な構成要素です。
EAGLYSは、AI TRiSMフレームワークの観点からも秘密計算技術の実装支援を行っています。AIガバナンスやコンフィデンシャルAIの導入にご関心のある方は、ぜひお問い合わせください。
参考情報
※本記事に記載されている会社名・製品名・サービス名は、各社の商標または登録商標です。