LLMを企業のサーバー上で動かしたいが、データを見せないことは可能か？→TEEで可能

FHEとTEEの決定的な違い

FHE：データは暗号化されたまま計算される。モデルも「見て」いない。数学的にciphertext上の演算が平文上の演算と準同型になるだけ。

TEE：ハードウェアで隔離されたメモリ領域（enclave）内で平文としてデータを展開し、推論を実行する。企業のOS・ハイパーバイザー・管理者はenclaveの中身を読めない。

つまり「LLMにデータを見せたいが企業には取られたくない」に直接対応するのはTEEの方。

動作モデル

code:_

ユーザー → 暗号化データ送信 → 企業サーバー

│

┌───────▼────────┐

│ TEE enclave │

│ ・データ復号 │

│ ・LLM推論実行 │

│ ・結果暗号化 │

└───────┬────────┘

│

ユーザー ← 暗号化結果返却 ←─────────┘

企業のOS/管理者はenclave内を観測不可

ユーザーはリモートアテステーション（remote attestation）で「本当にTEE内で正しいコードが走っている」ことを暗号論的に検証できる。企業を信頼する必要がない。

現状どこまで来ているか

NVIDIA H100はConfidential Computing対応。GPU TEE内でLLM推論が既に動く

Intel TDXはVM単位の隔離を提供。Heraclesはこの延長線上

Azure Confidential Computing、GCP Confidential VMsで商用利用が始まっている

性能オーバーヘッドは現行で概ね5〜20%程度。FHEの数千倍オーバーヘッドとは次元が違う

残る課題

サイドチャネル攻撃：TEEのハードウェア実装に対する物理的攻撃（電力解析、タイミング攻撃等）は完全には防げない。Intel SGXは過去に複数の脆弱性が発見されている。

モデル重み保護との相反：企業はモデルの重みを秘匿したい。ユーザーはデータを秘匿したい。TEE内で両方が平文になるが、enclave内のコードがどちらの利益を優先するかはアテステーションで検証する設計が必要。

LLMのスケール問題：巨大モデルの全重みをenclave内に載せるメモリ制約。マルチGPU分散時のenclave間通信の保護。ここは活発な研究領域。

結論

「企業のサーバーで動かすが企業には見えない」は、TEE/Confidential Computingで今すでに技術的に可能で、商用展開が始まっている。FHEは将来的な補完技術だが、「モデルにデータを見せる」という要件にはTEEが直接的な解。