AIモデルの推論処理では、入力データがGPUメモリ上で一時的に平文化される。保存時の暗号化(encryption at rest)や転送時の暗号化(encryption in transit)が標準化された現在でも、「処理中のデータ保護」は長らく未解決の課題であった。コンフィデンシャルコンピューティング(Confidential Computing)は、ハードウェアベースのTrusted Execution Environment(TEE)を用いてこの空白を埋める技術である。Gartnerは2029年までに、信頼されていないインフラ上で処理される操作の75%以上がコンフィデンシャルコンピューティングで保護されると予測しており、Linux Foundationの調査では既に600社超のIT責任者の75%が導入に着手している。

「処理中の暗号化」が求められる背景

企業のAI活用が本格化するにつれ、推論時のデータ漏洩リスクが深刻な課題として浮上している。IDCの推計では、2026年までにエンタープライズAIワークロードの70%以上が機密データを扱うとされる。医療機関の画像診断AI、金融機関の不正検知モデル、法律文書の要約生成──これらはいずれも、推論時にGPUメモリ上でデータが平文化される瞬間が存在する。

従来のセキュリティモデルでは、ストレージ暗号化とTLS通信で「保存時」と「転送時」は保護できたが、「使用中(in-use)」のデータは保護対象外であった。クラウド環境ではハイパーバイザーやホストOSの管理者が理論上メモリにアクセスでき、サイドチャネル攻撃やメモリスクレイピングのリスクも存在する。EU DORA(デジタルオペレーショナルレジリエンス法)の施行を受け、調査対象企業の77%がコンフィデンシャルコンピューティングの検討を加速させている。

GPU TEEの技術アーキテクチャ ── Hopper/Blackwellの革新

NVIDIAは2023年7月、H100(Hopper世代)でCUDA 12.2とともに業界初のGPU TEEを早期アクセスとして提供開始し、2024年にCUDA 12.4で一般提供に移行した。H100のコンフィデンシャルコンピューティングモードを有効化すると、ダイ上のハードウェア・ルートオブトラスト(RoT)を起点に、GPUメモリの暗号化、CPU-GPU間データ転送のAES-GCM暗号化(暗号化バウンスバッファ)、コマンドバッファとCUDAカーネルの署名・暗号化が実行される。

デバイス認証には、各H100に焼き込まれた固有のECC-384鍵ペアが使用される。NVIDIAリモートアテステーションサービス(NRAS)がGPUのアテステーションレポートを検証し、Intel Trust Authorityと連携することでCPU TEEとGPUの複合アテステーション(composite attestation)を単一のワークフローで実現する。

2024年3月のGTC 2024で発表されたBlackwellアーキテクチャ(B100/B200)は、業界初のTEE-I/O対応GPUとして、NVLink上のインライン暗号化を実装した。これにより、マルチGPU構成でもGPU間通信が端から端まで暗号化され、大規模モデルの分散推論でもセキュリティが維持される。パフォーマンスへの影響は非暗号化モードとほぼ同等と報告されている。

パフォーマンスオーバーヘッド ── 実測値が示す実用性

コンフィデンシャルコンピューティングの実用化において最大の懸念事項はパフォーマンスへの影響である。H100での実測ベンチマークによると、平均オーバーヘッドは7%未満、一般的なLLMクエリでは5%未満に収まる。特筆すべきは、モデルサイズが大きくなるほどオーバーヘッドが漸減する傾向である。Llama-3.1-8Bでは最大のオーバーヘッドが観測されたが、Llama-3.1-70Bではほぼゼロに近づき、GPU計算時間が支配的な場合には効率が99%に達する。

この特性は、パフォーマンスペナルティの主因がGPU内部の計算ではなく、PCIeバス経由のCPU-GPU間I/Oにあることに起因する。大規模モデルではGPU上での計算時間がI/O時間を圧倒するため、相対的なオーバーヘッドが無視できるレベルまで低下する。Blackwell世代では、Llamaクラスの大規模モデルで2%未満のオーバーヘッドが報告されており、TEE-I/Oのインライン保護がスループットをほぼ維持することが確認されている。

