Falco Feedsは、オープンソースに焦点を当てた企業に、新しい脅威が発見されると継続的に更新される専門家が作成したルールにアクセスできるようにすることで、Falcoの力を拡大します。
本文の内容は、2026年5月21日に Manuel Boira が投稿したブログ (https://www.sysdig.com/blog/securing-nvidia-ai-stacks-for-enterprise-environments) を元に日本語に翻訳・再構成した内容となっております。
NVIDIAは、3Dグラフィックス向けにGPUを設計する企業から、AIファクトリー、ハイパースケーラー、ネオクラウドを牽引する主要プレイヤーへと変貌を遂げ、テクノロジーを変革し続けています。
企業は、大規模言語モデル(LLM)向けの生成AIからエージェント型AIを活用した自律型システムまで、本番システムを構築・運用するためにNVIDIA AIスタックを急速に採用しています。一方でセキュリティチームは、AI技術と企業がそれを活用する方法が進化し続けるなかで、AIに関するリスクへの対応に苦慮することがあります。
標準はまだ生まれつつある段階です。チームは高速に開発を進めていますが、本番環境で「良し」とされる状態がどのようなものかを把握している人は多くありません。組織はモデルの安全性、プロンプトのフィルタリング、デプロイ前の制御といった予防的な対策に注力できますが、実際のセキュリティリスクはランタイムに存在します。
ここで組織は、NVIDIAとSysdigを組み合わせることで、イノベーションを本番運用に耐えうるソリューションへと変えられます。NVIDIAはAIソフトウェア開発ライフサイクルに対するネイティブな制御を提供し、Sysdigは、NVIDIA AI環境のランタイム境界をセキュアにし、問題の発生を防ぎ、脅威が起きたその瞬間に止めるために必要な、リアルタイムの可視性とコンテキストをチームに提供します。
基盤要件としてのセキュリティ
NVIDIAは、エンドツーエンドのセキュリティに対して強力なアプローチを取っています。NVIDIAのCEO兼創業者であるJensen Huangは次のように述べています。
"Security must be built into every layer, from silicon to software, to protect data, applications, and infrastructure."(セキュリティは、データ、アプリケーション、インフラを守るために、シリコンからソフトウェアまであらゆるレイヤーに組み込まれなければならない。)
NemoClawは、ガードレールと、OpenClawを備えたエージェントサンドボックスを追加することで、この姿勢を明確に体現しています。「セキュリティを最初から組み込む」というこの哲学は、より広範なNVIDIAスタック全体にも及びます。署名付きモデルと監査済みの依存関係を備えた堅牢化済みイメージを提供するNIMのようなリソースや、これらのガードレールを含むNeMoフレームワークが、ランタイムおよびコントロールプレーン層を横断してこのビジョンを強化しています。
次のステップは、既存のクラウドインフラ全体に統合されたランタイムの可視性とセキュリティ制御によって、この基盤をさらに拡張することです。
NVIDIAのLLMおよびエージェント型スタック
AIシステムはクラウドネイティブのアーキテクチャー上に構築されています。スピードとスケールという同じ恩恵を受ける一方で、同じセキュリティ課題も継承します。モデル、エージェント、コンテナ、クラウドサービスを活用することで、AIインフラは複雑になり、その攻撃対象領域はアイデンティティ、ワークロード、データへと広がります。
AIインフラを守るには、多層的なセキュリティ対策が必要です。
このクラウドの実態を描くために、今日のAI活用企業の環境でよく見られる2つのユースケースを考えてみましょう。
上の図では、左側のバーチャル小売販売アシスタントが、本番環境でNemotron LLMをNIMおよびNeMoと組み合わせて使用しています。右側はNemoClawで構築されたIT運用向けのマルチエージェントシステムで、API経由でNVIDIA Cloudのモデルを利用しています。
