#OWASP
5 本
🛡️サイバーセキュリティ ハウツー
LLMjacking完全防御ガイド:AI API鍵の盗用・コスト爆発を引き起こす外部攻撃者への対策チェックリスト
Sysdigが報告した1日$46,000のコスト爆発事例を起点に、LLMjacking(外部攻撃者によるAI API鍵窃取・悪用)の経路・検知・短命クレデンシャル移行・異常利用アラート実装を実務チェックリスト形式で解説する。
🛡️サイバーセキュリティ ハウツー
LLMアプリのAPIゲートウェイ・セキュリティ設計:トークン対応レート制限・PII検出・監査ログの実装パターン
LLMアプリ本番運用に必要なAPIゲートウェイ層のセキュリティを解説。トークン消費量ベースのレート制限・ユーザー単位のアクセス制御・PII自動検出とマスキング・監査ログ設計の4パターンをOWASP LLM02:2025とNIST AI RMFを根拠に、Apache APISIXとlmgateの実装例で整理します。
🛡️サイバーセキュリティ ハウツー
Llama Guard 4 + GARAKでLLMアプリの安全性を自動検証する:入出力セーフガードの組み込みとレッドチーム自動化の実践ガイド
Llama Guard 4(12Bパラメータ・マルチモーダル)をサイドカー分類器として組み込む実装パターンと、GARAKによる自動レッドチームをGitHub Actions CIに統合する週次スキャン設計を実装コード付きで解説します。
💻AI開発 ハウツー
LLMエージェントの「過剰権限」を排除する:OWASP LLM06:2025 準拠の最小権限設計チェックリスト
OWASP LLM06:2025「Excessive Agency」が定義する3次元リスク(機能・権限・自律性)を整理し、ツール権限スコープ絞り込み・認可委譲・Human-in-the-Loop設計・監査ログの実装チェックリストを提供する。
🛡️サイバーセキュリティ ハウツー
社内RAGのベクターDB権限設計チェックリスト:OWASP LLM08準拠で情報漏洩を防ぐアクセス制御パターン
OWASP LLM08:2025「Vector and Embedding Weaknesses」を出発点に、RAGパイプラインのベクターDB権限設計を実務チェックリスト形式で解説。メタデータフィルタリングと出力マスキングの2段階設計を中心に、情報漏洩リスクを減らす設計パターンを整理します。