あらゆる開発者がTEEを扱える環境を目指して──R&Dエンジニア対談
Acompanyが2025年2月に公開した「AI CleanRoom」は、「TEE(Trusted Execution Environment)」と呼ばれるセキュリティ技術を用いることで、安全にAI分析が可能な隔離環境を提供するサービスです。
その中核を担うのが、R&Dチームの櫻井 碧さんと百瀬 孝紀さん。二人ともTEE研究のエキスパートであり、百瀬さんは2024年に論文がACM CCS 2024に採択されたばかりです。
長らくニッチな領域だったTEEが、急速なAIの普及によりセキュリティのトレンドになろうとしています。そんな時代の節目において、AccompanyのR&Dチームはどのような技術開発を行なっているのか。現在開発中のプロダクトと、スペシャリストが思うAcompanyの特色について話を聞きました。(聞き手:Acompany HR 佐藤)
話者紹介:櫻井 碧 (さくらい あお)
Acompany研究開発(R&D)チーム所属。大学院における研究及び2019年度IPA未踏事業において、TEEの一つであるインテル® SGXを取り扱った研究・プロジェクトに着手し、2019年度未踏スーパークリエータ認定を取得。2023年8月には『セキュリティ・キャンプ全国大会』2023および2024の講師として、TEEに関するゼミを担当。他、SCIS2024での学会発表、SecHack2024 ゲスト講演等。
話者紹介:百瀬 孝紀 (ももせ あつき)
Acompany研究開発(R&D)チーム所属。Acompany入社以前はUniversity of Illinois Urbana-ChampaignにてPhD研究および客員研究員を経験。分散コンピューティング領域でTsujii Shigeo Security Paper Award(2022)およびIllinois Distinguished Fellowshipを受賞。他、ACM CCS 2024 プログラム委員など。 独立研究者としてブロックチェーン上のMPC技術の開発も行っており、Ethereum Foundationからの助成を受け、非同期MPCに関する研究を継続している。
「あらゆる開発者がTEEを簡単に扱える環境」の提供を目指して
――今回はR&Dチームのお二人に、現在取り組んでいる内容や、お二人についてインタビューをします。まず、AcompanyのR&Dチームでは、主にどのような技術を研究開発しているのですか。
櫻井:
もっぱら「Intel SGX」をはじめとしたTEE(Trusted Execution Environment)という秘密計算の技術を扱っています。Acompanyの製品のコア部分をずっと作り続けているイメージですね。 後で詳しく説明しますが、結論から言うと現在はこのTEEをプラットフォームとして提供するプロジェクトに取り組んでいます。
百瀬:
TEEについてざっくり説明すると「メモリ内部に隔離された実行環境を実現する仕組み」ですね。保存や通信だけじゃなくて、メモリ上で処理されている間もちゃんとデータを守ろうという。 現在は、AIセキュリティの文脈でTEEがちょっとしたトレンドみたいになっていて、NVIDIAがTEE搭載のGPUを開発して、それをAzureなどのクラウドベンダーが導入し始めていたり、少しずつ普及が始まっている段階です。
――「AIセキュリティの文脈」とは具体的にどういうことでしょうか。
百瀬:
ChatGPTなどのLLMを導入して社内利用する企業が増えてきましたが、いくら情シスが「センシティブな情報は入力しないでください」と伝えたところで、誰かしら未公開情報とか顧客情報をLLMに突っ込んでしまう社員がいるわけです。機密情報の漏洩に繋がるリスクが生まれてしまう。 実際のところ、LLMは情報がたくさんあって初めて力を発揮できるので、入力する情報を制限するよりも、セキュリティを高めて入力できる情報の幅を広げる方が、LLMの性能は当然向上します。
あとはプロダクトへの導入ですね。たとえば機密情報を扱うSaaSにAI分析機能を実装する場合とか、スケーリングのためにTEEを扱わざるを得ない状況が様々な分野で増えていくと思います。
――Acompanyで現在進行中のプロジェクトはどのような課題を解決するものなのでしょうか。
