「便利なのはわかる。でも、このデータをクラウドに預けるのはさすがに怖い」——AIを使いたい現場ほど、最後の一歩でそうためらってきました。保存するときも、送るときも暗号化できる。けれど、AIが実際に”考えている”その瞬間だけは、中身が無防備になる。この積み残された課題に、国内のデータセンターで挑んだ検証が報告されました。
さくらインターネット株式会社と株式会社Acompanyは2026年6月23日、さくらインターネットが国内データセンターで提供するベアメタル型GPUクラウドサービス「高火力 PHY」のNVIDIA H200環境において、NVIDIA Confidential Computing(NCC)とIntel TDXを有効化し、データセンター運用者から秘匿化した状態を保ったままGPUで推論を実行する環境構築の検証に成功したと発表した。
NCCとIntel TDXを組み合わせた国内データセンターでの当該構成の検証は国内初である(Acompany調べ)。検証では、高火力 PHYのベアメタルサーバー上にIntel TDXによるConfidential VMを構成し、その内部でNVIDIA H200をConfidential Computingモードで動作させ、LLMの推論処理を実行した。
さくらインターネットは大阪府大阪市、Acompanyは愛知県名古屋市に所在する。両社は今後も連携を深めるとしている。
From: 
さくらインターネットとAcompany、国内データセンターのGPU環境において機密データを保護したAI処理の検証に成功
【編集部解説】
まず、この検証が「何の証明だったのか」を整理しておきましょう。一般にデータの暗号化は、保存時(ストレージ上)と通信時(ネットワーク上)の2つで語られてきました。しかし今回の主役は、その隙間に残っていた3つ目の状態、すなわち「処理中(実行中)のデータ」です。CPUやGPUが計算するまさにその瞬間、メモリ上のデータは平文に戻る——ここを守るのが、Confidential Computing(秘密計算)と呼ばれる技術領域です。
要となるのが、ハードウェアで隔離された「信頼できる実行環境(TEE)」です。今回はIntelのCPU機能であるTDXで仮想マシンごと隔離し、その内側でNVIDIA H200を、NVIDIA Confidential Computing(NCC)を有効化したモードで動かしています。両者を組み合わせることで、サーバーを物理的に運用しているデータセンター事業者自身ですら、処理中の中身を覗けない状態をつくり出した、という構図です。
技術的に見逃せないのが「リモートアテステーション」の動作確認でしょう。これは、利用者が遠隔から「このGPUは本物で、改ざんされていない正しい構成で動いている」ことを暗号的に検証する仕組みを指します。秘密計算は「隠す」だけでは半分で、「正しく隠されていることを第三者が確かめられる」ところまで揃って初めて意味を持ちます。今回その検証まで通したことは、実用を見据えた一歩と言えます。
なぜ「今」なのか。背景には、国産AI・ソブリンAIをめぐる国家規模の動きがあります。デジタル庁のガバメントAI「源内」は2026年5月に大規模実証を開始し、全府省庁約18万人への展開が予定され、経済産業省は国産AI開発に5年で約1兆円規模の支援を計画、2026年度予算案にも関連経費を計上する方向と報じられています。「データを国外に出さない」基盤づくりが政策の本流になりつつある、その潮目での発表でした。
では、これで何ができるようになるのでしょうか。最も恩恵が大きいのは、リリースが挙げる金融・製造・公共・防衛といった、データを一歩も外に出せなかった領域です。診療記録、与信データ、設計図面、独自にチューニングしたモデルの重み——こうした「外に預けられないから生成AIを諦めていた」資産を、国内に置いたまま推論にかけられる可能性が開けます。
「モデルそのものを守れる」点も実は重要です。Acompany側のリリースは、データに加えてAIモデルを秘匿したまま推論できる構成だと説明しています。高コストで作った独自モデルを他社クラウドに載せると中身を覗かれかねない、という懸念は、AIを売る側・貸す側にとっても切実でした。秘密計算は、データ保護とモデル保護の両面に効く技術なのです。
