推論サーバーを落とす「とりあえず可変長」の罠：ONNX変換時の境界値設定とModel DoS対策

はじめに

AIモデルをプロダクション環境へデプロイする際、「とりあえずバッチサイズとシーケンス長はDynamic Axes（可変長）にしよう」という判断は、システム全体を危険に晒す脆弱性になり得ます。

運用フェーズへの移行時に見落とされがちなのが「モデルへの入力制限」です。PoC（概念実証）の段階では便利な可変長設定も、本番公開後には悪意ある攻撃や異常データによって推論サーバーをメモリ枯渇（OOM: Out Of Memory）へ追い込む「Model DoS」の入り口となるケースが珍しくありません。

本記事では、プロジェクトを成功に導き、ROIを最大化するための実践的な視点から、ONNXやTensorRTにおけるDynamic Axesの安全な取り扱いに焦点を当てます。推論エンジンの仕様は頻繁に更新されるため、デプロイ時はNVIDIAなどの公式リリースノートで最新情報を確認することが不可欠です。本稿では、特定バージョンに依存せず、柔軟性を保ちながらリソースを守る境界値設定とアーキテクチャ設計のベストプラクティスを体系的に解説します。

なぜ「とりあえずDynamic Axes」が本番環境を危険に晒すのか

PyTorchからONNXへ変換する際、dynamic_axes 引数を指定することは一般的な手法です。Hugging Face Transformers（v5.0.0）でのTensorFlowサポート終了に伴い、現在はPyTorch中心の最適化が主流です。しかし、この可変長設定がGPUメモリ（VRAM）に与える影響を正確に把握しているケースは多くありません。

RTX 50シリーズ（RTX 5060 Ti〜RTX 5090など）の登場でVRAMは16GB〜32GBへと大容量化していますが、ハードウェアの進化に依存して入力サイズの境界値を設定しない運用は、深刻なシステム障害の火種となります。

固定長入力と可変長入力のトレードオフ

固定長（Static Shape）と可変長（Dynamic Shape）の違いは、メモリ割り当てのタイミングと確実性にあります。

固定長モデルはロード時に必要なメモリ量が確定し、形状に特化した最適化が行われるため、パフォーマンスが安定しリソース計画が容易です。一方、可変長モデルはリクエスト到達時にメモリ量が判明するため、柔軟性が高い反面「リソース消費の予測不可能性」という代償を伴います。

例えば、数百トークン前提のNLPモデルに数万トークン級のリクエストが送信された場合を想定します。Transformerの注意機構（Attention Mechanism）の計算量はシーケンス長の二乗（$O(N^2)$）で増大します。最新のTransformersライブラリでKVキャッシュ管理やページング注意機構が導入されても、入力長が10倍になれば計算コストとメモリ消費が飛躍的に増加する特性は変わりません。PyTorchベースの最新環境へ移行しても、可変長入力に伴う計算量爆発のリスクは引き継がれます。

推論サーバーにおけるメモリ割り当ての仕組み

ONNX RuntimeやTensorRTなどの推論エンジンは独自のアロケータを持ちますが、物理的な限界は超えられません。最新GPUがNVFP4やFP8フォーマットでVRAM消費を削減できても、無限の入力には無力です。

「とりあえずDynamic」なモデルは、あらゆるサイズのテンソルを受け入れる状態であり、ユーザー入力を無検証でメモリ確保命令（mallocなど）に渡すことと同義です。Web開発で入力をそのままSQLに渡すのがご法度であるように、AIモデルで入力サイズをリソース確保に直結させるのは重大な脆弱性です。

例えば、画像認識APIで解像度を無制限にした場合、攻撃者が超高解像度画像（ピクセル爆弾）を送信することでVRAMを瞬時に枯渇させ、プロセスをクラッシュさせる事案が発生し得ます。これはプロジェクトの信頼性を損なう設計上の欠陥と評価されるべき問題です。