櫻井:
まずTEEって馬鹿みたいに使いにくいんですよ。
第一にハードウェア特有の制約がある。 TEEではセキュリティの観点から意図的に制約を設けており、標準的なOS機能を利用できない。そのため、既存のプログラムをそのまま動かせず、専用に書き直す必要があります。 「412行のコードを隔離領域で動かすために書き変えたら3523行になった」という論文もあるくらいで。 またTEEはさまざまなメーカーが独自に開発していて、それぞれのハードウェア特有の制約があります。個々のハードウェアの制約や仕組みを理解して開発する必要があるため、ハードルが高いです。
第二に暗号技術の理解と適切なプロトコルの実装が必要になる。TEEでは、正しくプログラムが動いていることを保証するためのいわゆるアテステーションという仕組みを特殊な暗号技術を用いて開発する必要があり、ハードルが高い。 百瀬さんが言ったように、様々な企業で秘密計算の技術を扱う必要が生じてきたのですが、普通は社内にTEEを扱える人間なんて誰もいないわけです。
百瀬:
ですから我々の構想としては、あらゆる開発者がTEEを簡単に扱えるようなプラットフォームを提供することで、すでに顕在化しつつあるボトルネックを解消する。ひいては機密計算を用いたアプリケーションの市場そのものを拡大していくことを目指しています。
「8年で古参」TEEの社会実装はまだまだこれから
――具体的にはどのようなプロダクトを開発しているのでしょうか。
百瀬:
ひとつはFaaS(Function as a Service)のようなサービスです。簡単に言えば「アプリケーション開発者はほとんどこれまでと同じ実行ロジックだけをクラウドに送れば、他の技術的な詳細は一切考えずに開発できる」というシステムをIntel SGXなどの環境上で実現して利便性を高めます。
もうひとつが「AI CleanRoom」と呼んでいるサービスです。NVIDIAのTEE搭載GPUを活用することで、機密性の高いデータも安全に分析できる隔離されたクラウド環境を提供しようという、まさに先ほどお話したAIセキュリティを達成するものになります。
「FaaSサービス」と「AI CleanRoom」の融合も進めていて、アプリケーションの開発から実行までを一気通貫で行えるような状態をゴールに据えています。
――現段階で開発者が苦労している低レイヤーの部分を解消したような、これまでのクラウドインフラの構築のようなものに取り組んでいるイメージでしょうか。
櫻井:
ああ、まさにそうです。オンプレミス以外の手段でもサーバーを利用できるようになって、今はもう内部構造まで理解してプログラミングしている人の方が少ないくらいですよね。 このインパクトを我々はTEEで起こそうとしています。 低レイヤーの知識がなくても「俺、プログラミングできるよ」と言える時代になったように、誰でも当たり前に「TEEなんて簡単っすわ」と言える時代になってほしい。いやまあ、実際に面と向かって言われたらムカつくかもしれませんけど(笑)。
――それがAcompanyのR&Dチームの面白さ?
百瀬:
そうですね。もちろん、Intel SGXというクールな技術をつくってくれた先人がいて成り立つビジネスではあるのですが、それを社会に普及させていく面白さ、抽象化レイヤーを担うやりがいは確実にあります。
櫻井:
あとは、まだ生まれて間もない技術なので、業界歴があまり関係ない、むしろ若くて体力のある人が有利とも言える分野だと思います。
――二人ともまだ二十代ですよね。
櫻井:
はい。二十代ですね。かなりギリギリですが。
百瀬:
やはり研究開発って、その分野にどれだけ長く身を置いてきたか、バックグラウンドの有無によるアドバンテージがけっこう大きいと思うんです。 だけどIntel SGXが登場したのは2015年ですから、比較的みんな同じ目線で研究ができている。
櫻井:
私はTEEの研究者としてはかなり古参ですけど、それでも8年目です。研究者の場合、8年で古参を名乗れることってなかなか珍しいので。今から走り始めても先頭に躍り出られる分野じゃないでしょうか。 ただ、そのことに気付くのが日本は遅すぎましたけどね。TEEの分野で日本は世界から5年遅れていると思っていて、私はすごく悔しいんですけど。百瀬さんいかがですか?
