基盤として、Large Language Model(LLM)アプリケーション向けOWASP Top 10は、より安全なAIワークロードを実装する方法について、ソフトウェア開発者、セキュリティアーキテクト、その他の実務担当者を教育する目的で設計されました。
このフレームワークは、これまでにLLMで観測された最も重大な脆弱性とその緩和策を明示的に示すことで、LLMアプリケーションの導入・運用に伴う潜在的なセキュリティリスクを規定しています。Web上には、OWASP Top 10 for LLMsのようなオープンソースのリスク管理プロジェクトの必要性と利点を記したリソースが数多く存在します。実際、このプロジェクトは現在、Top 10リストにとどまらない複数のセキュリティ施策を包含するグローバルな取り組みである包括的なOWASP GenAI Security Projectへと発展しました。
多くの実務者は、組織内で生成AI(GenAI)技術の展開をより適切に管理するために、部門横断チームがどのように足並みを揃えられるのかを見極めるのに苦労しています。市場では、GenAIワークロードを安全に導入するための包括的なセキュリティコントロールが強く求められています。さらに、CISOがこれらのプロジェクトがどのように役立つのか、またOWASP Top 10 for LLMsとMITRE ATT&CKやMITRE ATLASといった他の業界脅威マッピングフレームワークとの固有の違いをよりよく理解するための教育も必要です。
AI、ML、LLMの違いを理解する
人工知能(AI)は、過去数十年で飛躍的な成長を遂げてきました。1951年まで遡ると、アイザック・アシモフがSFの概念「ロボット工学三原則」を発表した翌年、クリストファー・ストレイチーがチェッカー(英国ではドラフツとして知られる)をプレイするために最初のAIプログラムを書きました。
AIは、人間の行動に似たタスクを機械が実行できるようにするコンピュータサイエンスのあらゆる分野を包含する広義の用語にすぎませんが、機械学習(ML)とGenAIはAIの明確に定義された2つのサブカテゴリです。
MLがGenAIに置き換えられたわけではありません。MLアルゴリズムは、データセットで学習し、そのデータから学び、予測に用いられることが多い傾向があります。これらの統計モデルは、天気予報や異常行動の検知に利用できます。MLは金融・銀行システムの重要な構成要素であり、望ましくない挙動を検知するためにサイバーセキュリティでも日常的に利用されています。
一方、GenAIには独自のユースケースがあります。新しいデータを生成するMLの一種だと考えることができます。GenAIはしばしばLLMを利用して既存データを統合し、それを活用して新しいものを作り出します。例としては、ChatGPTやSysdig Sage™のようなサービスがあります。AIエコシステムが急速に進化する中、組織は高いスケーラビリティとクラウドでのシームレスなオーケストレーションの利点を活かすため、Llama 2、Midjourney、ElevenLabsといったGenAIソリューションをクラウドネイティブおよびKubernetes環境へとますます導入しています。
この変化は、AIワークロードを保護できる堅牢なクラウドネイティブ・セキュリティフレームワークの必要性を加速させています。この文脈では、AI、機械学習(ML)、LLMの違いは、セキュリティ上の影響と、それらを効果的に管理するために必要なガバナンスモデルを理解するうえで極めて重要です。
OWASP Top 10とKubernetes
企業がLlamaのようなツールをクラウドネイティブ環境に統合する際、これらのAIワークロードを効率的に管理するためにKubernetesのようなプラットフォームに依存することがよくあります。クラウドネイティブ基盤への移行は、OWASP Top 10 for Kubernetesおよびより広範なOWASP Top 10 for Cloud-Nativeシステムのガイダンスで強調されているように、新たな複雑性の層をもたらします。
Kubernetesが提供する柔軟性とスケーラビリティにより、GenAIモデルのデプロイとスケールは容易になりますが、これらのモデルは組織にまったく新しい攻撃対象領域ももたらします。だからこそ、セキュリティリーダーは警告に注意を払う必要があります。クラウドプラットフォーム上で動作するコンテナ化されたAIモデルは、従来のオンプレミス導入や他のクラウドネイティブなコンテナ環境とは大きく異なるセキュリティ上の懸念にさらされます。これは、AIの急速な導入に伴うリスクを適切に可視化するための包括的なセキュリティツールの必要性を浮き彫りにしています。
信頼できるAIの責任者は誰か?