Model Denial of Service (Model DoS) とは

この攻撃手法はModel Denial of Service (Model DoS) と呼ばれます。従来のDoS攻撃がリクエストの「量」で圧倒するのに対し、Model DoSは処理コストが極端に高い単一リクエストの「質」でリソースを枯渇させます。

Deep Learningモデルは計算コストが高く、攻撃者は計算量が爆発する入力形状を突くことで、少ない帯域幅でサービスを停止させます。Dynamic Axesを無制限に許可することは、攻撃者にメモリの自由な消費を許す招待状となります。OWASP Top 10 for LLMでもリソース消費の制限は重要対策とされています。アプリケーション層での入力バリデーションと、推論エンジン側での厳格なリソース制限の組み合わせが、実用的なAI導入と安全な運用の要です。

脅威分析：可変長モデルに対する攻撃ベクトルと影響範囲

具体的な攻撃や障害シナリオのメカニズムを論理的に把握することは、強固な防御システム構築の第一歩です。

バッチサイズ攻撃とシーケンス長攻撃

標的となりやすいパラメータは、主に「バッチサイズ」と「シーケンス長（または解像度）」です。

1. バッチサイズ攻撃:
   推論サーバーはスループット向上のためDynamic Batching（動的バッチング）を採用します。APIが配列入力を無制限に受け付けると、1回のリクエストに数万のデータが送信されるリスクがあります。batch_size がDynamic Axesのままだと、推論エンジンは巨大バッチを一度に処理しようとし、膨大な中間テンソルを生成してOOMを引き起こします。

2. シーケンス長攻撃:
   Transformerモデルで顕著な脅威です。計算量とメモリ使用量が入力長に対して二次関数的（$O(N^2)$）に増加するため、極端に長いテキストが送信されると内部で巨大なAttention Matrixが生成され、VRAMを一瞬で埋め尽くします。

リソース枯渇が他の同居モデルに与える影響

MLOps環境では、インフラコスト最適化のため1つのGPUやノードで複数モデルを稼働させる「マルチモデルサービング」（Triton Inference ServerやTorchServeなど）が普及しています。

ここで深刻なのが「Noisy Neighbor（うるさい隣人）」問題です。脆弱な可変長設定のモデルが攻撃を受けてGPUメモリを食い尽くすと、OOM Killerによりプロセスが強制終了されます。推論サーバー全体が単一プロセスで動作している場合、同居する健全なモデルまで巻き込んで停止します。一つのモデルの不備が他の重要モデルを連鎖的に停止させるリスクが、共有インフラにおける可変長入力の恐ろしい点です。

CVE事例から学ぶAI推論エンジンの脆弱性

これは理論上の懸念ではなく、主要な推論エンジンにおいて特定の入力形状に対する脆弱性がCVE（Common Vulnerabilities and Exposures）として複数報告されています。

TensorFlowやONNX Runtimeの過去バージョンでは、想定外の形状のテンソル入力による整数オーバーフローでのヒープ領域破壊や、ゼロ除算によるクラッシュが発見されました。これらは入力シェイプの検証不足に起因します。

フレームワークに未知のバグが潜む可能性は常にあります。「推論エンジンがよしなに処理する」という過信を捨て、アプリケーションレベルで厳格な入力制限と境界値設定を行うことが不可欠です。

安全なモデル変換：ONNX/TensorRTにおける境界値の実装

推論サーバー保護には、モデル変換（Export/Build）段階での防御策が不可欠です。運用フェーズの対策に頼る前に、モデル自体に安全な制約を組み込みます。

Dynamic Axesにおける「上限」の定義方法

PyTorchからONNXへの変換時、以下の記述は一般的です。

# 危険な例：無制限の可変長
torch.onnx.export(
    model, 
    dummy_input, 
    "model.onnx",
    input_names=['input_ids'],
    dynamic_axes={'input_ids': {0: 'batch_size', 1: 'sequence_length'}}
)

