概要AIの普及が公共の信頼を上回る中、ORGNのアフマド・シャディドは、機密コンピューティングと検証可能な実行が、プライバシーポリシーだけでは提供できない暗号的証明を可能にすると主張している。AIシステムは、コードの作成、顧客データの取り扱い、金融や医療など規制の厳しい分野での意思決定支援など、敏感なワークフローに急速に進出している。この統合の速度は、業界が十分に対処できていない構造的な問題を生み出している。その課題は信頼だ。メルボルン大学とKPMGの共同調査によると、47か国で48,000人以上を対象に行われた調査で、回答者の66%が定期的にAIを使用している一方で、AIシステムを信頼できると答えたのはわずか46%に過ぎないことが判明した。利用と信頼は逆方向に動いており、そのギャップは拡大している。この信頼不足の中でも特に深刻なのは、データプライバシーの側面だ。スタンフォードの2025 AI Indexによると、AI企業が個人データを保護しているとの世界的な信頼は2023年の50%から2024年の47%に低下し、また、AIシステムが偏りなく差別のないものであると信じる人も前年より少なくなっている。この低下は、AIが日常生活や職場に深く浸透する中で起きており、誤った信頼のリスクは格段に高まっている。ORGNのCEOアフマド・シャディドは、世界初の機密開発環境を提供しているが、次のAIの段階は信頼に基づくものではなく証明に基づくと主張している。機密コンピューティングと検証可能な実行により、データの処理方法を単に約束するのではなく、正確に示すことが可能になっている。MPostとの対談で、彼はこれらの技術が従来のセキュリティ対策では解決できなかったプライバシーと信頼のギャップにどのように対処しているのか、また、それらが主流になるために必要な条件について説明した。## 現在のAI企業のデータ保護方法とその限界多くのAI企業は、暗号化、アクセス制御、ガバナンス方針の組み合わせに依存して敏感なデータを保護している。データは保存時と通信時に既存のアルゴリズムを用いて暗号化され、役割ベースのアクセス制御、ログ記録、異常検知により誰がどの条件でシステムとやり取りできるかを管理している。これらの対策は業界の標準であり、多くの用途には十分である。しかし、問題は特定の、そしてあまり注目されていない瞬間に生じる。モデルの訓練や推論のためにメモリ内でデータが復号されるときだ。その瞬間、露出の窓が開く。機密コンピューティングはこれに直接対処し、データを処理中に暗号化したままにし、ハードウェア内で処理を行うことで、インフラの運用者さえ内部の状況を見られないようにしている。シャディドは、標準的なセキュリティアプローチが完全には解決できていない構造的な脆弱性を指摘している。顧客が直接管理していないサーバー(パブリッククラウドやサードパーティのAIプラットフォームなど)でデータが復号されると、顧客は実際に何が起きているかを技術的に検証できない。実質的には、ベンダーの言葉に頼るしかない。この懸念はエンドユーザーに限定されない。規制のある環境では、CISOやコンプライアンス監査官、規制当局も同じ問題に直面している。彼らは通常、ISO 27001証明書やSOC 2レポート、ポリシー文書に頼るが、シャディドによれば、これらは意図を証明するものであって、実際にデータがどのように扱われているかを証明するものではない。証明付きの機密コンピューティングは、特定のモデルバージョンが承認された信頼できる実行環境内で動作したことを示す耐改ざん性のある暗号証拠を提供し、その証明により、意図ではなく技術的な事実に基づく保証に変わる。この変化を後押しする規制の動きも既に見えている。IDCの2025年7月の機密コンピューティング調査によると、EUのデジタル運用レジリエンス法(DORA)の導入により、77%の組織が機密コンピューティングを検討し始め、75%はすでに何らかの形で採用している。主な利点は、データの完全性向上、秘密保持の証明、規制遵守の強化だ。## 検証可能な実行の実際の意味非技術者向けにシャディドは、検証可能な実行を「AIシステムがデータを処理した後に暗号的なレシートを受け取ること」と説明している。そのレシートは、数学的に検証可能な方法で、AIが真正の認証済みハードウェア上で動作し、期待されるバージョンのソフトウェアだけを実行し、何も追加していないこと、そして環境が適切に保護されていたことを示す。これにより、プロセスの完全性は提供者の保証を信頼するのではなく、証拠を検証することに基づく。技術的には、これらは三つの相互に関連した仕組みを通じて実現される。信頼できる実行環境(TEE)は、プロセッサが封印されたエンクレーブを作り出し、メモリと実行をシリコンレベルで隔離する。