NemoClawのセキュリティ機能｜OpenShellサンドボックスとガードレール解説

NemoClawのセキュリティアーキテクチャ概要

AIエージェントはその性質上、ファイルシステムの読み書き・外部APIの呼び出し・コードの実行などを自律的に行います。この強力な能力は、悪意あるプロンプトインジェクション攻撃や設定ミスによって意図しない動作を引き起こすリスクを伴います。

NemoClawのセキュリティは「深層防御（Defense in Depth）」の思想で設計されており、単一の防護策ではなく複数の独立したセキュリティ層を重ねることでリスクを低減します。

これらの層は独立して機能するため、一つの層が突破されても他の層がエージェントの不正な動作を食い止めます。

OpenShellサンドボックスの仕組み

OpenShellはNemoClawのコアランタイムで、LinuxのNamespaces・cgroups・seccompを組み合わせてコンテナ相当の分離環境をエージェントプロセスに提供します。Dockerコンテナとの違いは、エージェントのネイティブパフォーマンスを保ちながらファイルシステム・ネットワーク・プロセスの3軸を独立して制御できる点にあります。

ファイルシステム分離

エージェントがアクセスできるファイルパスをホワイトリスト方式で管理します。定義していないパスへのアクセスはカーネルレベルで拒否されます。

sandbox:
  filesystem:
    # 許可: ワークスペースとテンポラリのみ
    allow:
      - "/workspace/**"
      - "/tmp/nemoclaw/**"
    # 明示的に拒否: 機密ディレクトリ
    deny:
      - "/etc/**"
      - "~/.ssh/**"
      - "~/.aws/**"
      - "/proc/**"

この設定例では、エージェントは /workspace/ と /tmp/nemoclaw/ のみ読み書き可能です。SSHキーやAWS認証情報へのアクセスはカーネルがブロックします。

ネットワーク分離

エージェントが通信できるホスト・ポートをポリシーで制限します。社内APIのみと通信させる、特定のSaaSのみ許可する、といった細かな制御が可能です。

sandbox:
  network:
    # 許可: 業務に必要なエンドポイントのみ
    allow:
      - "api.internal.example.com:443"
      - "*.salesforce.com:443"
      - "api.nvidia.com:443"
    # それ以外はすべて拒否
    deny_all_by_default: true

プロセス制御

エージェントが生成できる子プロセスやシェルコマンドも制限できます。任意のシェルコマンドを実行させる場合でも、許可するコマンド一覧を明示することで攻撃面を最小化できます。

sandbox:
  processes:
    allow_commands:
      - "git"
      - "npm"
      - "python3"
    deny_commands:
      - "curl"
      - "wget"
      - "sudo"
      - "bash -c"

宣言的ポリシー（blueprint.yaml）

blueprint.yamlはNemoClawのポリシー設定ファイルで、セキュリティチームがコードを書かずにエージェントの許容行動範囲を定義できます。GitでバージョニングしてPull Requestレビューフローに組み込むことで、ポリシー変更の監査証跡を自動的に残せます。

blueprint.yaml の構造

version: "1.0"
name: "production-agent-policy"

# 推論プロファイル
profile: cloud
model:
  provider: nvidia
  name: nemotron-3-super-120b

# サンドボックス設定
sandbox:
  enabled: true
  filesystem:
    allow: ["/workspace/", "/tmp/nemo/"]
    deny: ["~/.ssh/", "/etc/", "~/.aws/"]
  network:
    allow: ["api.example.com", "*.nvidia.com"]
    deny_all_by_default: true

# ガードレール
guardrails:
  pii_detection: true
  content_moderation: true
  sensitive_topics:
    - "competitor_pricing"
    - "personnel_records"

# ツール制限
tools:
  allowed:
    - "file_read"
    - "file_write"
    - "shell_exec"
    - "web_search"
  denied:
    - "email_send"
    - "calendar_modify"

このように一つのYAMLファイルで推論・サンドボックス・ガードレール・ツールの4軸を統合管理できます。

推論インターセプト

推論インターセプトはエージェントのプロンプト（入力）とレスポンス（出力）の両方を検査する機能です。OpenShellがOS層での制御であるのに対し、推論インターセプトはAI推論の入出力レベルでの制御です。

プロンプトシールド（入力検査）

ユーザーからの入力にプロンプトインジェクション攻撃の兆候が含まれていないかをリアルタイムで検査します。「権限を無視して...」「システムプロンプトを無視して...」といった典型的な攻撃パターンを検出してブロックします。

guardrails:
  prompt_shield:
    enabled: true
    sensitivity: high  # low / medium / high
    action: block  # block / warn / log

出力フィルタリング

エージェントの応答に機密情報（APIキー・パスワード・個人情報）が含まれていないかを出力前に検査します。意図せず内部システムの認証情報が応答に含まれてしまうリスクを防ぎます。

guardrails:
  output_filter:
    enabled: true
    redact_patterns:
      - "regex:sk-[a-zA-Z0-9]{48}"  # OpenAI APIキーパターン
      - "regex:nvapi-[a-zA-Z0-9]+"  # NVIDIA APIキー
      - "pii:email"
      - "pii:phone_number_jp"

NeMo Guardrails連携

NeMo GuardrailsはNVIDIAが開発したオープンソースのLLMガードレールフレームワークです。NemoClawはNeMo Guardrailsとネイティブ統合しており、以下の機能をblueprintから有効化できます。

セキュリティパートナー統合

NVIDIAはNemoClawのセキュリティエコシステムを強化するため、主要なセキュリティベンダーとの統合を発表しています。

CrowdStrike Falcon統合

CrowdStrikeのFalcon AIセキュリティプラットフォームとNemoClawを統合することで、AIエージェントの行動ログをFalconのSIEM（Security Information and Event Management）にリアルタイム転送できます。既存のSOC（セキュリティオペレーションセンター）の監視対象にAIエージェントを追加し、異常な行動パターンを検出します。

その他のパートナー（Cisco・Google・Microsoft Security）

NVIDIAはCisco、Google Security（Chronicle）、Microsoft Security（Sentinel）との統合も進めています。これらの統合により、企業が既に導入しているセキュリティインフラとNemoClawを統合して、AIエージェントの行動を既存のセキュリティ管理フレームワーク内で監視・制御できるようになります。

具体的には以下のシナリオが想定されています。

• Microsoft Sentinelと統合してAIエージェントの異常行動アラートを既存SOCに統合
• Cisco SecureFirewallとの連携でエージェントのネットワーク通信を既存ポリシーエンジンで制御
• Google Chronicleへのログ転送でエージェント操作の長期監査証跡を保持