投稿者 global-ai-media 
セキュリティベンダーのSentinelOneとCensysによる共同調査で、世界中で約17万5,000台もの「Ollama」サーバーがインターネット上に公開状態にあることが判明しました。多くの企業がデータプライバシー確保のために「ローカルLLM」の活用を進める中、この事実は皮肉にも新たなセキュリティリスク「シャドーAI」の実態を浮き彫りにしています。
利便性の裏に潜む構成ミスの連鎖
近年、ChatGPTなどの外部クラウドサービスへのデータ送信を避けるため、自社サーバーやローカル環境で大規模言語モデル(LLM)を動作させる動きが加速しています。その中心的なツールの一つが、オープンソースの「Ollama」です。Ollamaは、Llama 3やMistralといった高性能なモデルを、簡単なコマンド一つで手元のPCやサーバーで稼働させることができるため、エンジニアの間で爆発的に普及しています。
しかし、SentinelOneとCensysの調査によると、世界130カ国で約17万5,000台ものOllamaインスタンスが、適切な認証やファイアウォールなしにインターネットへ公開されていることが明らかになりました。これは、攻撃者がそのサーバーに対して勝手にプロンプトを送信したり、機密データを含むモデルを操作したり、あるいはサーバーのリソースを悪用(クリプトジャッキングなど)したりできる状態を意味します。
日本企業における「PoC(概念実証)疲れ」とセキュリティの死角
日本企業においても、生成AIの活用は「まずはPoCから」というアプローチが一般的です。現場のエンジニアやデータサイエンティストは、素早く検証環境を構築するためにクラウド上の仮想マシン(AWS EC2やGoogle Cloud Compute Engineなど)や、社内のGPUサーバーでOllamaのようなツールを利用します。
問題は、この検証環境が「一時的なもの」として扱われ、厳格なセキュリティポリシーが適用されないまま放置されるケースが多い点です。「とりあえず外部からアクセスできるようにポートを開放する」「認証設定は後回しにする」といった運用上の甘さが、今回の大量公開事例の背景にあると考えられます。これは、IT部門が関知しないところでAI活用が進む「シャドーAI」の典型的なリスクと言えます。
「閉域網信仰」のリスクと実務的な対策
多くの日本企業は「インターネットから遮断された閉域網なら安全」と考えがちですが、クラウド利用が前提となった現代のモダンな開発環境では、意図せずパブリックなエンドポイントが作成されることが珍しくありません。Dockerコンテナの設定ミスや、クラウドのセキュリティグループ(ファイアウォール)の設定ミス一つで、ローカルで動かしているつもりのLLMが全世界に公開されてしまいます。
特にOllamaのようなツールは、「開発者の使い勝手」を最優先に設計されており、デフォルト設定ではエンタープライズレベルのセキュリティ機能(詳細なロールベースアクセス制御など)がオフになっている、あるいはそもそも搭載されていない場合があります。これを理解せずに「導入すれば安全なローカルLLM環境ができる」と誤認することは危険です。
日本企業のAI活用への示唆
今回の事例は、AI技術そのものの欠陥ではなく、それを運用する「人」と「組織」のガバナンスの問題です。日本企業は以下の3点を再確認する必要があります。
1. AI資産の棚卸しと可視化(ASMの徹底)
社内のどのサーバーでAIモデルが稼働しているかをIT部門が把握できていないのが最大のリスクです。攻撃対象領域管理(ASM)の観点から、社内ネットワークおよび契約しているクラウド環境に対し、Ollamaのデフォルトポート(11434番など)が開放されていないか、スキャンを実施する体制が必要です。
2. 「ローカル=セキュア」という思い込みの排除
外部APIを使わないことがセキュリティ対策のゴールではありません。ローカルで運用する場合、OSのパッチ適用、適切な認証(リバースプロキシの導入など)、ネットワーク制限といった、古典的ですが確実なインフラセキュリティが自社の責任となります。開発者任せにせず、MLOps(機械学習基盤運用)の中にセキュリティ要件を組み込む必要があります。
3. 開発者の利便性を損なわないサンドボックスの提供
禁止事項を増やすだけでは、エンジニアは隠れてツールを使い始めます(シャドーITの加速)。企業として、認証基盤とVPN/ZTNA(ゼロトラストネットワークアクセス)経由で安全に利用できる「公認のLLMサンドボックス環境」を整備し、そこでの利用を推奨することが、結果としてガバナンス強化につながります。