一方で、過度な期待は禁物です。今回はあくまで「環境構築の検証(実装可能性の確認)」であり、商用サービスの提供開始ではありません。リリースも一貫して「可能性を示した」という慎重な書き方に留めています。ここを「もう誰でも使える」と読み替えるのは正確ではないでしょう。
潜在的なコストにも触れておきます。秘密計算は無料の盾ではなく、暗号化処理による性能オーバーヘッドを伴います。外部の解説では推論時のオーバーヘッドを5〜15%(Phala)や1〜7%(AppScale)とする報告がある一方、学術ベンチマークでは多くの典型的なLLMクエリで7%未満との結果も示されています。要するに、ワークロードやモデルサイズ、データ転送量しだいで大きく変わると理解しておくのが安全です。機密性と引き換えに、わずかな速度や費用を払う設計だと捉えておくのが現実的でしょう。
さらに踏み込んだ論点として、「ソブリン(主権)」という言葉の射程があります。データは国内に留まりますが、肝心の半導体はNVIDIAとIntel、そして「正しさ」を証明する仕組みの一部も海外ベンダーの技術や検証サービスに依存します。データの主権は確保できても、計算基盤の根っこまで完全に自国で握れているわけではない——この距離感を冷静に見ておくことが、健全な議論につながると考えます。
規制・制度の面では、追い風が想定されます。審議が進む個人情報保護法の改正案や各業界のガイドライン、そしてデータの国内保持を求める要件が強まるなか、「処理中も覗かれない」ことを技術的に証明できる基盤は、コンプライアンス上の強い説明材料になり得ます。海外でもEUのAI規則をはじめ、説明可能で検証可能なAI基盤への要請は強まっています。
長期的に見れば、この一件は単独の技術トピックというより、日本のAIインフラが「速さ・安さ」の競争から「信頼・検証可能性」の競争へと軸足を移す象徴と読むこともできます。さくらインターネットは生成AI向けサービスの販売計画を当初の158億円から90〜110億円へ下方修正した経緯があり、価格競争でハイパースケーラーと正面からぶつかるより、国産・機密保持という土俵で差別化を図る——その戦略的な一手としても位置づけられそうです。
innovaTopia編集部として強調したいのは、これが「AIに触れられずにいた人や組織の選択肢を増やす」技術だという点です。秘密を守れなかったがゆえにAIの恩恵から距離を置いていた現場に、新たな道を一つ開く。派手な性能競争の影で進むこうした「信頼の土台づくり」こそ、Tech for Human Evolutionの実装そのものだと、私たちは見ています。
【用語解説】
Intel TDX(Trust Domain Extensions)
IntelのCPUが備える秘密計算技術。仮想マシン全体をハードウェアで隔離・暗号化し、ハイパーバイザー(仮想化基盤)からも中身を覗けない「信頼の起点」を構成する。
Confidential VM(CVM/コンフィデンシャルVM)
TDXなどで隔離・保護された仮想マシン。今回はこのCVMの内部でGPUを動作させる構成が取られた。
ソブリンAI(Sovereign AI)
国家や組織が、AIのモデル・データ・計算基盤の主権(コントロール)を自国・自組織内で握る考え方。データを国外に出さずにAIを開発・運用することを重視する。
ベアメタルサーバー
仮想化を挟まず、物理サーバーをそのまま貸し出す形態。「高火力 PHY」はこのベアメタル型に該当する。
性能オーバーヘッド
暗号化や隔離処理を挟むことで生じる、速度低下や追加の計算コストのこと。秘密計算は機密性と引き換えにこのコストを伴う。
【参考リンク】
高火力 PHY(さくらインターネット 公式)(外部)
本検証の基盤となった国内データセンター提供のベアメタル型GPUクラウド。搭載GPUプランの仕様や料金を確認できる公式ページ。
さくらインターネット コーポレートサイト(外部)
クラウドとデータセンター事業を手がける検証主体の一社。会社概要やニュースリリースを掲載する公式企業サイトである。
Acompany(アカンパニー)(外部)
秘密計算の製品・技術と機密データ活用コンサルを提供する名古屋拠点の企業。本検証で生成AI実行環境の構築を担った。
NVIDIA Confidential Computing(NVIDIA 公式)(外部)
今回有効化したNCCの公式解説。Hopper以降のGPUが備える、処理中のデータとモデルを保護する機能を紹介している。