構文としては正しいものの、生成されたONNXモデルは「いかなるサイズも許容する」状態になります。ONNX標準仕様で最大値のメタデータを厳密に持たせる方法は限定的であり、ラッパーコード等での運用カバーが必要です。さらに重要なのが、推論エンジン側でのロード時設定による物理的な制限です。

TensorRTのOptimization Profilesによるメモリ制約

NVIDIA GPU環境でONNXをTensorRTエンジンに変換する際、可変長入力に対するOptimization Profiles機能がModel DoS対策として有効です。これを設定することでメモリの過剰割り当てを防ぎます。

設定では以下の3つの形状を定義します。

1. Min (最小): 処理可能な最小サイズ（例: 1x1）
2. Opt (最適): 最も頻繁に来ると想定されるサイズ（推論速度が最速になるよう最適化）
3. Max (最大): これ以上は受け付けない物理的な上限

# TensorRTにおけるプロファイル設定例（概念コード）
import tensorrt as trt

builder = trt.Builder(logger)
config = builder.create_builder_config()
profile = builder.create_optimization_profile()

# 入力名: input_ids
# (min_shape, opt_shape, max_shape)
# ここで明確に最大値を制限する！
# バッチサイズ最大32, シーケンス長最大512
profile.set_shape("input_ids", (1, 1), (8, 256), (32, 512))

config.add_optimization_profile(profile)
engine = builder.build_engine(network, config)

Maxを明示的に設定することで、TensorRTは指定サイズまでのメモリ空間のみを確保します。想定外の巨大な入力（例: (64, 1024)）が送信されてもエンジンレベルで即座にエラーとして弾き、サーバークラッシュを防ぎます。ONNX Runtime環境でもTensorRT Execution Providerを利用すれば同様の安全基準を適用できます。

シンボリックシェイプ推論を用いた入力検証

ONNXのシェイプ推論（Shape Inference）機能も入力検証に活用できます。変換後に onnx.shape_inference.infer_shapes を実行し、各ノードの出力形状が矛盾なく計算できるか確認することが推奨されます。

さらに、カスタムスクリプトでONNXグラフの入力テンソル次元に数値をハードコードした「本番用モデル」を作成する手法もあります。開発環境ではフルダイナミックモデル、本番環境では最大値を固定したセミダイナミックモデルをデプロイするなど、環境に応じて制約レベルを使い分けることで安全性を飛躍的に高められます。

推論サーバー層での多層防御ガードレール構築

モデル単体の境界値設定だけではシステムを完全に守り切ることは困難です。リクエストを受け付けるサーバー層での防御策、すなわち「多層防御（Defense in Depth）」のアプローチが推論システムの可用性担保に欠かせません。

前処理段階での入力バリデーション実装

推論エンジンにデータを渡す直前の前処理（Preprocessing）ロジックで、必ず入力データのシェイプチェックを実施してください。

# 推論ハンドラ内での防御的実装例
MAX_BATCH_SIZE = 32
MAX_SEQ_LEN = 512

def predict(input_ids):
    batch_size, seq_len = input_ids.shape
    
    # 境界値チェック
    if batch_size > MAX_BATCH_SIZE:
        raise HTTPException(status_code=400, detail="Batch size exceeds limit.")
    
    if seq_len > MAX_SEQ_LEN:
        # 切り詰め（Truncate）またはエラー返却
        # セキュリティ重視ならエラー、UX重視なら切り詰め
        # ここではエラーを選択
        raise HTTPException(status_code=400, detail="Sequence length too long.")
        
