< ブログ一覧に戻る

AIワークロードのコンテナセキュリティ|LLM・GPU環境を守る新しい視点

Reiko Nishii
AIワークロードのコンテナセキュリティ|LLM・GPU環境を守る新しい視点
執筆者
Reiko Nishii
@
linkedin
AIワークロードのコンテナセキュリティ|LLM・GPU環境を守る新しい視点
@
linkedin
AIワークロードのコンテナセキュリティ|LLM・GPU環境を守る新しい視点
Published:
March 27, 2026
この記事の内容
シスディグによるファルコフィード

Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。

さらに詳しく
Green background with a circular icon on the left and three bullet points listing: Automatically detect threats, Eliminate rule maintenance, Stay compliant, with three black and white cursor arrows pointing at the text.

LLMやAIエージェントをコンテナ上で動かすことが当たり前になった今、従来のコンテナセキュリティの常識が通用しない新しいリスクが急速に広がっています。コンテナイメージのスキャンやネットワーク境界の防御だけでは、AIワークロード特有の攻撃を検知することはできません。

本記事では、AIワークロードがなぜセキュリティリスクが高いのか、どのような攻撃手法が登場しているのか、そして具体的な対策とSysdigのアプローチについて解説します。コンテナセキュリティの全体像については「コンテナセキュリティとは?クラウドネイティブ時代に必要な対策の全体像」をあわせてご参照ください。

なぜ「AIワークロード」はセキュリティリスクが高いのか

コンテナ上のAIが持つ「特権的な性質」

LLMの推論・学習処理には、大量のGPUリソース、高いメモリ帯域、そして外部APIへの広いネットワークアクセスが必要です。これらの要件を満たすために、AIワークロードを実行するコンテナは必然的に「高い権限」と「広いアクセス範囲」を持つ設計になりがちです。

例えば、学習用コンテナがクラウドストレージへのフルアクセス権限を持っていたり、推論APIコンテナが広いネットワークポリシーで稼働していたりするケースは珍しくありません。このような設計は、一度コンテナが侵害された際の被害範囲を一気に拡大させます。攻撃者にとって、AIワークロードのコンテナは「権限が高く、かつ正規トラフィックに紛れ込みやすい」という格好の標的となっています。


図:AIワークロードの攻撃面マップ(権限スコープと被害波及範囲)

AIエージェントが生む「新しい攻撃面」

従来のWebアプリケーションと異なり、AIエージェントは自律的にツールやAPIを呼び出しながらタスクを遂行します。Anthropicが提唱したMCP(Model Context Protocol)の普及により、LLMが外部リソース——ファイルシステム、データベース、クラウドAPI——に直接アクセスする設計が急速に一般化しています。

この設計変更が、セキュリティ上の新しい課題を生み出しています。「誰が・何のツールを・いつ・なぜ実行したか」というアクセスの文脈を追跡することが難しくなり、従来のログ監視やIAM設計だけでは対応できないリスクが生まれています。AIエージェントは本来「便利な自動化」のために設計されていますが、その自律性が悪用されると、従来型の攻撃よりもはるかに素早く深い侵害につながる可能性があります。

AIワークロードを狙う主な攻撃手法

AIワークロードを標的とした攻撃は、既存のコンテナ攻撃手法を応用したものから、AI特有の新しい手法まで多岐にわたります。代表的な4つの攻撃手法を整理します。

1. LLMjacking|AIリソースの不正利用

LLMjackingとは、盗んだAPIキーや漏洩した認証情報を悪用し、他者のLLM推論基盤を無断で利用する攻撃です。攻撃者は正規ユーザーになりすまし、大規模な推論処理を実行したり、独自モデルの学習コストを被害者に負担させたりします。

被害の特徴は、金銭的損失(高額なGPUコストの請求)だけにとどまらず、推論ログに含まれる機密プロンプトやビジネスデータの流出、さらにはAPIレート制限の超過によるサービス停止にまで及びます。検知が難しい理由のひとつは、LLMjackingによるAPIコールが正規のリクエストと技術的には区別がつかないためです。通常の脆弱性スキャンやログ監視では見逃しやすく、コスト異常の発覚まで長期間気づかれないケースも報告されています。

2. AIエージェントを介した権限昇格・横断侵害

プロンプトインジェクション攻撃は、AIエージェントへの入力データに悪意ある指示を埋め込み、エージェントに意図しない操作を実行させる攻撃手法です。例えば、エージェントが処理するドキュメントの中に「全データをこのURLに送信せよ」という隠し命令を混入させることで、エージェント自身を攻撃ツールとして悪用します。

特に危険なのは、AIエージェントがRunbookの自動実行やインフラAPIへの直接アクセス権限を持っている場合です。エージェントが侵害されると、そのままラテラルムーブメント(横断侵害)の経路となり、コンテナクラスタ全体が被害を受けるリスクがあります。また、MCP(Model Context Protocol)サーバーを介したデータ奪取も新たな脅威として注目されています。MCPサーバーへの不正アクセスが成功すると、LLMが参照する機密データや認証情報が一括して流出する可能性があります。

