マルチテナントな AIエージェントを作ってみた Amazon Bedrock AgentCoreについて発表するLT会！ #whi_linklight 2025/08/26 @kdnakt 

自己紹介 

自己紹介 名前：木谷明人 / KIDANI Akito (@kdnakt) 所属：株式会社Works Human Intelligence 役職：Manager 好きなもの：TLSとヘヴィメタル🤘 

AWSとわたし ● AWSパートナープログラム ○ AWS Ambassador (2024〜) ○ Japan AWS Top Engineer (Software, 2024 & 2025) ● 社外登壇 ○ SaaS on AWS 2023 「大手法人向けマルチテナント SaaSにおけるセキュリティ実装をご紹介」 ○ JAWS PANKRATION 2024 「Focus Areas in Software Architecture Reviews」 

話すこと・話さないこと ● 話すこと ○ 生成AIとマルチテナント ○ マルチテナントってなんだっけ？ ○ AgentCore Runtimeで動かすマルチテナントな AIエージェント ● 話さないこと ○ AgentCore Runtimeのデプロイ方法とか ○ AgentCore Runtime以外の機能 

生成AIとマルチテナント 

OWASP Top 10 for LLM Applications 2025 https://genai.owasp.org/llm-top-10/ ● LLM01:2025 プロンプトインジェクション ● LLM02:2025 機密情報の開示 ● LLM03:2025 サプライチェーン ● LLM04:2025 データとモデルポイズニング ● LLM05:2025 不適切な出力処理 ● LLM06:2025 過剰なエージェンシー ● LLM07:2025 システムプロンプトの漏洩 ● LLM08:2025 ベクトルと埋め込みの脆弱性 ● LLM09:2025 誤情報 ● LLM10:2025 際限のない消費 

LLM08:2025 ベクトルと埋め込みの脆弱性 ● リスク ○ 不正アクセスとデータ漏洩 ○ マルチテナント環境での情報漏洩 、複数ソースの衝突 ○ 埋め込みの反転によるソースの復元 ○ データポイズニングによるモデル出力操作 ○ モデルの有効性の低下 ● 予防と緩和 ○ アクセスの許可・制御 ○ データの検証とソースの認証 ○ データレビュー ○ モニタリングとロギング 

マルチテナントってなんだっけ？ 

マルチテナントとは： ちょっと前の自分のイメージ ● 複数のテナント（利用者） ● 全員がアプリケーションやデータベースを共有する 

『マルチテナントSaaSアーキテクチャの 構築』 ● Tod Golding 著、河原哲也、櫻谷広人 訳 ● https://www.oreilly.co.jp/books/9784814401017/ ● 2025年1月発行 

マルチテナントSaaSアーキテクチャ ● マルチテナントSaaSアーキテクチャ ＝コントロールプレーン＋アプリケーションプレーン ○ コントロールプレーン：オンボーディング、請求、メトリクス、 etc ○ 同一バージョンのアプリケーションを全テナントで実行、一括管理 ○ 部分的に専用リソース（サイロ化リソース）も利用 

アプリケーションプレーンの内部 ● クロステナントアクセス防止が重要 ○ テナント分離 ■ 他テナントのアクセスからテナントのリソースを保護する対策・実装が必要 ○ データパーティショニング ■ データ特性に応じてテナントのデータを分割するストレージ戦略 ○ テナントのルーティング ■ テナントの共有リソースと専用リソースを正しくつなぐ必要がある ● 生成AIのリソース：プロンプト、ベクトルデータ、モデル、etc ○ テナント分離などの一般的マルチテナントの原則を適用可能 

Amazon Bedrock AgentCoreで マルチテナントをやってみる 

AIエージェントの概要 ● Strands Agentで実装しAgentCore Runtimeにデプロイ ● リクエスト：プロンプト＋テナント名 ○ フロントエンドと繋ぐ時間がなかったので簡易実装 🙇 ● S3 Vectorsのベクトルデータをクエリするツール ○ リクエストをもとに利用する IAMロール、 インデックスを決定 ● テナント専用のデータを返す 

データパーティショニング ● テナントごとのバンドデータをS3 Vectorsのベクトルインデックスに格納 

テナント分離 ● テナント専用のベクトルインデックスのみアクセス可能なIAMロール 

テナントのルーティング (1/5) 

テナントのルーティング (2/5) 

テナントのルーティング (3/5) 

テナントのルーティング (4/5) 

テナントのルーティング (5/5) 

AgentCore Agent sandboxでテスト (1/2) ● ベクトルインデックスのデータに応じた回答が返ってくる 

AgentCore Agent sandboxでテスト (2/2) ● ベクトルインデックスのデータに応じた回答が返ってくる 

テナント分離の効果 ● 実装を間違えてもデータが漏洩しない 

今後の課題（気になっていること） ● メトリクス ○ AgentCore ObservabilityやCloudWatchが使えそう？ ● テナント分離 ○ AgentCore GatewayとAgentCore Identityも使いたかった ● デプロイ ○ S3 Vectorsのベクトルインデックスのデータ更新のベストプラクティスは？ ○ AgentCore Runtimeのバージョンアップのベストプラクティスは？ ● etc 

まとめ ● S3 VectorsとBedrock AgentCoreを使ってマルチテナントなAIエージェントを 作ってみた ● 生成AI、AIエージェントでもクロステナントアクセスの防止は、通常のSaaSと同じ 考え方でいけそう ○ テナント分離 ○ データパーティショニング ● 今回は使いこなせなかったAgentCoreの機能も、今後試してみたい 

ありがとうございました！