これにより、OSやハイパーバイザー、クラウド運用者さえ内部の状況を読み取れなくなる。リモートアテステーションは、外部の第三者が真正のTEEが承認されたソフトウェアスタックを動作させていることを検証できる仕組みだ。最後に、検証可能な出力は、結果にアテステーションにリンクした証明書を付与できるシステムもあり、これにより受け取った側は、その結果が期待されたアプリケーションからのものであり、途中で改ざんされていないことを確認できる。シャディドは、機密コンピューティングの利点はAIの価値連鎖全体に及ぶと主張している。AI開発者は、敏感または規制対象のデータセットを共有クラウド環境で訓練・実行しながら、生データをプラットフォーム運用者に露出させずに済む。企業にとっては、個人データがAI処理中に保護されていることを証明できるため、法的・評判的リスクを低減できる。これにより、GDPRクラスのプライバシー要件や特定分野の規制を満たすことが可能になる。また、各当事者が証明された環境内だけでデータを処理していることを検証できるため、組織間のデータ連携の障壁も取り除かれる。エンドユーザーにとってのメリットは、自分の個人データが運用者や内部者、他のクラウド利用者にアクセスされることなく、AIシステムが稼働している間も安全に保たれるという、より確かな保証だ。さらに、パーソナライズされた医療アドバイスや詳細な金融助言など、従来はクラウドインフラでは提供が難しかった高付加価値サービスも実現可能になる。シャディドは、自身のソフトウェアエンジニアとしての経験を踏まえ、あまり語られないリスクの一つを例示している。開発者はしばしば、独自のコードや設定ファイル、APIキー、トークンをAIコーディングツールに貼り付けるが、そのデータの保存や使用方法について十分な見識を持たないことが多い。業界のスピード感がこれらのツールの回避を難しくしている。彼は、こうした緊張関係—迅速に動きながらもIPの露出に敏感であること—が、彼がORGNを構築したきっかけだと述べている。## なぜ主流採用がまだ進まないのか75%の企業が何らかの形で採用しているにもかかわらず、IDCの調査では、実運用環境に機密コンピューティングを導入している組織はわずか18%にとどまる。シャディドは、主な障壁を三つ挙げている。アテステーション検証の複雑さ、技術をニッチとみなす認識の根強さ、そして関連スキルを持つエンジニアの不足だ。彼は、アテステーションの検証は見た目以上に複雑だと説明する。証拠はバイナリ構造やJSONオブジェクトとして提供され、測定値や証明書、付随資料を解析し、ベンダーのルートと照合し、新鮮さや失効を検証しなければならない。開発者は次に、何を信頼すべきか—ファームウェアのバージョンやイメージハッシュ、アプリケーションの測定値—を判断し、そのロジックを自分の制御プレーンや鍵管理システムに組み込む必要がある。AWSやAzure、Oracleなどの主要クラウドは、標準的なインフラとほぼ同じコストで機密コンピューティングを提供しているが、障壁はアクセスや価格ではなく、アテステーションを正しく運用するためのエンジニアリングの深さにある。シャディドは、より広範な採用には三つの力が必要だと考えている。第一に、アテステーション検証を標準化やオープンソースツールによって、個々の開発チームの負担を軽減し、よりアクセスしやすくすること。第二に、規制の圧力がDORAのように採用を促進し続けること。第三に、AIシステム内で何が起きているのかについての一般の認識を高めることだ。多くの人は、消費者向けAIツールにプロンプトを送信したときに何が起きているのかを明確に理解していない。そうした露出に対する認識を高めることは、開発者や一般ユーザーの間で社会的な圧力を生み出し、技術的議論以上の加速をもたらすだろう。将来的には、機密コンピューティングと検証可能な実行が標準インフラとなれば、AIサービスの設計、販売、運用の方法も大きく変わるとシャディドは予測している。顧客は、ポリシーの保証ではなく、データの取り扱いに関する暗号的証拠を受け取り、企業は規制当局や取締役会に対して、より具体的なコンプライアンスの証明を行えるようになる。シャディドが例えるのは、ストレージやネットワークの暗号化で、短期間で任意のセキュリティ対策から普遍的な標準へと移行したことだ。彼は、機密実行の方向性も同じだと主張し、それが実現すれば、すべての推論や微調整、データの受け渡しに暗号的証明が付与され、パイプラインの完全性が制度的な信頼ではなく検証可能な事実となるだろう。
機密コンピューティングは、AIがすでに失った信頼を取り戻す方法であり、なぜそれが新たな標準となる必要があるのかを示している