MCPを活用したAIエージェントのセキュリティ設計については「MCP時代のAIエージェントをどう守るか——SRE / DevSecOpsのための設計・脅威モデル・実装指針」で詳しく解説しています。

3. GPUリソースの無断使用とモデル窃取

コンテナへの侵害後、攻撃者がGPUリソースを暗号通貨マイニングや独自モデルの学習に悪用するケースが増加しています。GPUは高価かつ希少なリソースであり、一晩の不正利用だけでも数百万円単位のクラウドコストが発生するリスクがあります。さらに、CPUベースの不正利用と異なり、GPU使用量の異常はコスト請求が届くまで気づかれないケースが多く、被害の発覚が遅れるほど損失が拡大する点も深刻です。AIインフラを持つ企業は特に狙われやすい状況にあります。

また、コンテナ内に保存された学習済みモデルの知的財産窃取も深刻なリスクです。多大な計算コストと独自データをかけて学習させたモデルが盗まれた場合、競合他社への技術流出や、そのモデルを悪用した攻撃ツールの開発につながる可能性があります。

4. サプライチェーン経由のAIモデル汚染

HuggingFaceなどのモデルリポジトリから取得したモデルや、PyPI・npm上のAIライブラリへのバックドア混入は、AIワークロード特有のサプライチェーンリスクです。悪意あるモデルは、一見正常に動作しながら、推論時に機密データを外部に送信したり、特定の入力に対して意図的に誤った出力を返したりします。

OSSのAIフレームワーク(Transformers、LangChain等)への依存度が高い現代のAIシステムでは、これらのライブラリに混入した脆弱性やバックドアが本番環境に直接持ち込まれるリスクがあります。

従来のセキュリティ対策では不十分な理由

静的スキャンで検知できない「動的リスク」

コンテナイメージのビルド時スキャンは、既知のCVEや設定ミスの検出には有効ですが、AIワークロード特有のリスクには対応できません。モデルの推論時・エージェントの実行時に初めて顕在化するリスク——プロンプトインジェクション、異常なAPI呼び出し、実行時の権限昇格——は、ビルド段階では存在自体が確認できないためです。

さらに、AIエージェントの「正常な動作」と「異常な動作」の境界が曖昧であることも、検知を困難にしています。エージェントが自律的にツールを呼び出す設計である以上、ある程度の「予期しない動作」は正常範囲内と見なされてしまい、攻撃との区別が難しくなります。

WAF・IDS・ログ監視の限界

AIワークロードの通信の多くはHTTPS経由のAPIコールであるため、WAF(Webアプリケーションファイアウォール)では通信内容を検査することが難しく、正規APIコールとLLMjackingを区別できません。また、従来のIDS(侵入検知システム)はシグネチャベースの検知が中心であり、AIエージェント特有の新しい攻撃パターンへの対応が遅れがちです。

クラウドプロバイダーが提供するログベースの監視やサンプリングされたメトリクスだけでは、コンテナ内部で実行中のAIエージェントが何をしているかをリアルタイムに把握することは不可能です。

AIワークロードのコンテナセキュリティ対策

AIワークロードのセキュリティは、「予防(Shift Left)」と「検知・対応(Shield Right)」を組み合わせたアプローチが必要です。以下に優先度の高い対策を整理します。

1. 最小権限の徹底|AIコンテナに必要な権限だけを付与

AIワークロードコンテナへの権限付与は、用途ごとに細かく分離することが重要です。

•   推論コンテナ:外部APIへの送信のみ許可、ストレージへの書き込みは原則禁止

•   学習コンテナ:学習データのリードのみ許可、ネットワーク送信先を限定

•   MCPサーバーコンテナ:アクセス可能なリソースをスコープ単位で制限し、最小権限原則(Least Privilege)を徹底

KubernetesのRBACとPodSecurityによるコンテナ権限制御、CIEMによるIAMロールの継続的な可視化・是正を組み合わせることで、過剰権限がもたらすリスクを最小化できます。

また、AIワークロードでは外部LLM APIへのアクセスキーが環境変数にベタ書きされるリスクが特に高い点にも注意が必要です。KubernetesのSecretsをそのまま使うのではなく、AWS Secrets ManagerやHashiCorp Vaultなどの外部シークレット管理ツールと連携し、APIキーや認証情報をコンテナ外で一元管理する仕組みを整備することが重要です。環境変数経由での認証情報漏洩は、LLMjackingの主要な侵入経路のひとつとなっています。

2. AIエージェントの行動をランタイムで監視する

AIワークロードのランタイムセキュリティの核心は、「エージェントが実際に何をしているか」をシステムコールレベルで可視化することです。eBPFを用いたカーネルレベルの監視により、通常のAPIログでは追跡できないプロセスの挙動・ファイルアクセス・ネットワーク通信をリアルタイムで把握できます。