百瀬:
なんか急に振られましたが(笑)、いやまあ、しかしAcompanyはその5年遅れている場所に居るわけではなくて、最新の動向をちゃんと追ってきた人が集まっているので、海外と張り合っていけるんじゃないかと期待しています。
Acompanyには「互いの専門性を全力でぶつけられる心地よさ」がある
――今の水準で研究開発できている背景として、櫻井さんと百瀬さんの連携が上手くいっていることがあるのではないでしょうか。
百瀬:
それはありますね。 先ほど少しお話したように、TEEでアプリを開発する際は、ハードウェアの制約を理解した上で、それに合わせた暗号システムを設計・実装する必要があるんです。 その点で、櫻井さんはハードウェアセキュリティのスペシャリストで、自分は暗号技術を専門にしてきました。互いの得意分野が異なるので、うまく補い合いながら仕事ができるというか。
――百瀬さんから見て櫻井さんはどんな人ですか。
百瀬:
櫻井さんのことは入社前から一方的に認知していたのですが、なんというか、想像通りの人でしたね。「ああ、この人は本当にSGXが大好きで、本当にSGXが大嫌いなんだなあ」と(笑)。
櫻井:
学生の頃から、かれこれ8年分の愛憎が積もってますからね。
百瀬:
やはり、開発者としてTEEを扱うとなると、基盤に関する非常にディープな知識が必要になります。櫻井さんはIntel SGXがどうやって動いているかとか、どういう機能があるかとか、低レイヤーから詳細に理解しているので、そこは「櫻井さんに聞けば何とかなるだろう」みたいな安心感があります。 あるセキュリティ課題を解決するためのソリューションを僕が考えている時に、どうしてもハードウェア側に求められるリクワイアメントが出てきたんです。それを櫻井さんに相談したら「要件を満たす機能はこれです」と瞬時にリストアップしてくれて。その機能がまさにConfidential FaaSで活用されています。
――逆に櫻井さんから見た百瀬さんはいかがですか。
櫻井:
すごいですよ。もともと百瀬さんはメインでTEEを触っていた人ではないので、その状態からIntel SGXの深淵をいきなり触るって正直かなり大変なはずなんです。普通は段階的にキャッチアップする内容です。百瀬さんは表に出しませんけど、大変じゃないわけがないので。 一言でいうと「これ俺いるかな?」ってレベルです。ものすごいパワーで何でも進めてくれます。 あと、百瀬さんがすごいのは、技術研究だけじゃなくて、その先にあるプロダクトの設計まで考えられるところですね。「SGXってこんなに使いやすくできるんだ。すげえな」と。感動します。
――ちなみにプロダクト開発チームとはどのように連携を取っているのでしょうか。今の話だとR&Dチーム側でプロダクトの構想を考えている?
百瀬:
まず前提として、やはりプロダクト開発と研究開発ではフォーカスしているものが異なるため、お客様の手元に届くものをR&Dチームだけでつくるのは難しい。餅は餅屋といいますか、プロダクトの開発はその道のプロフェッショナルに主導してもらうべきだと考えています。 ですから役割分担としては、基本的にTEEを理解していないと開発できないコア部分をR&Dチームが担当し、TEE以外の部分をプロダクトチームが開発しています。 「プロダクトの構想をどちらが考えているか」に関してはグラデーションですね。「TEEをどうやって使いやすくするか」という技術的なアプローチで我々の方から提案することもありますし、「世の中の開発者ツールは今こうなっている」というプロダクト開発の視点で完成形から考えることもあります。そこはコミュニケーションを取りながら柔軟にやり取りしています。
――ありがとうございます。最後に、どのような人と一緒に働きたいか聞かせてください。
百瀬:
僕自身がそうなんですけど、研究から生まれる新しい技術が、それがちゃんと世の中に役に立つとか、産業界で使われるものになるっていうところに興味がある人は向いていると思います。 まさにAcompanyはその只中にいるというか。TEEという新規性のある技術が、AIの興隆で社会から求められて、これから一気に使われるようになっていく。その面白さを肌で感じられる会社であることは間違いないです。
櫻井:
結局のところ、Acompanyのカルチャーに馴染める人という話になるかもしれません。 特に大きいのは一緒に働いている相手へのリスペクトを持てるかどうかだと思っていて。互いにリスペクトがあるからこそ、100%全力で議論してもギクシャクしない関係をつくれるのかなと。
百瀬:
それでいうと遠からずの領域に携わってさえいれば、話してみて気が合う人がいいですね。
櫻井:
あとはまあ、孤独にTEEをやってる人ですかね。(笑) 個人なのか、ラボなのか、会社の一角なのか分かりませんが、誰にも頼れず一人で黙々とTEEを触っている人。ぜひうちに来てください。一緒にやりましょう。
――櫻井さん、百瀬さん、ありがとうございました!
Acompanyでは共に働くR&Dの仲間を募集しています!
Acompanyでは、「すべてのビジネスを、プライバシーリスクから解放する」ことをミッションに掲げ、企業が直面する新たなデータ利活用ビジネスの課題を解決するため、攻めと守りを両立したプライバシーDXを実現するパーソナルデータ利活用クラウド『AutoPrivacy』と、プライバシーDXコンサルティングサービスを提供しています。
特に以下の職種を募集しております▼