株式会社ブレインパッド プロダクトユニットの城田です。
弊社は「データ活用の促進を通じて持続可能な未来をつくる」をミッションに、
データ分析支援やSaaSプロダクトの提供を通じて、企業の「データ活用の日常化」を推進しております。
現在は開発提供をしているプロダクトの運用保守や案件での導入開発を担当しております。
はじめに
生成AIが登場してから生活を便利にしたり、生成AIを活用することであらゆるビジネスが加速しているのを実感していますが、一方でサイバー攻撃(最近だとランサムウェアのニュース多いですよね、、)などに悪用されるケースや生成AI特有の脆弱性を利用した攻撃もよく見るようになりました。
私自身はセキュリティの専門家ではありませんが、生成AI時代のプロダクト開発においてどのようなリスクや対策が必要なのかをキャッチアップするため、ガイドラインや関連ツールを観点別にまとめてみました。
本記事では、各ガイドラインやツールに関する比較や具体的なセキュリティ対策手段などの紹介はしておりませんので予めご了承ください。
また、自身が用いていない生成AIやクラウド周りについても記載していません。
📑 目次
生成AIを開発に利用する上でのセキュリティ
📚 ガイドライン
| 名称 | 発行元 |
|---|---|
| AI事業者ガイドライン | 経済産業省 |
| AI EXCHANGE | OWASP |
| テキスト生成AI導入・運用ガイドライン | IPA |
| 生成AI開発契約/利用ガイドライン | JDLA |
| 記事:【2025年版】バイブコーディングのセキュリティ完全ガイド | SHIFT AI |
ソフトウェア開発全般のセキュリティ
📚 ガイドラインなど
| 種別 | 名称 | 発行元 |
|---|---|---|
| 全般ガイド | ASVS(アプリケーションセキュリティ検証標準) | OWASP |
| Cheat Sheet Series | OWASP | |
| ゼロトラストアーキテクチャ(SP 800-207) | NIST(PwC翻訳版) | |
| OWASP DevSecOps Guideline | OWASP | |
| 言語別ガイド | Python / Node.js / Go / Java / Rails | 各言語のセキュリティベストプラクティス |
| クラウド別ガイド | Well-Architected フレームワーク - セキュリティの柱 | AWS |
| AWS Foundational Security Best Practices | AWS | |
| AWS Security Reference Architecture | AWS | |
| Well-Architected Framework | Google Cloud | |
| Security Best Practice Center | Google Cloud | |
| Enterprise foundations blueprint | Google Cloud |
📋 関連情報
| カテゴリ | 項目 | 備考 |
|---|---|---|
| 脆弱性情報 | JVN / NVD / CVE | JPCERT・IPA / NIST / MITRE |
| 脅威動向(IPA 10大脅威 2025) | 1位:ランサムウェア | 暗号化・二重脅迫による被害継続 |
| 2位:サプライチェーン攻撃 | 取引先・OSS経由の侵害 | |
| 3位:脆弱性攻撃 | パッチ未適用システムへの攻撃 | |
| 4位:内部不正 | 従業員による情報漏洩・不正操作 | |
| 5位:機密情報等を狙った標的型攻撃 | 民間企業、官公庁、団体等への機密情報窃盗 | |
| 6位:リモートワーク等の環境や仕組みを狙った攻撃 | VPN等の製品の脆弱性を利用した攻撃 | |
| 7位:地政学的リスク(新規) | 自国競争優位性を目的とした攻撃 | |
| 8位:分散型サービス妨害(DDoS)攻撃 | 高負荷攻撃 | |
| 9位:ビジネスメール詐欺 | 組織の従業員を標的にした振り込め詐欺 | |
| 10位:不注意による情報漏えい等 | 従業員等の情報リテラシーの低さなどから発生 | |
| 代表的な対策情報 | インジェクション対策 | パラメータ化クエリ、入力検証、出力エスケープ |
| 認証・セッション管理 | MFA(多要素認証)実装、セッションタイムアウト、CSRF(クロスサイトリクエストフォージェリ)対策 | |
| XSS(クロスサイトスクリプティング)対策 | 出力エスケープ、CSP(Content Security Policy)設定、HttpOnly Cookie | |
| アクセス制御 | RBAC(ロールベースアクセス制御)/ABAC(属性ベースアクセス制御)実装、最小権限の原則 | |
| 暗号化 | AES-256-GCM、TLS 1.3、適切な鍵管理 | |
| SAST(Static Application Security Testing:静的アプリケーションセキュリティテスト) | ツール:Semgrep / CodeQL / Bandit | 静的解析(多言語対応 / GitHub統合 / Python特化) |
