投稿者 global-ai-media 
セキュリティ分野のトップカンファレンスであるNDSS 2025にて、大規模言語モデル(LLM)の提供基盤における新たなプライバシーリスクが指摘されました。クラウド上で複数の顧客がリソースを共有する「マルチテナント環境」において、パフォーマンス最適化のために用いられる「KVキャッシュ共有」が悪用されると、他社の入力データ(プロンプト)が推測可能になるという研究です。本記事では、この攻撃手法の概要と、日本企業がクラウドLLMを利用する際に考慮すべきガバナンスへの示唆を解説します。
LLMの推論高速化とセキュリティのトレードオフ
生成AIのビジネス利用が急速に進む中、LLMを提供するベンダーやプラットフォーマーは、膨大な計算リソースを効率的に運用するために様々な最適化技術を導入しています。その一つが「KVキャッシュ(Key-Value Cache)」の活用です。
LLMがテキストを生成する際、過去の入力情報を再計算せずに済むよう、計算の途中結果をメモリに保持しておく仕組みがKVキャッシュです。特に、複数のユーザー(テナント)が同じ基盤モデルを利用するマルチテナント環境では、システムプロンプト(AIへの基本命令)や共通のコンテキスト部分のKVキャッシュを共有することで、メモリ消費を抑え、応答速度(レイテンシ)を向上させる手法が研究・実装されています。
しかし、NDSS 2025で発表された論文「I Know What You Asked: Prompt Leakage Via KV-Cache Sharing In Multi-tenant LLM Serving」は、この「効率化」のための共有メカニズムが、重大なセキュリティホールになり得ることを示唆しています。
サイドチャネル攻撃による情報の推測
この研究で指摘されているのは、いわゆる「サイドチャネル攻撃」の一種です。攻撃者は、共有されたインフラ上で意図的に特定のパターンを含むリクエストを送信し、その応答時間やシステムのスループットの微妙な変化を計測します。
KVキャッシュが共有されている場合、他のユーザーがすでに似たようなデータを処理していれば、キャッシュヒットにより処理が高速化されます。攻撃者はこの挙動の違いを分析することで、「他のテナント(他社)がどのようなプロンプトを入力したか」という機密情報を確率的に推測できてしまう可能性があります。
これは、モデルそのものの脆弱性ではなく、モデルを動かす「インフラ(サービングシステム)」の設計に起因する問題であるため、モデルの性能が高いか低いかに関わらず発生し得るリスクです。
国内企業におけるLLM活用への影響
日本国内でも、Azure OpenAI ServiceやAmazon Bedrock、あるいは国産のマネージドLLMサービスを利用して、社内データをRAG(検索拡張生成)で検索させたり、議事録要約を行ったりするケースが一般的になっています。これらのサービスの多くは、コスト効率を高めるためにバックエンドでリソースを共有するマルチテナント構成をとっています。
もちろん、主要なクラウドベンダーはテナント間のデータ分離を厳格に行っていますが、今回のような新しい攻撃手法(最適化機能の悪用)は、従来の境界防御や認証認可だけでは防ぎきれない「盲点」を突くものです。特に、金融、医療、製造業の設計データなど、極めて機密性の高い情報を扱う日本企業にとって、「他社とリソースが共有されている」という事実が持つ潜在的なリスクを再認識させる研究と言えます。
日本企業のAI活用への示唆
今回の研究結果は、クラウド型AIサービスの利用を直ちに停止すべきという意味ではありませんが、リスク許容度に応じたアーキテクチャ選定の重要性を浮き彫りにしています。
1. データの機密性に応じた環境の使い分け
すべての業務をパブリックなマルチテナントAPIで行うのではなく、データ区分(社外秘、極秘など)を定義し、最高機密の情報については、物理的または論理的に完全に分離された「シングルテナント環境」や「専用インスタンス(Provisioned Throughput等)」、あるいはオンプレミス(ローカル)環境でのLLM運用を検討する必要があります。コストとセキュリティのバランスを見極めることが重要です。
2. ベンダーへの確認事項とSLAの再考
AIサービスを選定する際、単に「GDPR対応」や「ISO取得」といった認証だけでなく、具体的な技術仕様についても関心を持つべきです。「推論時のキャッシュ共有が行われているか」「テナント間の分離はどのレイヤーで保証されているか」といった点を、セキュリティチェックシートやRFP(提案依頼書)に盛り込むことが、エンジニアや調達担当者に求められる新しいリテラシーとなります。
3. AIガバナンスにおける「可用性」と「機密性」の再評価
KVキャッシュ共有のような技術は、AIのレスポンス速度(ユーザビリティ)を向上させるために存在します。しかし、過度な最適化はセキュリティリスクを招くことがあります。日本企業のAI推進室やDX部門は、現場が求める「サクサク動くAI」と、経営層が求める「情報漏洩リスクゼロ」の間で、技術的な根拠に基づいたリスク評価と合意形成を行う必要があります。