GSX、生成AIを組み込んだWebアプリケーションの脆弱性を診断する「AIプロンプト診断」を提供

　グローバルセキュリティエキスパート株式会社（以下、GSX）は27日、生成AIをセキュアに活用するための「AIプロンプト診断（AI Prompt Security）」サービスの提供を開始した。

　サービスは、ChatGPT APIなどの生成AIを組み込んだWebアプリケーションに対し、プロンプトインジェクションやプロンプトリークなど、AI特有の脆弱性を診断するもの。グローバル標準であるOWASP LLM Top 10に基づく8つの診断カテゴリーにより、AI環境のセキュリティリスクを網羅的に可視化する。

　生成AI時代に不可欠となる新たなセキュリティ基準を提供することで、安心して生成AIを活用できる環境構築を支援する。

プロンプトインジェクションのイメージ

　GSXでは、OWASPが2025年版で発表した「Top 10 for LLM Applications」では、プロンプトインジェクションが第1位の最重要リスクとして位置付けられており、本番AIデプロイメントの73％超でこの脆弱性が検出されている説明する。生成AIを業務に組み込む企業が増える一方で、AI固有のセキュリティ制御を導入済みの企業はわずか34％にとどまり、導入スピードとセキュリティ対策の整備に大きなギャップが生じているという。

　GSXはまた、機密情報の漏えい、著作権侵害、ハルシネーションによる誤情報拡散など、生成AI特有のリスクは企業の信用を揺るがす重大なインシデントにつながる可能性があり、適切な対策なしに利用することは経営リスクそのものとなっていると指摘する。

　AIプロンプト診断は、従来のWebアプリケーションには存在しなかったAI特有の新たな攻撃ベクトルに対応し、LLMアプリケーションを取り巻く脅威ランドスケープを網羅的に検査する。GSXの実践的な検査手法と、グローバル標準のOWASP LLM Top 10を融合させることで、企業は生成AIの利便性を享受しながら、経営層が安心できるセキュリティレベルを確保できるとしている。

　OWASP LLM Top 10に準拠した網羅的な診断により、グローバル標準に基づく8つの診断カテゴリーでAI特有のリスクを漏れなく検査し、プロンプトインジェクション、プロンプトリーク、データポイズニングといった最新の攻撃手法に対応する。

　4段階の総合評価で経営層は現在のリスクレベルを直感的に把握でき、問題の原因と具体的対策が記載されるため、開発現場は即座に修正アクションに移行できる。

　脆弱性の特定に加えてシステム全体での「Defense in Depth（多層防御）」の確立を支援し、AIモデルのセキュリティ、権限管理、アクセスコントロール、データセキュリティまで一貫した対策を提案する。