セキュリティの観点では、NVIDIAのベースライン対策には、プロンプトレベルでの保護を行うNVIDIA NeMo Guardrails(左)と、エージェントプロセスをサンドボックス化するOpenShell(右)が含まれます。いずれの対策も重要ですが、どちらか単独で包括的なものとは言えません。
LLMガードレールは敵対的機械学習のような回避手法に対して脆弱であり、プロンプトインジェクションやジェイルブレイクが報告されています。
OpenShellは妥当な分離のベースラインを提供しますが、標準的なランタイムで観測されてきたコンテナエスケープのリスク(例:runcのCVE-2019-5736)を継承します。サンドボックスはエージェントのプロセスを分離しますが、外部リソース、データ、サービスへのアクセスは制御しないため、追加のポリシー層で統制する必要があります。さらに、ランタイムにおけるカバレッジのギャップも存在します。
SysdigとNVIDIA:組み合わせることで、より強固な防御を
上記の改訂版の図では、Sysdigを追加することで、企業グレードのAIソリューションに対するセキュリティ構成がどのように完成するかを示しています。具体的には次の通りです。
入出力の制御
NVIDIAは、プロンプト入力を制御し、その不確実性を管理するためにNeMo GuardRailsを提供します。NVIDIAの生成AI向けレッドチーム評価ツールキットであるGarakは、プロンプトの脆弱性とガードレールのギャップを評価します。Garakを適切なプローブと組み合わせ、さらにSysdigと組み合わせると、コンピューティング層のエクスプロイトを明らかにするのに役立ちます。
サプライチェーンの強化
敵対的AIはすでに攻撃者側に有利な状況を作り出しつつあり、サプライチェーン攻撃を加速させています。
Sysdigは、パイプラインとランタイム環境を継続的にスキャンし、脆弱性を検知して修正します。
リスクとエージェントの境界の管理
OpenShellはランタイムのサンドボックスを提供します。Sysdigは設定を強制してエージェントのプロセスのエスケープとラテラルムーブメントを防ぐと同時に、多層的で深いリスクインサイトを提供します。
ランタイム境界の監視
Sysdigはリソース、サービス、アイデンティティを横断したリアルタイムの可視性を提供し、異常なアクセスや悪意ある挙動を検知することで、人手による対応または自動化を通じて脅威を素早く封じ込めます。
データを守る
Sysdigは機微なデータを監視し、リッチなコンテキストを付加することで、攻撃が及ぶ潜在的なブラストラディウス(影響範囲)の縮小に貢献します。
Sysdigは現実の脅威に対して有効性が実証されています
AIに対するリスクは現実のものです。最近のインシデントは、AIインフラがすでに、露出したAPI、脆弱なコンテナ、侵害された依存関係といったお馴染みの経路で標的になっていることを示しています。モデルを配信するエンドポイントやエージェントフレームワークは、攻撃対象領域をさらに広げます。
ランタイムレベルでは、コンテナエスケープや認可されていないネットワークアクセスといったリスクが依然として重要であり、コンポーネントが動的に外部システムとやり取りするマルチエージェント環境ではとくに当てはまります。
Sysdigは、ポスチャー、リスク、そして実際のランタイム挙動に焦点を当てることでこの現実に対処します。すなわち、異常なプロセス、想定外のアウトバウンド接続、権限の悪用を検知します。これにより、チームは理論上の攻撃だけでなく、実際に進行している攻撃を特定し、止められるようになります。
SysdigでAIイノベーションをセキュアに、かつ加速する方法をご覧になりたい方は、デモをリクエストしてください。
*本記事執筆時点で、NVIDIA NemoClawはまだアルファ版でした。
SysdigとNVIDIA関連技術の詳細
ブログ記事:Oracle Kubernetes EngineにおけるGPUアクセラレーテッドAIワークロードのセキュリティ確保
ホワイトペーパー:OKE上のGPUアクセラレーテッドAIアプリケーションに対する運用上のセキュリティ
Sysdig 2026 クラウドネイティブ・セキュリティおよび利用状況レポート