Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【WHI Link Light】マルチテナントなAIエージェントを作ってみた / Let's ...

Avatar for WHIsaiyo WHIsaiyo
September 02, 2025
5

【WHI Link Light】マルチテナントなAIエージェントを作ってみた / Let's Build Multi-tenant AI Agent

8/26に開催した、
Amazon Bedrock AgentCoreについて発表するLT会!」の資料です。

木谷明人 / KIDANI Akito (@kdnakt)

Avatar for WHIsaiyo

WHIsaiyo

September 02, 2025
Tweet

More Decks by WHIsaiyo

Transcript

  1. AWSとわたし • AWSパートナープログラム ◦ AWS Ambassador (2024〜) ◦ Japan AWS

    Top Engineer (Software, 2024 & 2025) • 社外登壇 ◦ SaaS on AWS 2023 「大手法人向けマルチテナント SaaSにおけるセキュリティ実装をご紹介」 ◦ JAWS PANKRATION 2024 「Focus Areas in Software Architecture Reviews」
  2. 話すこと・話さないこと • 話すこと ◦ 生成AIとマルチテナント ◦ マルチテナントってなんだっけ? ◦ AgentCore Runtimeで動かすマルチテナントな

    AIエージェント • 話さないこと ◦ AgentCore Runtimeのデプロイ方法とか ◦ AgentCore Runtime以外の機能
  3. OWASP Top 10 for LLM Applications 2025 https://genai.owasp.org/llm-top-10/ • LLM01:2025

    プロンプトインジェクション • LLM02:2025 機密情報の開示 • LLM03:2025 サプライチェーン • LLM04:2025 データとモデルポイズニング • LLM05:2025 不適切な出力処理 • LLM06:2025 過剰なエージェンシー • LLM07:2025 システムプロンプトの漏洩 • LLM08:2025 ベクトルと埋め込みの脆弱性 • LLM09:2025 誤情報 • LLM10:2025 際限のない消費
  4. LLM08:2025 ベクトルと埋め込みの脆弱性 • リスク ◦ 不正アクセスとデータ漏洩 ◦ マルチテナント環境での情報漏洩 、複数ソースの衝突 ◦

    埋め込みの反転によるソースの復元 ◦ データポイズニングによるモデル出力操作 ◦ モデルの有効性の低下 • 予防と緩和 ◦ アクセスの許可・制御 ◦ データの検証とソースの認証 ◦ データレビュー ◦ モニタリングとロギング
  5. アプリケーションプレーンの内部 • クロステナントアクセス防止が重要 ◦ テナント分離 ▪ 他テナントのアクセスからテナントのリソースを保護する対策・実装が必要 ◦ データパーティショニング ▪

    データ特性に応じてテナントのデータを分割するストレージ戦略 ◦ テナントのルーティング ▪ テナントの共有リソースと専用リソースを正しくつなぐ必要がある • 生成AIのリソース:プロンプト、ベクトルデータ、モデル、etc ◦ テナント分離などの一般的マルチテナントの原則を適用可能
  6. AIエージェントの概要 • Strands Agentで実装しAgentCore Runtimeにデプロイ • リクエスト:プロンプト+テナント名 ◦ フロントエンドと繋ぐ時間がなかったので簡易実装 🙇

    • S3 Vectorsのベクトルデータをクエリするツール ◦ リクエストをもとに利用する IAMロール、 インデックスを決定 • テナント専用のデータを返す
  7. 今後の課題(気になっていること) • メトリクス ◦ AgentCore ObservabilityやCloudWatchが使えそう? • テナント分離 ◦ AgentCore

    GatewayとAgentCore Identityも使いたかった • デプロイ ◦ S3 Vectorsのベクトルインデックスのデータ更新のベストプラクティスは? ◦ AgentCore Runtimeのバージョンアップのベストプラクティスは? • etc