概要
AIの普及が公共の信頼を上回る中、ORGNのアフマド・シャディドは、機密コンピューティングと検証可能な実行が、プライバシーポリシーだけでは提供できない暗号的証明を可能にすると主張している。
AIシステムは、コードの作成、顧客データの取り扱い、金融や医療など規制の厳しい分野での意思決定支援など、敏感なワークフローに急速に進出している。この統合の速度は、業界が十分に対処できていない構造的な問題を生み出している。
その課題は信頼だ。メルボルン大学とKPMGの共同調査によると、47か国で48,000人以上を対象に行われた調査で、回答者の66%が定期的にAIを使用している一方で、AIシステムを信頼できると答えたのはわずか46%に過ぎないことが判明した。利用と信頼は逆方向に動いており、そのギャップは拡大している。
この信頼不足の中でも特に深刻なのは、データプライバシーの側面だ。スタンフォードの2025 AI Indexによると、AI企業が個人データを保護しているとの世界的な信頼は2023年の50%から2024年の47%に低下し、また、AIシステムが偏りなく差別のないものであると信じる人も前年より少なくなっている。この低下は、AIが日常生活や職場に深く浸透する中で起きており、誤った信頼のリスクは格段に高まっている。
ORGNのCEOアフマド・シャディドは、世界初の機密開発環境を提供しているが、次のAIの段階は信頼に基づくものではなく証明に基づくと主張している。機密コンピューティングと検証可能な実行により、データの処理方法を単に約束するのではなく、正確に示すことが可能になっている。
MPostとの対談で、彼はこれらの技術が従来のセキュリティ対策では解決できなかったプライバシーと信頼のギャップにどのように対処しているのか、また、それらが主流になるために必要な条件について説明した。
現在のAI企業のデータ保護方法とその限界
多くのAI企業は、暗号化、アクセス制御、ガバナンス方針の組み合わせに依存して敏感なデータを保護している。データは保存時と通信時に既存のアルゴリズムを用いて暗号化され、役割ベースのアクセス制御、ログ記録、異常検知により誰がどの条件でシステムとやり取りできるかを管理している。これらの対策は業界の標準であり、多くの用途には十分である。
しかし、問題は特定の、そしてあまり注目されていない瞬間に生じる。モデルの訓練や推論のためにメモリ内でデータが復号されるときだ。その瞬間、露出の窓が開く。機密コンピューティングはこれに直接対処し、データを処理中に暗号化したままにし、ハードウェア内で処理を行うことで、インフラの運用者さえ内部の状況を見られないようにしている。
シャディドは、標準的なセキュリティアプローチが完全には解決できていない構造的な脆弱性を指摘している。顧客が直接管理していないサーバー(パブリッククラウドやサードパーティのAIプラットフォームなど)でデータが復号されると、顧客は実際に何が起きているかを技術的に検証できない。実質的には、ベンダーの言葉に頼るしかない。
この懸念はエンドユーザーに限定されない。規制のある環境では、CISOやコンプライアンス監査官、規制当局も同じ問題に直面している。彼らは通常、ISO 27001証明書やSOC 2レポート、ポリシー文書に頼るが、シャディドによれば、これらは意図を証明するものであって、実際にデータがどのように扱われているかを証明するものではない。証明付きの機密コンピューティングは、特定のモデルバージョンが承認された信頼できる実行環境内で動作したことを示す耐改ざん性のある暗号証拠を提供し、その証明により、意図ではなく技術的な事実に基づく保証に変わる。
この変化を後押しする規制の動きも既に見えている。IDCの2025年7月の機密コンピューティング調査によると、EUのデジタル運用レジリエンス法(DORA)の導入により、77%の組織が機密コンピューティングを検討し始め、75%はすでに何らかの形で採用している。主な利点は、データの完全性向上、秘密保持の証明、規制遵守の強化だ。
検証可能な実行の実際の意味
非技術者向けにシャディドは、検証可能な実行を「AIシステムがデータを処理した後に暗号的なレシートを受け取ること」と説明している。そのレシートは、数学的に検証可能な方法で、AIが真正の認証済みハードウェア上で動作し、期待されるバージョンのソフトウェアだけを実行し、何も追加していないこと、そして環境が適切に保護されていたことを示す。これにより、プロセスの完全性は提供者の保証を信頼するのではなく、証拠を検証することに基づく。
