解説

OWASP LLMトップ10で学ぶ生成AIセキュリティの急所

admin · · 最終更新 2026年5月17日 · 6 min read

OWASP LLM Top 10

OWASP(Open Worldwide Application Security Project)が公開する LLM Application Top 10 は、大規模言語モデル(LLM)を組み込んだアプリケーションが直面する代表的なセキュリティリスクを 10 項目に整理したフレームワークである。Web アプリケーション向けの「OWASP Top 10」と同様、業界横断の参照点として広く引用される。本稿では、各項目の技術的な意味と、エンジニア以外の意思決定者が理解すべき含意を整理する。

OWASP LLM Top 10 — 各項目の技術的な解説

LLM01: Prompt Injection(プロンプトインジェクション)

攻撃者が用意した文字列(直接 or 文書経由)を LLM に解釈させ、本来与えられた指示を上書きする攻撃。SQL インジェクションのテキスト版に相当する根源的リスクで、Indirect Prompt Injection(外部文書経由)も含む。緩和は入力/出力の双方制御、System Prompt の分離、ツール実行の許可リスト化など重層防御。

LLM02: Insecure Output Handling(安全でない出力の取扱い)

LLM の出力を、検証なしに後続システム(コード実行・SQL クエリ・シェル・HTML レンダリング)に渡すことで生じる脆弱性。XSS、SSRF、RCE 等の伝統的な脆弱性が「LLM 出力経由」で再発する。出力は信頼境界を越える前に必ず検証・サニタイズする。

LLM03: Training Data Poisoning(学習データ汚染)

事前学習・ファインチューニング・RAG の各段階で、攻撃者が汚染データを混入することで、モデルの応答にバイアスやバックドアを仕込む。社内 RAG での外部文書取り込みは特に注意。データ来歴(provenance)の追跡と取り込み段階での検査が要点。

LLM04: Model Denial of Service(モデル DoS)

計算資源を意図的に消費させるクエリ(極端に長い入力、再帰呼び出し、ツール連鎖の無限化)でサービスを停止させる。トークン消費上限、レート制限、ツール呼び出し回数の上限設定で対策。

LLM05: Supply Chain Vulnerabilities(サプライチェーン脆弱性)

事前学習済みモデル、データセット、フレームワーク(LangChain、LlamaIndex 等)の依存関係に潜む脆弱性。AI 専用の SBOM(AI Bill of Materials)の整備と、モデル来歴・ハッシュ検証の標準化が進行中。

LLM06: Sensitive Information Disclosure(機密情報の漏えい)

LLM の応答に、システムプロンプト、学習データ、社内文書、顧客情報が含まれて漏えいする。出力フィルタ、システムプロンプトの分離保管、RAG ドキュメントへのアクセス制御で対策。

LLM07: Insecure Plugin Design(安全でないプラグイン設計)

LLM がツール / プラグインを呼び出すアーキテクチャで、入力検証・権限分離・実行範囲制限が甘い場合、LLM の判断ひとつでサーバー上の任意操作が成立する。プラグイン側で「人間ユーザーと同様の最小権限」を厳格に適用。

LLM08: Excessive Agency(過剰な権限委譲)

エージェント型 AI に対し、本来不要な範囲のツール呼び出し権限・データアクセス権限を与えてしまう設計上の問題。Human-in-the-loop、ツールごとの確認プロンプト、自動承認の閾値設定で緩和。

LLM09: Overreliance(過剰依存)

LLM の出力を検証なしに業務判断・コミュニケーション・コード生成に組み込むことで、誤情報やバイアスが組織判断に蓄積する。出力レビューの組織プロセス化、業務領域ごとの「LLM 出力責任範囲」の文書化。

LLM10: Model Theft(モデルの窃取)

API への大量クエリでモデルの応答をサンプリングし、同等性能のモデルを再構築する攻撃(Model Extraction)。API レート制限、課金監視、出力多様性の制御で対策。

非エンジニア向け — 経営・管理部門に向けた解説

なぜ OWASP LLM Top 10 を知るべきか

10 項目すべてを技術的に理解する必要はない。重要なのは「自社が AI を業務に組み込む際、避けるべき典型的失敗パターンの語彙」を持つことである。ベンダー選定、社内ガイドライン策定、監査時の質問項目において、共通フレームワークがあると議論の効率が大きく上がる。

非エンジニアが押さえるべき 3 つの分類

  • 「AI を騙される」リスク(LLM01・LLM02・LLM03):プロンプトインジェクション、出力悪用、学習データ汚染。攻撃者から仕掛けられる側面
  • 「AI を運用する」リスク(LLM04・LLM05・LLM07・LLM08・LLM10):自社の運用設計・サプライチェーン管理・権限設計の問題
  • 「AI に頼りすぎる」リスク(LLM06・LLM09):機密情報の漏えい、業務判断の誤誘導。組織文化と業務プロセス側の課題

経営判断のポイント

  • AI ベンダー選定の際、「OWASP LLM Top 10 のどの項目にどう対応しているか」を提案書要件に組み込むのは現実的かつ実効的
  • 社内 AI ガイドラインの章立てを、Top 10 の分類に揃えると、社員へのトレーニングと監査がしやすくなる
  • セキュリティ部門と AI 推進部門の共通言語として、OWASP LLM Top 10 を社内研修に組み込む

出典・関連リンク

本記事は公開情報に基づき Omamori AI 編集部が執筆しました。OWASP LLM Top 10 のバージョン更新は随時行われるため、最新版の項目内容は OWASP 公式サイトでご確認ください。

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細