攻撃は前提、設計で無力化する
OpenAIが、外部サイトや文書に潜む悪意ある指示からエージェントを守るための設計指針を発表しました。
本稿ではその要点を踏まえつつ、実務で使える「権限・境界・監査」を核にした設計テンプレートを公開します。
今日から適用できるチェックリストと具体策をまとめました。
ポイントはシンプルです。
プロンプトだけでは守れないという事実を受け入れ、ツール実行と環境側で被害を作らせないこと。
業務システムの当たり前をエージェントにも持ち込み、安全な自律実行を実現します。
どこが危ない?プロンプトインジェクションの現在地
プロンプトインジェクションは、LLMに悪意ある命令を紛れ込ませ、設計者の意図を上書きする攻撃です。
直接型に加え、WebやPDFなど外部コンテンツに埋め込まれた命令を踏む間接型が増えています。
エージェントがツールやAPIを実行できるほど、影響は深刻になります。
実務文脈では、AWSの推奨やOWASP LLM Top 10が参考になります。
仕組みと対策の整理は以下をどうぞ。
「インジェクションは起きるものだと割り切り、起きても被害が出ないように実行系を守る。境界を引き、ツール実行を検証し、権限を分離し、危険操作には人間の関与を入れ、ログで追えるようにする。」
出典: CIO
設計原則:信頼境界・最小権限・検証の三本柱
信頼境界の分離
システムプロンプト、ユーザー入力、外部ドキュメントの混在を禁止します。
各レイヤは明示的にタグ付けし、モデルに「この枠外の命令は無視」と宣言します。
さらに、RAGの取り込み面とツール実行面はプロセスやネットワークで分離します。
実装上は、入力正規化、外部コンテンツのサニタイズ、HTML/Markdownの危険要素除去、URL許可リストを徹底します。
参考: ALSOK: 設計での分離
ツール実行の最小権限
エージェントのツール権限は役割ごとに細分化し、短命トークン・スコープ限定・書き込み禁止の既定値を採用します。
ファイルIOや外部送信はデフォルト遮断、ネットワーク到達先は許可リストのみとします。
危険操作は二段階確認、あるいはHuman-in-the-Loopを必須化します。
参考: AWS Blog
実行前後の検証と監査
モデルが提案したツール呼び出しは、ポリシーエンジンで事前検証します。
引数のスキーマ検証、目的整合性チェック、データ損失リスクの静的判定を自動化します。
全イベントは監査ログに保存し、追跡可能なIDで相互参照します。
メトリクスや検出ルールで異常を可視化し、レッドチーミングで継続評価します。
参考: Zenn: 監査と可視化
リファレンス実装を公開:ポリシー駆動の安全実行テンプレート
以下は、プロンプトインジェクション耐性を高めるための実行パイプラインのテンプレートです。
構成要素を差し替えれば、主要フレームワークやベンダーに適用できます。
- Ingress Gateway: 入力正規化、MIME/HTMLサニタイズ、URL/ドメイン許可リスト、サイズ制限。
- Retriever: RAG用。社内KBと外部Webを分離インデックス。メタデータで信頼度タグを付与。
- Planner: モデルの思考領域。信頼境界ラベルを維持したまま、候補プランとツール呼び出し案を生成。
- Policy Engine: RBAC/ABAC/目的整合・PII漏えい検査・コスト上限・到達先制御の事前審査。
許可/保留(HITL)/拒否を判定。 - Tool Runner (Sandbox): ネットワーク許可リスト・読み取り専用FS・短命認証で実行。
結果は署名付きで返却。 - Audit & Telemetry: すべての会話、プロンプト、ツール実行、判定根拠を相互参照IDで保存。
上記により、モデルが影響を受けても、最後の実行面で安全を担保できます。
「賢さ」より「制約」の原則をパイプに組み込みます。
参考: CIO
使い方:あなたのエージェントを今日から堅牢化
段階的に導入できるチェックリストを用意しました。
開発・検証・本番の順で適用してください。
- プロンプト衛生: システム/ユーザー/外部文脈を分離し、境界を明示。
自由記述をやめ、構造化入出力を基本に。 - 入力検査: 危険語や隠し命令の検出器を入口に配置。
学習モデル併用も可(例: ProtectAIの検出器紹介)。 - 権限と到達先: ツールごとのRBAC、短命トークン、ネットワーク許可リスト、書き込みはホワイトフォルダのみ。
- ポリシー前審査: ツール実行直前に、スキーマ/目的/情報露出/コストを機械的に審査。
- HITL: 送信・削除・決済など不可逆操作は人間承認を必須に。
- 監査とテレメトリ: プロンプト・実行・応答をトレースIDで紐付け、ダッシュボードで逸脱検知。
これらは既存のセキュリティ運用に馴染みます。
ゼロからの新規技術ではなく、既知の制御をエージェントに当てはめるだけです。
ユースケース別ガードレール実装
Webブラウズ型エージェント
クロール先は許可ドメインのみ、埋め込み要素やスクリプトは除去。
meta/alt/titleに指示が混入し得るため、信頼度タグを低く設定し、要約は常に検証プロンプトを併用します。
RAG/社内文書エージェント
取り込み前に前処理パイプラインで命令句抽出・除去。
コレクション単位で境界を分離し、業務別に読み取り専用を既定に。
ファイル生成・外部送信
機密度ラベルと宛先ポリシーを突合。
外部送信はDLPルールに一致しない場合のみ許可、送信前プレビューと承認を必須にします。
マルチエージェント
役割と権限をエージェントごとに最小化し、相互通信はメッセージ・スキーマで検証。
一体化させず、連携点にポリシー関門を置きます。
監視とレッドチーミング:検知で差がつく運用
攻撃は前提です。
観測と演習を継続して、設計の穴を早期に塞ぎます。
- 可観測性: プロンプト差分、ツール提案、拒否理由、承認者を紐付けて保存。
- 逸脱検知: 不自然な到達先、異常な引数、コスト急増をアラート化。
- レッドチーミング: 直接/間接インジェクションのテストケースを標準化し、リリース前に必ず実施。
参考: Zennレポート
AWSの解説にあるように、ガードレールと多層防御は必須です。
「堅牢なコンテンツフィルタリングとモデレーションの仕組みを実装することで、プロンプトインジェクションが成功するリスクを大幅に低減できます。」
出典: AWS Blog
よくある誤解と落とし穴
- 誤解: 強いシステムプロンプトで無効化できる
現実: 無効化できません。実行面の制約と検証が本丸です。 - 誤解: 検出モデルがあれば十分
現実: 検出は補助。許可リストと前審査が土台です。 - 誤解: 社内利用なら安全
現実: 間接型は社内文書からも起きます。取り込み前の前処理と監視が必要です。 - 落とし穴: 権限の複合化
便利さでツール増やしがち。役割ごとに別エージェント化し、権限を分割しましょう。
まとめ:賢いモデルより強い設計
OpenAIの指針が示す通り、エージェント安全性の核心はツール実行の制御、信頼境界の分離、監査可能な実行です。
プロンプトでの抑止に頼らず、実行系で被害を作らせない設計へ舵を切りましょう。
本稿のテンプレートは、小さく始めて段階導入できます。
まずは「到達先の許可リスト」「短命トークン」「前審査ポリシー」「HITL」「監査ログ」の5点から。
今日の運用に組み込み、攻撃を前提に進化させていきましょう。
参考リンク:
コメント