| SCA(Software Composition Analysis:ソフトウェア構成分析) | ツール:Trivy / Snyk / Dependabot | 依存関係チェック(コンテナ対応 / 修正提案 / 自動更新) |
| DAST(Dynamic Application Security Testing:動的アプリケーションセキュリティテスト) | ツール:OWASP ZAP / Burp Suite | 動的解析(無料・多機能 / プロ向け) |
| IaC(Infrastructure as Code:コードによるインフラ管理)スキャン | ツール:tfsec / Checkov | IaCスキャン(Terraform / マルチIaC |
| SBOM(Software Bill of Materials:ソフトウェア部品表) | ツール:Syft / Grype | SBOM生成 / コンテナ脆弱性スキャン |
| CI/CD(継続的インテグレーション/継続的デリバリー)統合 | ツール:CircleCI / GitHub Actions / GitLab CI / Azure DevOps | セキュリティスキャンワークフロー |
| シークレットスキャン | ツール:Gitleaks / GitGuardian | シークレット検出(Git履歴対応 / リアルタイム) |
| クラウドサービス:AWS | IAM / Secrets Manager / KMS(Key Management Service) | ID管理、シークレット管理、暗号鍵管理 |
| GuardDuty / Security Hub / CloudTrail | 脅威検知、統合管理、監査ログ | |
| AWS Security Agent(プレビュー) | 自律型セキュリティ診断(設計〜テスト) | |
| WAF(Web Application Firewall) / Shield / Inspector | Webアプリ保護、DDoS(分散型サービス妨害)防御、脆弱性スキャン | |
| クラウドサービス:Google Cloud (GCP) | Cloud IAM / IAP(Identity-Aware Proxy) / Secret Manager / Cloud KMS | ID管理、ゼロトラストアクセス、シークレット・鍵管理 |
| Security Command Center / Google Security Operations | 統合セキュリティ管理、SIEM(セキュリティ情報イベント管理) | |
| Cloud Armor / VPC Service Controls / Cloud DLP | WAF・DDoS防御、データ境界、データ保護 |
生成AIを組み込んだソフトウェアのセキュリティ
📚 ガイドラインなど
| 種別 | 名称 | 発行元 |
|---|---|---|
| LLM脆弱性リスト | OWASP Top 10 for LLM Applications 2025 | OWASP |
| フレームワーク | AI RMF (AI Risk Management Framework) | NIST |
| MITRE ATLAS (Adversarial Threat Landscape for AI Systems) | MITRE | |
| ガイドライン | AI事業者ガイドライン | 経済産業省 |
📋 関連情報
| カテゴリ | 項目 | 備考 |
|---|---|---|
| OWASP LLM Top 10 (2025):内容と対策 | 1位:プロンプトインジェクション | 悪意ある入力でLLM動作を操作、直接/間接の両形態 |
| 2位:機密情報漏洩 | LLMが学習データ・システム情報・ユーザーデータを出力 | |
| 3位:サプライチェーン脆弱性 | モデル・プラグイン・学習データの改ざん・汚染 | |
| 4位:データ/モデルポイズニング | 学習データ汚染による動作変更・バックドア | |
| 5位:不適切な出力処理 | LLM出力の検証不足によるXSS・SQLインジェクション・コード実行 | |
| 6位:過剰な権限付与 | LLMへの不必要な権限・機能・自律性の付与 | |
| 7位:システムプロンプト漏洩 | システムプロンプト・指示の外部流出 | |
| 8位:ベクトル/埋め込みの弱点 | RAGシステムのベクトルDB操作・検索汚染 | |
| 9位:誤情報生成 | ハルシネーション、虚偽情報、誤った事実の出力 | |
| 10位:無制限の消費 | リソース枯渇攻撃、コスト爆発、DoS(サービス妨害) | |
| 対策ツール | Garak / PyRIT / Promptfoo | LLM脆弱性スキャン / AIレッドチーム / プロンプトテスト |
| LLM Guard / NeMo Guardrails / Guardrails AI | ガードレール(入出力フィルタリング、対話制御、バリデーション) | |
| Rebuff / Lakera Guard | プロンプトインジェクション検出、リアルタイム保護 |
まとめ
今回は自身に関連する範囲での情報まとめになってしまいましたが、誰かのお役に立てれば幸いです。
最後までお読みくださりありがとうございました!