ガバメントAI「源内」(デジタル庁)(外部)
政府職員が安全にAIを使うための国の基盤。国産AI・ソブリンAI政策の文脈を示す一次情報の公式ページである。
【参考記事】
How Nvidia Enable Confidential AI(Phala)(外部)
GPU向けTEEとしてのH100/H200を解説。秘密計算の性能オーバーヘッドを5〜15%と整理した記事。
Confidential Computing for AI Inference 2026(AppScale)(外部)
CPUとGPUのTEEを組み合わせる複合構成を前提に、推論のオーバーヘッドを1〜7%と見積もる記事。
Confidential Computing on NVIDIA Hopper GPUs: A Performance Benchmark Study(arXiv)(外部)
Hopper世代GPUの秘密計算の性能を測定した学術論文。多くの典型的LLMクエリで7%未満との結果を報告する。
Confidential LLM Inference: Performance and Cost Across CPU and GPU TEEs(arXiv)(外部)
CPUとGPUのTEEをまたいだ秘密計算LLM推論の性能とコストを比較・分析した学術論文。
Confidential Computing on NVIDIA H100 GPUs(NVIDIA)(外部)
H100が秘密計算に対応した最初のGPUだと説明するNVIDIA公式技術ブログ。技術系譜の起点を押さえられる。
GPU Remote Attestation With Intel Trust Authority(Intel)(外部)
GPU単体ではTEEとして不完全で、TDXのCPU側TEEを起点に秘密計算が成立すると示す公式文書。
Confidential VM overview(Google Cloud)(外部)
NCCがTDXやSEVと統合され、AI処理のデータを使用中も暗号化すると説明。海外中心だった背景の裏取りに使える。
さくらインターネット「高火力」の取り組み説明(クラウド Watch)(外部)
生成AI向けサービスの販売計画を、当初の158億円から90〜110億円へ下方修正したと報じた記事。
官民で「国産AI開発」を本格化、5年で1兆円支援へ(ビジネス+IT)(外部)
国産AIに5年で約1兆円、2026年度予算案に約3000億円を計上する方向と報じた記事。
ガバメントAI(源内)の大規模実証を開始(デジタル庁)(外部)
源内が2026年5月に大規模実証を開始し、全府省庁約18万人への展開を予定すると示す公式発表。
【関連記事】
Siri × Gemini × NVIDIA|Apple「プライバシーの約束」を守るための三社連合の実態
NVIDIA H100の秘密計算の性能影響など、本記事のオーバーヘッド論点を別角度から深掘りできる。
さくらインターネット×三菱総合研究所、ソブリン領域を見据えて公共DXを支援へ
ガバメントクラウド正式認定とソブリンクラウドの政策文脈。「なぜ今ソブリンAIか」の背景を補える。
さくらのAIソリューション提供開始|国内完結型で生成AIの課題を解決
専有GPUによる国内完結型サービス。さくらの国産AI戦略の系譜として本件の位置づけが見える。
【編集部後記】
データを国内に置く。処理の最中も覗かせない。そして「正しく守られている」ことを証明できる——今回の検証を並べてみると、データセンターそのものが少しずつ「主権」を帯びていく流れが見えてきます。考えてみれば、自然なことなのかもしれません。電力やエネルギーを自国で確保しておきたいと願うのと同じように、計算する力やデータの置き場所も、いざというときに他国の判断に左右されたくない。そう考える組織が増えるのは、むしろ当然の成り行きにも思えます。
もちろん、ソブリン化は万能の答えではありません。チップも検証の仕組みも、根っこではまだ海外の技術に支えられています。それでも、「すべてを自前で」とまではいかなくとも、譲れない一線をどこに引くのかを各組織が考えはじめた——その入り口に、私たちは立っているのかもしれません。データセンターがどこまで”自国のもの”になっていくのか。この問いを、これからもみなさんと一緒に見つめていきたいと思います。
