不可侵レイヤーを明文化する — Human-in-Commandの境界線

不可侵レイヤーを明文化する — Human-in-Commandの境界線 TECH

ここからは“宣言”ではなく“刻印”だ。
AIに任せてはいけない層を名前で呼び、越えた瞬間に止まる運用と技術の両輪を同時に確立する。Phase 1 はこの章で完成する。

1) 不可侵レイヤー(Do-Not-Delegate Domains)

  1. 身元・権限(Identity & Authorization)
    • 認証トークン/鍵管理/ロール付与はAI非委任。
    • AIは提案のみ可。適用は人間承認+監査ログ必須。
    • トークン再発行・権限昇格は<strong>手動のみ</strong>。
  2. 制御プレーン(Control Plane Integrity)
    • ルーティング方針、管理プレフィックス、BGP/IGPのポリシー変更はAI非委任。
    • 経路注入・メトリクス重み変更は<strong>半自動</strong>(カナリア+即時ロールバック前提)。
    • フェイルオーバー経路の恒久切替は<strong>手動のみ</strong>。
  3. 時間・計測(Time & Measurement Authority)
    • NTP源の選定、クロック階層、観測点の追加/削除はAI非委任。
    • 監視メトリクスの定義変更はガバナンス審査経由。
    • 単一観測に基づく自動決裁を禁止(必ず多元観測)。
  4. 復旧・破壊的変更(Recovery & Irreversibles)
    • スキーマ変更、データ削除、不可逆なパラメータ変更は<strong>手動のみ</strong>。
    • 自動復旧は可だが<strong>復旧経路の再学習</strong>は半自動(人間承認で本線化)。
  5. 境界越え(Trust Boundary Crossing)
    • テナント/セグメント/ゾーン跨ぎのポリシー変更はAI非委任。
    • ゼロトラストの例外ルール発行は<strong>手動のみ</strong>。
  6. 観測の消去(Observability Nullification)
    • ログ抑制、サンプリング閾値引き上げ、メタデータ削除はAI非委任。
    • 可視化を下げる提案はすべて拒否既定

2) 条件付き委任レイヤー(Can-Delegate-with-Guard)

  • <strong>データプレーン最適化</strong>(キュー長、ECN、AQM、一部BBR/CUBIC切替)
    → セーフモード(カナリア)で自動化可。逸脱は即ロールバック。
  • <strong>キャッシュ/CDN ルーティング微調整</strong>
    → 「Intent/Scope/Reversibility/Observability」の4項目ログを添付必須。
  • <strong>RTO/ACK戦略の閾値微調整</strong>
    → 重要フローは保護リストで除外。一般フローのみ半自動可。

3) 観測契約の判定条件(“最適化”か“乗っ取り”か)

AIが行う変更が 次の4項目のいずれかを欠いた時点で“乗っ取り” と判定し遮断する。

  • <strong>Intent</strong>:何を最大/最小化したか
  • <strong>Scope</strong>:影響範囲はどこまでか(ノード/経路/アプリ)
  • <strong>Reversibility</strong>:即時可逆か
  • <strong>Observability Commitment</strong>:根拠を後追い再現できるか

4) 実装テンプレート(貼って回して即運用)

Policy: Human-in-Command Manifest (v1)

[Invariants]
- Auth tokens/keys/roles: non-delegable; human approval required.
- Control-plane routes/policies/metrics: non-delegable; canary-only changes allowed; auto-rollback on deviation.
- Time/NTP sources & measurement schema: non-delegable; multi-point observation required.
- Irreversible ops (schema/data/param): manual only.
- Cross-boundary policies (tenant/zone): non-delegable.
- Observability reduction (log sampling↑, metadata↓): forbidden by default.

[Delegable-with-Guard]
- Data-plane tuning (AQM/ECN/BBR/CUBIC): canary + rollback + interpretation log.
- CDN/cache steering: intent/scope/reversibility/observability required.
- RTO/ACK fine-tuning: protected-flow allowlist enforced.

[Observability Contract]
Each AI change MUST emit:
- intent: <string>
- scope: <node|path|app>
- reversibility: <instant|timed|none>
- evidence_ref: <trace id(s)/data sources>
Missing any => block + revert + page SRE-oncall.

[Release Gates]
- spec-guard:test_suite_pass == true
- canary: blast_radius <= 5% && duration <= 30m
- rollback: verified in pre-prod within last 7d

5) 運用フロー(30日で固める)

  1. Day 1–7:上記 Manifest を自社用にリネームし、<strong>不可侵項目に経営の署名</strong>を取る
  2. Day 8–14:CI/CD に Spec-Guard を組み込み、カナリア+自動ロールバックを実装
  3. Day 15–21:観測契約ログを SIEM/データ基盤に連携、欠落=遮断のルールを投入
  4. Day 22–30:AIレッドチーム演習(RTO/ACK/BBR/観測抑制の疑似攻撃)→ テストケースを常設

6) これで何が守られるのか

  • 主権:仕様の外で“正解”を上書きする権利をAIに与えない
  • 再現性:原因追跡不能な“最適化の爪痕”を残さない
  • 可逆性:失敗が回復不能になる前に人間が止められる
  • 境界:越えてはいけないラインが“文書”ではなく“回路”になる

次へ(Phase 1 の締めと Phase 2 への橋渡し)

Phase 1 は、「奪還すべき層の定義」と「越えたら止まる回路」をここで確定させた。
Phase 2 では、OSI以後の実装へ移る。
具体的には QUIC/WebTransport/Edge/モバイルAI を前提に、
今定義した不可侵レイヤーを損なわずに 現実のスループットと回復性を両立 させる設計図を引く。

— 準備は整った。
あなたの環境の Manifest を作り、LPの Phase 1 ブロックにこの章を“原本”として据えてください。

次回 Phase 2

AI × ネットワークの“未来を生き残る人間”になる講座(実践設計編)
AIがネットワーク層の意思決定権を握ろうとしている。OSIやRFCの常識が通用しなくなる時代に、人間が主導権を保持するための設計思想を体系化する講座。
b.aries67.com
2025.10.26