【WHI Link Light】マルチテナントなAIエージェントを作ってみた / Let's Build Multi-tenant AI Agent

Transcript

1. マルチテナントな AIエージェントを作ってみた Amazon Bedrock AgentCoreについて発表するLT会！ #whi_linklight 2025/08/26 @kdnakt

2. 自己紹介

3. 自己紹介 名前：木谷明人 / KIDANI Akito (@kdnakt) 所属：株式会社Works Human Intelligence 役職：Manager

   好きなもの：TLSとヘヴィメタル🤘

4. AWSとわたし • AWSパートナープログラム ◦ AWS Ambassador (2024〜) ◦ Japan AWS

   Top Engineer (Software, 2024 & 2025) • 社外登壇 ◦ SaaS on AWS 2023 「大手法人向けマルチテナント SaaSにおけるセキュリティ実装をご紹介」 ◦ JAWS PANKRATION 2024 「Focus Areas in Software Architecture Reviews」

5. 話すこと・話さないこと • 話すこと ◦ 生成AIとマルチテナント ◦ マルチテナントってなんだっけ？ ◦ AgentCore Runtimeで動かすマルチテナントな

   AIエージェント • 話さないこと ◦ AgentCore Runtimeのデプロイ方法とか ◦ AgentCore Runtime以外の機能

6. 生成AIとマルチテナント

7. OWASP Top 10 for LLM Applications 2025 https://genai.owasp.org/llm-top-10/ • LLM01:2025

   プロンプトインジェクション • LLM02:2025 機密情報の開示 • LLM03:2025 サプライチェーン • LLM04:2025 データとモデルポイズニング • LLM05:2025 不適切な出力処理 • LLM06:2025 過剰なエージェンシー • LLM07:2025 システムプロンプトの漏洩 • LLM08:2025 ベクトルと埋め込みの脆弱性 • LLM09:2025 誤情報 • LLM10:2025 際限のない消費

8. LLM08:2025 ベクトルと埋め込みの脆弱性 • リスク ◦ 不正アクセスとデータ漏洩 ◦ マルチテナント環境での情報漏洩 、複数ソースの衝突 ◦

   埋め込みの反転によるソースの復元 ◦ データポイズニングによるモデル出力操作 ◦ モデルの有効性の低下 • 予防と緩和 ◦ アクセスの許可・制御 ◦ データの検証とソースの認証 ◦ データレビュー ◦ モニタリングとロギング

9. マルチテナントってなんだっけ？

10. マルチテナントとは： ちょっと前の自分のイメージ • 複数のテナント（利用者） • 全員がアプリケーションやデータベースを共有する

11. 『マルチテナントSaaSアーキテクチャの 構築』 • Tod Golding 著、河原哲也、櫻谷広人 訳 • https://www.oreilly.co.jp/books/9784814401017/ •

    2025年1月発行

12. マルチテナントSaaSアーキテクチャ • マルチテナントSaaSアーキテクチャ ＝コントロールプレーン＋アプリケーションプレーン ◦ コントロールプレーン：オンボーディング、請求、メトリクス、 etc ◦ 同一バージョンのアプリケーションを全テナントで実行、一括管理 ◦

    部分的に専用リソース（サイロ化リソース）も利用

13. アプリケーションプレーンの内部 • クロステナントアクセス防止が重要 ◦ テナント分離 ▪ 他テナントのアクセスからテナントのリソースを保護する対策・実装が必要 ◦ データパーティショニング ▪

    データ特性に応じてテナントのデータを分割するストレージ戦略 ◦ テナントのルーティング ▪ テナントの共有リソースと専用リソースを正しくつなぐ必要がある • 生成AIのリソース：プロンプト、ベクトルデータ、モデル、etc ◦ テナント分離などの一般的マルチテナントの原則を適用可能

14. Amazon Bedrock AgentCoreで マルチテナントをやってみる

15. AIエージェントの概要 • Strands Agentで実装しAgentCore Runtimeにデプロイ • リクエスト：プロンプト＋テナント名 ◦ フロントエンドと繋ぐ時間がなかったので簡易実装 🙇

    • S3 Vectorsのベクトルデータをクエリするツール ◦ リクエストをもとに利用する IAMロール、 インデックスを決定 • テナント専用のデータを返す

16. データパーティショニング • テナントごとのバンドデータをS3 Vectorsのベクトルインデックスに格納

17. テナント分離 • テナント専用のベクトルインデックスのみアクセス可能なIAMロール

18. テナントのルーティング (1/5)

19. テナントのルーティング (2/5)

20. テナントのルーティング (3/5)

21. テナントのルーティング (4/5)

22. テナントのルーティング (5/5)

23. AgentCore Agent sandboxでテスト (1/2) • ベクトルインデックスのデータに応じた回答が返ってくる

24. AgentCore Agent sandboxでテスト (2/2) • ベクトルインデックスのデータに応じた回答が返ってくる

25. テナント分離の効果 • 実装を間違えてもデータが漏洩しない

26. 今後の課題（気になっていること） • メトリクス ◦ AgentCore ObservabilityやCloudWatchが使えそう？ • テナント分離 ◦ AgentCore

    GatewayとAgentCore Identityも使いたかった • デプロイ ◦ S3 Vectorsのベクトルインデックスのデータ更新のベストプラクティスは？ ◦ AgentCore Runtimeのバージョンアップのベストプラクティスは？ • etc

27. まとめ • S3 VectorsとBedrock AgentCoreを使ってマルチテナントなAIエージェントを 作ってみた • 生成AI、AIエージェントでもクロステナントアクセスの防止は、通常のSaaSと同じ 考え方でいけそう ◦

    テナント分離 ◦ データパーティショニング • 今回は使いこなせなかったAgentCoreの機能も、今後試してみたい

28. ありがとうございました！