GenAIの進歩と恩恵は今後も続き、各イノベーションとともに新たなセキュリティ課題が生じます。信頼できるAIには、信頼性、レジリエンス、そして社内データと機微な顧客データの双方を保護する責任が求められます。
規制の観点では、EU AI Actが初の包括的AI法です。これは2025年に施行されました。EU一般データ保護規則(GDPR)はLLMの利用を念頭に特別に設計されたものではないため、その広範な適用範囲は、データ収集、データセキュリティ、公平性と透明性、正確性と信頼性、説明責任といった一般原則を通じてのみAIシステムに適用されます。
EUとは異なり、米国には現在、AIシステムに特化した包括的な連邦AI法がありません。このため、一部の州が独自の規制を制定するに至っています。州レベルのAI法のパッチワークが拡大しており、20以上の州がAI規制を検討中または可決しています。これは実質的に、公式なAIガバナンスをめぐる進化し続ける競争です。
最終的に、信頼できるAIの責任は、開発者、セキュリティエンジニアリングチーム、そしてリーダーシップの共同責任にあります。EU AI Actのような政府規制がコンプライアンスを強制するのを待つのではなく、AIシステムが信頼性が高く、安全で、倫理的であることを能動的に確保しなければなりません。
LLMのセキュリティとガバナンスを組み込む
各国でAIのガバナンス標準が正式に定義されるのを待つ間、私たちは当面何ができるでしょうか。助言はシンプルです。既存の確立されたプラクティスとコントロールを実装すべきです。GenAIはサイバーセキュリティ、レジリエンス、プライバシー、法的・規制要件への準拠に新たな次元を加えますが、長年存在してきたベストプラクティスは、AIセキュリティに対処するうえで依然として有効な方法です。
AI資産インベントリ
AI資産インベントリは、社内開発のAIソリューションだけでなく、外部またはサードパーティのAIソリューションにも適用されるべきであることを認識することが重要です。そのため、資産管理でAIインベントリ専用のタグを指定し、既存のAIサービス、ツール、オーナーをカタログ化する明確な必要性があります。Sysdigのアプローチは二本立てです。当社のAIワークロードセキュリティソリューションは、環境内でAIパッケージがどこで稼働しているかを自動的に特定します。この洞察は、ランタイムイベント、脆弱性、設定ミスといった他のシグナルと組み合わせて、AIリスクを顕在化させるために使用されます。
Sysdigはまた、組織がソフトウェア部品表 (SBOM)にAIコンポーネントを含めることも支援し、セキュリティチームがGenAIワークロードに関連するすべてのソフトウェアコンポーネント、依存関係、メタデータの包括的なリストを生成できるようにします。AIデータソースを特定してカタログ化することで、セキュリティチームはリスクの重大度レベルに基づいてAIワークロードの優先順位付けをより適切に行えます。
ポスチャ管理
ポスチャの観点では、OWASP Top 10の所見を適切にレポートできるツールを用意すべきです。Sysdigでは、これらのレポートが事前にパッケージ化されており、エンドユーザーがカスタムコントロールを設定する必要がありません。これにより、より正確なコンテキストを確保しつつ、レポート生成が高速化されます。
LLMベースのワークロードの大半がKubernetes上で稼働しているため、OWASP Top 10 for Kubernetesで強調されている各種セキュリティポスチャコントロールへの準拠を確実にすることは、これまで以上に重要です。
さらに、企業のLLMセキュリティ戦略をMITRE ATLASに連携・マッピングすることで、同じ組織が、APIセキュリティ標準などの現行プロセスでLLMセキュリティがどこまでカバーされているか、また追加のセキュリティギャップがどこに存在し得るかをより適切に判断できるようになります。MITRE ATLAS(「Adversarial Threat Landscape for Artificial Intelligence Systems」の略)は、既知の悪意ある攻撃者によるMLシステムへの攻撃の実例に基づくナレッジベースです。OWASP Top 10 for LLMsが能動的なLLMセキュリティ戦略をどこで強化すべきかの指針を提供できる一方で、MITRE ATLASの所見は、よく知られたMITRE ATT&CKアーキテクチャに基づく戦術・技術・手順(TTP)を理解するために、Falcoの脅威検知ルールやSysdigのルールと整合させることができます。
結論
LLMベースのワークロードをクラウドネイティブ環境に導入すると、ビジネスが既に持つ攻撃対象領域が拡大します。当然ながら、LLMアプリケーション向けOWASP Top 10の公式リリースで強調されているとおり、これはMITRE ATLASのようなフレームワークが提供する専門的な戦術と防御を必要とする新たな課題をもたらします。
Kubernetes上で稼働するAIワークロードは、確立されたサイバーセキュリティの事後レポート手順や、Kubernetes向けOWASP Top 10の緩和戦略を含む、標準的なKubernetesセキュリティのベストプラクティスの恩恵を受けます。OWASP Top 10 for LLMsを既存のクラウドセキュリティコントロール、プロセス、手順に統合することは、進化するAI脅威への露出を大幅に低減するうえでも役立ちます。
GenAIセキュリティについてさらに知りたいですか? Securing AI: Navigating a New Frontier of Security Riskを入手してください。
翻訳元: https://www.sysdig.com/blog/owasp-top-10-for-llms