主要クラウドの実装パターンと導入戦略

Microsoft Azureは、AMD SEV-SNP(CPU TEE)とNVIDIA H100(GPU TEE)を統合したConfidential GPU VMを提供している。Azure OpenAI ServiceのWhisperモデルは、クラウド初のコンフィデンシャルAI推論サービスとして、音声認識の機密処理を実現した。Google Cloudは、Confidential GKEノードでH100 GPUをサポートし、既存のAI/MLワークロードをコード変更なしでコンフィデンシャル環境に移行できる点を差別化要素としている。GKE StandardとGKE Autopilotの両方で一般提供されている。

AWSは、Nitro Enclavesによるアイソレーションに加え、2025年のre:Inventで発表されたEC2インスタンスアテステーション機能により、GPUやAIアクセラレータインスタンスにもエンクレーブ相当の能力を拡張した。アテスタブルAMIとNitro TPMアテステーションドキュメント、AWS KMS統合により、コンフィデンシャル推論や連合学習、マルチパーティ計算が可能となる。

エンタープライズ導入においては、段階的なアプローチが推奨される。第一段階として、医療画像診断や金融取引分析など、規制要件が明確なワークロードから着手し、アテステーション基盤を構築する。第二段階で、コンフィデンシャル連合学習やマルチパーティ計算など、組織間データ協調のユースケースに拡張する。パフォーマンスオーバーヘッドが大規模モデルでは無視できるレベルであることを踏まえ、推論バッチサイズやモデルアーキテクチャの最適化を並行して進めることが重要である。

CPU TEEからGPU TEEへ ── 標準化と今後の展望

コンフィデンシャルコンピューティングの基盤技術は、AMD SEV-SNP、Intel TDX、Arm CCAの3つのCPU TEEに集約されつつある。いずれもインテルSGXのような小規模メモリエンクレーブから、VM全体を保護するVM-levelアイソレーションに進化しており、クラウドネイティブワークロードへの適用を容易にしている。Confidential Computing Consortium(CCC)は2019年の設立以来、Linux Foundation傘下でオープンソースプロジェクトのホスティングとIETF標準化活動の調整を行っている。

2023年1月に公開されたIETF RFC 9334(RATS: Remote ATtestation procedureS)は、リモートアテステーションの基盤アーキテクチャを定義し、CPU TEEとGPU TEEの複合アテステーションの標準化に道を開いた。2025年には「Remote Attestation with Exported Authenticators」の策定が進み、TLS/DTLSにアテステーションを統合するSEATワーキンググループも活動を開始している。

NVIDIAは2025〜2026年にかけて次世代Rubinプラットフォームのクラウドデプロイを開始し、コンフィデンシャルコンピューティングをコア機能として搭載する。2025年12月にはFortanix、HPE、NVIDIAの3社がBlackwell GPUを搭載したArmet AIプラットフォームを発表し、エンタープライズ向けのセキュアAIインフラの商用化が加速している。Gartnerが2026年の戦略的テクノロジートレンドにおいてコンフィデンシャルコンピューティングを「アーキテクト」技術トップ3に位置づけたことは、この技術がニッチなセキュリティ機能からインフラの基盤技術に昇格したことを示している。

FAQ

コンフィデンシャルコンピューティングと従来の暗号化の違いは何か?

従来の暗号化は保存時(at rest)と転送時(in transit)を保護するが、処理中はデータが平文化される。コンフィデンシャルコンピューティングはハードウェアTEEにより処理中(in use)のデータも保護する。

GPU TEEのパフォーマンスオーバーヘッドはどの程度か?

NVIDIA H100での実測値は平均7%未満で、大規模LLM(70Bパラメータ以上)ではほぼゼロに近づく。Blackwell世代では2%未満が報告されている。

どのクラウドプロバイダーがGPU TEEに対応しているか?

Microsoft Azure(Confidential GPU VM)、Google Cloud(Confidential GKE + H100)、AWSがNitro Enclaves+EC2インスタンスアテステーションで対応している。

Apple Private Cloud ComputeはTEEと何が異なるか?

Apple PCCはカスタムシリコンとステートレス設計によるアプローチで、従来のTEEのように処理中も暗号化を維持するのではなく、ハードウェア信頼性と透明性で保護を実現する。

導入に際して最初に取り組むべきワークロードは何か?

HIPAA・GDPRなど規制要件が明確な医療画像診断や金融取引分析から着手し、アテステーション基盤を構築した後に組織間データ協調に拡張するのが推奨される。

参考文献