技術的には、これらは三つの相互に関連した仕組みを通じて実現される。信頼できる実行環境(TEE)は、プロセッサが封印されたエンクレーブを作り出し、メモリと実行をシリコンレベルで隔離する。これにより、OSやハイパーバイザー、クラウド運用者さえ内部の状況を読み取れなくなる。リモートアテステーションは、外部の第三者が真正のTEEが承認されたソフトウェアスタックを動作させていることを検証できる仕組みだ。最後に、検証可能な出力は、結果にアテステーションにリンクした証明書を付与できるシステムもあり、これにより受け取った側は、その結果が期待されたアプリケーションからのものであり、途中で改ざんされていないことを確認できる。
シャディドは、機密コンピューティングの利点はAIの価値連鎖全体に及ぶと主張している。AI開発者は、敏感または規制対象のデータセットを共有クラウド環境で訓練・実行しながら、生データをプラットフォーム運用者に露出させずに済む。企業にとっては、個人データがAI処理中に保護されていることを証明できるため、法的・評判的リスクを低減できる。これにより、GDPRクラスのプライバシー要件や特定分野の規制を満たすことが可能になる。また、各当事者が証明された環境内だけでデータを処理していることを検証できるため、組織間のデータ連携の障壁も取り除かれる。
エンドユーザーにとってのメリットは、自分の個人データが運用者や内部者、他のクラウド利用者にアクセスされることなく、AIシステムが稼働している間も安全に保たれるという、より確かな保証だ。さらに、パーソナライズされた医療アドバイスや詳細な金融助言など、従来はクラウドインフラでは提供が難しかった高付加価値サービスも実現可能になる。
シャディドは、自身のソフトウェアエンジニアとしての経験を踏まえ、あまり語られないリスクの一つを例示している。開発者はしばしば、独自のコードや設定ファイル、APIキー、トークンをAIコーディングツールに貼り付けるが、そのデータの保存や使用方法について十分な見識を持たないことが多い。業界のスピード感がこれらのツールの回避を難しくしている。彼は、こうした緊張関係—迅速に動きながらもIPの露出に敏感であること—が、彼がORGNを構築したきっかけだと述べている。
なぜ主流採用がまだ進まないのか
75%の企業が何らかの形で採用しているにもかかわらず、IDCの調査では、実運用環境に機密コンピューティングを導入している組織はわずか18%にとどまる。シャディドは、主な障壁を三つ挙げている。アテステーション検証の複雑さ、技術をニッチとみなす認識の根強さ、そして関連スキルを持つエンジニアの不足だ。
彼は、アテステーションの検証は見た目以上に複雑だと説明する。証拠はバイナリ構造やJSONオブジェクトとして提供され、測定値や証明書、付随資料を解析し、ベンダーのルートと照合し、新鮮さや失効を検証しなければならない。開発者は次に、何を信頼すべきか—ファームウェアのバージョンやイメージハッシュ、アプリケーションの測定値—を判断し、そのロジックを自分の制御プレーンや鍵管理システムに組み込む必要がある。AWSやAzure、Oracleなどの主要クラウドは、標準的なインフラとほぼ同じコストで機密コンピューティングを提供しているが、障壁はアクセスや価格ではなく、アテステーションを正しく運用するためのエンジニアリングの深さにある。
シャディドは、より広範な採用には三つの力が必要だと考えている。第一に、アテステーション検証を標準化やオープンソースツールによって、個々の開発チームの負担を軽減し、よりアクセスしやすくすること。第二に、規制の圧力がDORAのように採用を促進し続けること。第三に、AIシステム内で何が起きているのかについての一般の認識を高めることだ。多くの人は、消費者向けAIツールにプロンプトを送信したときに何が起きているのかを明確に理解していない。そうした露出に対する認識を高めることは、開発者や一般ユーザーの間で社会的な圧力を生み出し、技術的議論以上の加速をもたらすだろう。
将来的には、機密コンピューティングと検証可能な実行が標準インフラとなれば、AIサービスの設計、販売、運用の方法も大きく変わるとシャディドは予測している。顧客は、ポリシーの保証ではなく、データの取り扱いに関する暗号的証拠を受け取り、企業は規制当局や取締役会に対して、より具体的なコンプライアンスの証明を行えるようになる。シャディドが例えるのは、ストレージやネットワークの暗号化で、短期間で任意のセキュリティ対策から普遍的な標準へと移行したことだ。彼は、機密実行の方向性も同じだと主張し、それが実現すれば、すべての推論や微調整、データの受け渡しに暗号的証明が付与され、パイプラインの完全性が制度的な信頼ではなく検証可能な事実となるだろう。