株式会社renue
AI導入・DXの悩みをプロに相談してみませんか?
AIやDXに関する悩みがありましたら、お気軽にrenueの無料相談をご利用ください。 renueのAI支援実績、コンサルティングの方針や進め方をご紹介します。
AIシステムのセキュリティは「従来のIT+AI固有」の二重対策が必要
AIシステムのセキュリティは、従来のWebアプリケーションセキュリティに加えて、AI固有の攻撃ベクトル(プロンプトインジェクション、データポイズニング、モデル窃取等)への対策が必要です。
OWASP GenAI Security Project(2026年版)では、生成AI特有のデータセキュリティリスクとして、学習データの汚染、プロンプト経由の情報漏洩、出力に含まれる個人情報を重点リスクに挙げています(OWASP)。
本記事では、AIプロジェクトのセキュリティ設計に必要な5領域のチェックリストを解説します。
セキュリティ設計の5領域
| # | 領域 | 対象 | AI固有のリスク |
|---|---|---|---|
| 1 | 認証・認可 | 誰がシステムにアクセスできるか | AIエージェントの権限管理、API呼び出しの認証 |
| 2 | データ保護 | データの機密性・完全性・可用性 | 学習データへの機密情報混入、AIの出力に含まれるPII |
| 3 | 入出力制御 | AIへの入力と出力の制御 | プロンプトインジェクション、脱獄、有害コンテンツ生成 |
| 4 | インフラ | ネットワーク・クラウド基盤 | SSRF(サーバーサイドリクエストフォージェリ)、API情報露出 |
| 5 | 監査・ログ | 誰がいつ何をしたかの記録 | AIの判断根拠のトレーサビリティ |
領域1:認証・認可
| # | チェック項目 | 推奨実装 |
|---|---|---|
| 1-1 | API認証方式 | APIキー or OAuth 2.0。APIキーは環境変数で管理(コードにハードコード禁止) |
| 1-2 | MFA(多要素認証) | 管理者アクセスにはMFA必須 |
| 1-3 | RBAC(ロールベースアクセス制御) | 最小権限の原則。AIエージェントにも適切な権限範囲を設定 |
| 1-4 | セッション管理 | セッションタイムアウト設定、試行回数制限、ロックアウト |
| 1-5 | AIエージェントの認証 | エージェントごとにAPIキーを発行し、ツールのAllowlist管理 |
領域2:データ保護
| # | チェック項目 | 推奨実装 |
|---|---|---|
| 2-1 | 保存時暗号化 | AES-256暗号化。鍵はKey Vault/KMS等で管理 |
| 2-2 | 通信時暗号化 | TLS 1.3以上。HTTP通信は禁止 |
| 2-3 | PII(個人情報)管理 | AIに入力するデータからPIIを事前にマスキング or 匿名化 |
| 2-4 | 学習データの機密管理 | 学習データに機密情報が含まれていないか事前監査 |
| 2-5 | データ保持期間 | 不要なデータは定期削除。保持期間をポリシーで定義 |
| 2-6 | バックアップ | 日次バックアップ、暗号化保存、保持期間30日以上 |
領域3:入出力制御(AI固有)
| # | チェック項目 | 推奨実装 |
|---|---|---|
| 3-1 | プロンプトインジェクション対策 | 入力フィルタで悪意あるプロンプトを検知・ブロック |
| 3-2 | 出力のPII検知 | AIの出力に個人情報が含まれていないか自動チェック |
| 3-3 | 有害コンテンツフィルタ | 差別的・暴力的・違法なコンテンツの出力をブロック |
| 3-4 | 出力のスキーマバリデーション | AIの出力が期待する形式(JSON等)に準拠しているか検証 |
| 3-5 | レート制限 | 1ユーザーあたりのAPI呼び出し回数を制限し、濫用を防止 |
領域4:インフラセキュリティ
| # | チェック項目 | 推奨実装 |
|---|---|---|
| 4-1 | SSRF(サーバーサイドリクエストフォージェリ)対策 | ユーザー入力のURLを無検証でリクエストしない。内部ネットワーク・メタデータへのアクセスをブロック |
| 4-2 | CORS設定 | allow_origins=["*"]は禁止。許可ドメインを明示的にリスト化 |
| 4-3 | デバッグエンドポイント | 本番環境でのデバッグエンドポイントを無効化 |
| 4-4 | VPC/ネットワーク分離 | AI処理用のサブネットを分離し、インターネットからの直接アクセスを遮断 |
| 4-5 | IAM/権限管理 | 最小権限の原則でIAMロールを設計。Managed Identityの活用 |
領域5:監査・ログ
| # | チェック項目 | 推奨実装 |
|---|---|---|
| 5-1 | アクセスログ | 全APIアクセスを記録(誰が/いつ/何を) |
| 5-2 | AI判断ログ | AIの入力(プロンプト)・出力(回答)・使用モデルを記録 |
| 5-3 | 異常検知 | 通常パターンから逸脱するアクセスを自動検知・アラート |
| 5-4 | ログ保持期間 | 最低1年保持(規制要件に応じて延長) |
| 5-5 | ログの改ざん防止 | ログをイミュータブルストレージに保存 |
セキュリティ設計の進め方
- 脅威モデリング(Week 1-2):AIシステム固有の攻撃ベクトルを洗い出し、リスクを評価
- 設計・実装(開発と並行):上記チェックリストに基づき、各領域のセキュリティ対策を実装
- セキュリティテスト(リリース前):ペネトレーションテスト、攻撃テスト(プロンプトインジェクション等)を実施
- セキュリティ審査(リリース前):社内の情報セキュリティ部門によるレビュー。規制要件への準拠確認
- 継続的監視(リリース後):ログ監視、異常検知、定期的な脆弱性スキャン
FAQ
Q1. AIのセキュリティ審査はどのくらい時間がかかりますか?
企業の規模や規制要件によりますが、平均4.3ヶ月です。開発と並行して早期に審査に着手してください。
Q2. LLM APIにデータを送信しても安全ですか?
Enterprise契約のLLM API(OpenAI Enterprise、Claude for Business等)はデータが学習に使われない契約です。ただし、PIIや機密情報は事前にマスキングして送信してください。
Q3. プロンプトインジェクションは完全に防げますか?
完全な防止は困難ですが、入力フィルタ+システムプロンプトの堅牢化+出力検証の多層防御で実用的なレベルまでリスクを低減できます。
Q4. ゼロトラストアーキテクチャはAIにも適用すべきですか?
はい。AIシステムへのアクセスも「常に検証、決して信頼しない」の原則を適用してください。特にAIエージェントが外部ツールを呼び出す場合、各呼び出しごとに認証を検証する設計が推奨です。
Q5. セキュリティ設計のコストはどのくらいですか?
プロジェクト全体の15〜25%が目安です。セキュリティを後回しにすると、インシデント発生時のコストはこの数倍になります。
AIシステムのセキュリティ設計でお困りですか?
renueでは、AIシステムのセキュリティ設計から脆弱性診断、運用監視まで一気通貫で支援しています。セキュリティ監査の実施実績と、OWASP/NISTに準拠した設計知見があります。