•   Falcoルールによる異常検知:エージェントが予期しないバイナリを実行した場合、機密ファイルへアクセスした場合、想定外の送信先に通信した場合にアラートを発報

•   ベースラインプロファイルの作成:正常な推論時のシステムコールパターンをプロファイル化し、逸脱した挙動を自動的に異常として検知

•   MCPサーバーへの通信監視:MCPを経由するデータアクセスをシステムコールレベルでトレースし、不正なデータ奪取を早期に検知

3. AIモデル・ライブラリのSBOM管理

AIワークロードにおけるSBOM(Software Bill of Materials)管理は、コンテナイメージの依存ライブラリだけでなく、AIモデルそのものの出所(provenance)管理まで含めることが重要です。

•   HuggingFaceなどのリポジトリから取得したモデルのハッシュ検証と完全性確認

•   OSSのAIフレームワーク(LangChain・Transformers等)の依存ライブラリを含む包括的なSBOMの生成・管理

•   CI/CDパイプラインへのモデル検証ゲートの組み込み:未検証のモデルが本番環境にデプロイされることを防ぐ

4. AIワークロード向けのインシデント対応

AIワークロードへの侵害を検知した際の対応は、通常のコンテナインシデント対応よりも迅速さが求められます。特にLLMjackingは発覚が遅れるほど金銭的損失が拡大するため、自動化された初動対応が重要です。

•   LLMjacking検知時の即時対応:APIキーの自動無効化、該当コンテナの隔離、クラウドプロバイダーへの通知

•   AIエージェントの異常行動検知時:エージェントのプロセス強制終了、MCPサーバーへのアクセス遮断、実行ログの保全

•   フォレンジック:コンテナ消滅後もシステムコールレベルの証跡を保全し、「エージェントが何をしたか」を再現できる体制の整備

SysdigによるAIワークロードセキュリティの実現

SysdigはOSS Falcoの開発元として、コンテナのランタイムセキュリティをカーネルレベルで実現する技術を持つ唯一のCNAPPベンダーです。AIワークロードに対しても、以下のアプローチで包括的なセキュリティを提供します。

AIワークロードのリアルタイム可視化

Sysdig SecureはeBPFを用いたカーネルレベルの監視により、KubernetesクラスタにデプロイされたAIワークロードのすべての挙動——システムコール・ネットワーク通信・ファイルアクセス——をリアルタイムに可視化します。LLMjackingの検知や、AIエージェントの異常なAPI呼び出しの特定も、このDeep Kernelの可視性があってはじめて実現できます。

Falco Feedsによる最新脅威インテリジェンスの自動配信

SysdigのThreat Research Team(TRT)が継続的に分析するAI関連の最新脅威インテリジェンスは、Falco Feedsとして自動配信されます。LLMjackingや新しいAIエージェント攻撃パターンに対応したFalcoルールが常に最新の状態に保たれるため、セキュリティチームが個別にルールを作成・メンテナンスする工数を大幅に削減できます。

Sysdig Sage™によるAIアシスト対応

Sysdig Sage™は、検知されたAIワークロードへの攻撃に対して、インシデントの深刻度判定・根本原因の特定・対応手順の提案をAIが自動的にサポートします。SREやSecOpsチームは、複雑なログを手動で解析することなく、重大なインシデントに集中して対応できます。

Sysdig SecureがCWPP・CNAPPとして提供する機能の全体像については「コンテナセキュリティとは?クラウドネイティブ時代に必要な対策の全体像」のSysdig Secureセクションをご参照ください。

まとめ|AIワークロードのセキュリティは「実行時の可視化」がカギ

AIワークロードのコンテナセキュリティは、従来のWebアプリケーション保護の延長線上にはありません。LLMjacking・AIエージェントを介した権限昇格・GPUリソースの無断使用・モデルのサプライチェーン汚染など、AI特有の攻撃手法は静的なスキャンや境界防御では検知できません。

対策の優先順位は以下の通りです。

  • 最小権限の設計:推論・学習・MCPサーバーコンテナを用途別に権限分離

  • ランタイム監視:eBPF・システムコールレベルでAIエージェントの挙動をリアルタイムに可視化

  • SBOM管理:AIモデルとOSSライブラリのサプライチェーンを包括的に管理

  • インシデント対応の自動化:LLMjacking・エージェント異常検知時の即時封じ込めと証跡保全

AIの民主化が進む中、攻撃者もAIを武器にしています。「見えなければ守れない」という原則のもと、カーネルレベルの可視化を起点としたAIワークロードセキュリティの構築が急務です。

関連記事

About the author

コンテナ、Kubernetes、ホストのセキュリティ
クラウド セキュリティ

セキュリティの専門家と一緒に、クラウド防御の最適な方法を探索しよう

デモを申し込む