    # 安全が確認されて初めて推論エンジンへ渡す
    return ort_session.run(None, {'input_ids': input_ids})

「API仕様書に制限事項を記載したから守られるはず」という性善説に基づく設計は危険です。巨大なテンソルが推論エンジンに到達する前に、アプリケーションの入り口で確実に弾く仕組みがModel DoS攻撃を防ぐ第一歩です。

Triton Inference Server等のRate Limiting設定

Triton Inference Server等の専用推論サーバーでは、設定ファイル（config.pbtxt）でシステムレベルの強力な制限をかけられます。

• max_batch_size: 受け入れる最大バッチサイズを宣言し、超過リクエストを拒否または分割処理します。
• dynamic_batching: 複数リクエストをまとめる際の最大待機時間やバッチサイズ上限を制御し、スループットと遅延を最適化します。
• instance_group: 同時実行可能なモデルインスタンス数を制限し、GPUメモリ消費を安全な範囲に保ちます。

# config.pbtxt の例
max_batch_size: 32
dynamic_batching {
  max_queue_delay_microseconds: 100
}
instance_group [
  {
    count: 1
    kind: KIND_GPU
  }
]

さらにRate Limiter機能を活用して同時実行リクエスト数を制御することで、スパイク発生時のキュー溢れを防ぎ、メモリ圧迫によるサーバーダウンを回避できます。

サイドカープロキシによるペイロードサイズ制限

Kubernetes環境等では、推論コンテナの手前に配置するNginx Ingress ControllerやEnvoy等のサイドカープロキシ層での防御が有効です。HTTPリクエストボディの物理的なサイズ制限（client_max_body_sizeなど）が最初の防壁として機能します。

画像や音声モデルでは正常リクエストでもサイズが大きくなるため適切な上限値の見極めが必要ですが、この制限により「数GBの異常なJSON」などをネットワーク層で即座に遮断できます。結果として、アプリケーションロジック起動前に攻撃を無効化し、コンピュートリソースの浪費を防ぐアーキテクチャを実現できます。

負荷テストによる「死の入力」検知とレジリエンス検証

対策実装後は、システムを壊すことを目的としたテストで機能を確認します。実践的なプロジェクトマネジメントにおいて、この検証フェーズは欠かせません。

境界値を超える入力を用いたファジングテスト

「境界値ギリギリの入力」や「境界値を大幅に超える入力」を生成してAPIに送信する「ファジング（Fuzzing）」を実施します。

• 最大シーケンス長 + 1 のデータを送る
• 空のデータを送る
• バッチサイズ 10,000 でリクエストする
• ランダムなノイズデータを送る

これらに対し、サーバーが「500 Internal Server Error」ではなく「400 Bad Request」を返すことを確認します。Locustやk6等のツールを用いれば異常系シナリオも容易に記述できます。

メモリプロファイリングとリーク監視

テスト中はGPUメモリ使用量を詳細に監視します。nvidia-smiだけでなく、PrometheusとGrafanaで DCGM Exporter のメトリクスを可視化します。

リクエスト終了後のメモリ解放（メモリリークの有無）と、最大負荷時にVRAM使用率が100%に張り付かないかを確認します。最大負荷時でもVRAMの80〜90%程度に収まるよう、モデル並列数やバッチサイズ上限を調整することが、安定稼働に向けた重要な役割です。

OOM Killer発動時の自動復旧設計

未知のバグ等でプロセスが落ちた際、システム全体が停止しないためのレジリエンス（回復力）設計が重要です。

KubernetesではPodの livenessProbe を設定し、応答がない場合は即座にコンテナを再起動させます。また、OOM Killer発動時はログ（dmesg や K8s イベント）を検知してSlack等へ通知するアラート設定が必須です。原因を即座に把握できなければ対策を打つことはできません。

まとめ

「とりあえずDynamic Axes」という選択は、本番環境にセキュリティホールを開ける行為です。AIモデルの安定稼働には、以下の3層での防御が不可欠です。

1. モデル層: TensorRTのOptimization Profile等で物理的な入力上限を焼き付ける。
2. アプリ層: 推論実行前のバリデーションロジックで異常なシェイプを即座に弾く。
3. インフラ層: リクエストサイズ制限や自動復旧メカニズムでシステム全体の全滅を防ぐ。

これらを実装するか否かでサービスの可用性は大きく変わります。AI駆動プロジェクトを成功に導くプロジェクトマネージャーとして、ビジネスの基盤となるAIモデルを悪意ある入力や異常データから確実に守る設計を心がけましょう。