機密データを暗号化したままAI推論｜AWSがFHE手法を公開

AI TREND

AWS：暗号化したままML推論

AWSが、完全準同型暗号(FHE)に対応したライブラリconcrete-mlを使い、Amazon SageMaker AIのエンドポイント上で暗号化された問い合わせをそのまま処理し、暗号化された予測結果を返す手法を解説した。クラウド側でもデータの中身は読めない。

3 の要点を3分で

AWSが、データを暗号化したまま機械学習の推論を実行する手法を公開した。完全準同型暗号(FHE)に対応した高水準ライブラリconcrete-mlを使い、Amazon SageMaker AIのエンドポイント上で暗号化された問い合わせをそのまま処理し、暗号化された予測結果を返す。クラウド側であるSageMaker AI自身もデータの中身を読めない。

先行記事では低レベルライブラリSEALとCKKSスキームで線形回帰を手作りしていたが、今回はconcrete-mlの採用により、よく使われるscikit-learnとAPI互換の形で複数のモデル種別を扱える。学習は平文データに対して行い、正規化以外の前処理は通常の機械学習と同じで、暗号化が入るのは推論段階だ。

AWS Nitroのような専用ハードでデータを隔離して平文処理する「機密コンピューティング」と異なり、FHEは安全性を暗号の数学に依存させる。これにより、規制上データを暗号化なしで第三者に渡せない医療・エネルギー・通信などの業界が、クラウドでMLを使う選択肢を広げる。ただしconcrete-mlは商用利用に有料ライセンスが必要な場合があり、計算負荷も含めた本番採用コストの見積もりが要る。

機密データを暗号化したままAI推論｜AWSがFHE手法を公開の本文内説明図 — 図解: 暗号化したままML推論 - AWSが完全準同型暗号(FHE)に対応したライブラリconcrete-ml

押さえるポイント

この変化で何が要点か。図解と出典つきで一目で。

暗号化されたまま推論し、SageMaker AI側もデータを読めない
高水準ライブラリconcrete-mlでscikit-learnと互換
先行記事の手作り線形回帰から複数モデル対応へ前進

5W1Hでサクッと理解

構造化された事実を最初に。誰が何をいつどこでなぜどのように。

誰が: AWS
何を: 暗号化したままML推論
いつ: 2026年6月9日
どこで: AWS公式ブログ
なぜ: 規制下のデータ保護
どのように: FHEとconcrete-ml

背景

FHEはデータを復号せずに計算できる暗号方式であり、暗号化したクエリにモデルを適用して暗号化された予測を得られる。AWSは過去にも、低レベルのライブラリ「SEAL」を使ってFHEによる推論を手作りで実装する記事（線形回帰、CKKSスキーム採用）を公開していた。今回はより高水準のライブラリ「concrete-ml」を採用し、よく使われる機械学習ライブラリ「scikit-learn」と互換性を持つ形で、複数のモデル種別をそのまま扱える。記事では学習用コンテナの作成、SageMaker AI への配置、暗号化クライアントの作成までを通して解説している。

なぜ今注目なのか

医療記録や機密の業務情報をクラウドに出したくないが、規制上データを第三者に暗号化なしで渡せないという場面で、推論の全工程を暗号化したまま処理できる点が重要だ。AWS Nitro のような専用ハードで隔離して平文処理する「機密コンピューティング」と異なり、FHEはハードやソフトではなく数学に安全性を依存させる。規制の厳しい医療・エネルギー・通信などの業界が、クラウドで機械学習を使う際の選択肢を広げる。

暗号化したまま推論する、とはどういうことか

AWSが公開した手法は、データを復号せずに計算できる完全準同型暗号(FHE: 暗号文のまま足し算や掛け算ができる暗号方式)を使い、Amazon SageMaker AIのエンドポイント上で暗号化された問い合わせをそのまま処理し、暗号化された予測結果を返す。クラウド側であるSageMaker AI自身も、入力データの中身を読めない。

核は、安全性をハードウェアやソフトウェアの隔離ではなく、暗号の数学そのものに依存させる点にある。AWS Nitroのような専用ハードでデータを隔離して平文のまま処理する「機密コンピューティング」とは設計思想が異なる。FHEでは、サーバー側が一度も平文に触れずに推論を完了させる。

This post shows a much more flexible and higher-level approach based on concrete-ml, a high-level library built specifically for FHE-based inference.
出典: AWS Machine Learning Blog

上の引用にある「concrete-ml」は、FHEを使った推論のために作られた高水準ライブラリのことだ。暗号処理の低レベルな実装を自分で書かずに、暗号化推論を組み立てられる。

手作りの線形回帰から、複数モデル対応へ

AWSは過去にもFHEによる推論記事を公開していた。先行記事「Enable fully homomorphic encryption with Amazon SageMaker endpoints」では、SEALという低レベルライブラリとCKKSスキーム(実数の近似計算に向く準同型暗号方式)を使い、線形回帰アルゴリズムを一から手作りしていた。

今回はそこから一歩進み、concrete-mlを採用した。よく使われる機械学習ライブラリのscikit-learnとAPI互換で、複数のモデル種別を最初から扱える。

That previous post showed how to implement FHE-based inference 'from scratch' by hand-crafting a linear-regression algorithm using a low-level library called SEAL.
出典: AWS Machine Learning Blog

引用の「from scratch」は「ゼロから手作りで」という意味で、暗号アルゴリズムを自前で書く負担が大きかったことを示す。実装の観点では、学習自体は平文データに対して行い、正規化以外の前処理は通常の機械学習と同じだ。暗号化が入るのは推論の段階であり、既存のML開発フローからの移行ハードルが下がっている。

誰が得をし、コスト判断はどう変わるか

得をするのは、規制上データを暗号化なしで第三者に渡せない業界だ。医療記録や機密の業務情報をクラウドに出したいが規制で縛られる、という場面で、推論の全工程を暗号化したまま処理できる。記事は医療・エネルギー・通信などを規制の厳しい業界として挙げている。

scikit-learnを使う国内のML実装者も恩恵を受ける。concrete-mlがscikit-learnとAPI互換のため、既存のコードに近い形でFHE推論を組める。低レベルのSEALで暗号処理を手作りする必要がなくなった。

一方で、商用導入を急ぐ事業者はコストを切り分ける必要がある。concrete-mlは試作・非商用なら無償だが、商用利用には有料ライセンスが必要な場合がある。加えてFHEは暗号文のまま計算する性質上、平文推論より計算負荷が高い。本番採用前に、ライセンス費用と推論コストの両方を見積もる価値がある。

今やるべきこと

立場別、明日から動ける一手。

技術を選ぶ人へ

AWS公式ブログのサンプルコードで、学習用コンテナ作成からエンドポイント配置・暗号化クライアント作成までの全工程を確認する。

事業を決める人へ

concrete-mlの商用ライセンス要否と、自社が扱う規制データで暗号化推論が要件を満たすかの判断基準を定義する。

手を動かす人へ

concrete-mlで対応モデルを学習し、暗号化したクエリに対する推論レイテンシと精度を平文推論と試す。

時系列タイムライン

過去 AWSが低レベルライブラリSEALとCKKSスキームで線形回帰のFHE推論を手作り実装する記事を公開
2026年6月9日 AWS Machine Learning Blogが、concrete-mlを使いSageMaker AI上で暗号化したまま推論する手法を公開
2026年6月9日学習用コンテナ作成・エンドポイント配置・暗号化クライアント作成までのサンプルコードがGitHubで公開