大規模言語モデル(LLM)の活用は、「プロンプトインジェクション」のような、新たなセキュリティリスクをもたらしました。
私たち CyberCrew は、この新しい脅威に対し、専門的なペネトレーションテストを提供します。
OWASP Top 10 for LLM Applications など最新の脅威モデルに基づき、
専門家チームがお客様のAIシステムを診断し、安全なAI活用を支援します。
経済産業省が定める「情報セキュリティサービス基準」に基づく登録サービス
サービス名:ペネトレーションテストサービス/脆弱性診断サービス
チャットボット、RAG、API連携、オンプレモデルなど、あらゆるLLM活用サービスに対応。
お客様の懸念点を起点に、専門チームが実戦的な攻撃シナリオを設計。
全体リスクと技術詳細を分けて提示。対応方針の意思決定に活用いただけます。
私たちは、お客様のLLM活用におけるセキュリティリスクを多角的に評価するため、以下の主要な領域に焦点を当ててテストを実施します。
LLMへの指示を上書き・改ざんし、不正な操作を実行させる攻撃、それによるガードレールの回避、内部情報の漏洩、なりすましなどを検証
モデルが学習したデータに含まれる個人情報や機密情報などの漏洩しないかを検証
LLMが差別的、暴力的、非倫理的、あるいは法的に問題のあるコンテンツを生成しないかを評価。 企業のブランドイメージや社会的信用を守るための重要な評価項目です。
リソースを大量に消費させるような特定のプロンプトを送信して影響を検証
LLMが外部のデータソースや、外部ツール(プラグイン)と連携する場合、それらを経由して不正な指示が注入されるリスクを評価。
| 導入タイミング | 推奨される攻撃シナリオ | 目的 |
|---|---|---|
|
新規サービスのリリース前 |
プロンプトインジェクション / 学習データ由来の漏洩 |
重大な情報漏洩リスクの排除 |
|
大規模アップデート前 |
外部APIの悪用 / 設定ミスによる認証回避 |
設計変更による新たな盲点の確認 |
|
資金調達・監査直前 |
リスク可視化 / 被害影響の整理 |
レポート資料としての信頼性向上 |
|
社内利用範囲の拡大前 |
DoS攻撃シナリオ / 認可の漏れ |
運用面でのリスク最小化とトラブル防止 |
|
年次セキュリティチェック |
総合的な攻撃シナリオ検証 |
全体的な耐性チェック・改善策の整理
|
私たちのLLMペネトレーションテストは、以下の国際的なセキュリティフレームワークやベストプラクティスを参考に実施されます。
当社のソーシャルエンジニアリングテストにより、お客様は以下の効果とベネフィットを得られます。
GPT、およびオープンソースのLLM(Llama、Mistral等)など、主要な大規模言語モデルを組み込んだアプリケーションに対応しています。
はい、可能です。お客様が独自にファインチューニングしたモデル特有の挙動やリスクについても評価いたします。
はい、可能です。APIを介したLLMとの対話における脆弱性を中心にテストを実施します。多くのお客様がこの形態で利用されています。
対象アプリケーションのURLやアクセス情報、可能であればAPI仕様書、アプリケーションの概要や想定されるユースケースに関する情報をご提供いただけますと、より精度の高いテストが可能です。
私たちは、お客様のシステムやデータに恒久的な損害を与えないよう、安全な範囲でテストを実施します。攻撃的なテストについては、事前にお客様と内容と範囲について詳細な合意を形成します。可能な場合は検証環境での実施を推奨します。
Webアプリケーション ペネトレーションテストは、ウェブサイトやウェブサービスなどのWebアプリケーションに特化した侵入テストサービスです。ホワ イトハッカーを擁するCyberCrew は、最新の脆弱性に対応したWebアプリ ケーション向けのペネトレーションテスト(侵入テスト)を提供しています。
モバイルアプリケーション ペネトレーションテストは、スマートフォンやタブレットで利用されるモバイルアプリケーションに特化した侵入テストサービスです。アプリケーションの設計、構成、データ通信、保存領域、認証機構などを多角的に検証し、実際の攻撃を想定した高精度な脆弱性評価を実施します。
クラウド ペネトレーションテストは、AWS、Azure、GCPなどのクラウド環境に特化した侵入テストサービスです。企業が利用するクラウド基盤に対して、実際の攻撃者を模した手法で脆弱性を検出し、重要なデータ資産の保 護を支援します。
ネットワーク ペネトレーションテスト(侵入テスト)は、企業のネットワークインフラに存在する脆弱性を特定し、攻撃者による不正アクセスや情報漏洩リスクを未然に防ぐことを目的としたセキュリティ評価サービスです。
業務や組織構造を踏まえてカスタム設計された“攻撃シナリオ”に沿って、 実際の攻撃フローを模擬的に実行。内部感染、権限昇格、情報持ち出しなど、 "攻撃の現実性"と"被害の広がり"を横断的に評価します。
人を標的にした攻撃(フィッシング・なりすまし・情報詐取など)を通じて、組織の「人と仕組み」の脆弱性を検証するテストです。物理侵入や電話を用いた疑似攻撃にも対応し、セキュリティポリシーの有効性や、従業員の対応力を評価します。
ChatGPTなどのLLM(大規模言語モデル)を活用したシステムに対して、プロンプトインジェクションや情報漏洩、脱検閲の再現を通じ、AIを介した攻撃経路の存在や被害範囲を検証するテストです。 API・チャットUI・外部連携など、実運用に近い条件で評価を行います。
CyberCrewの脆弱性診断サービスは、自動ツールを活用した「スピーディかつリーズナブルな診断」により、企業のセキュリティ状況を可視化します。 なお、当社の「ペネトレーションテスト」サービスには、この脆弱性診断が前提工程として含まれており、 攻撃シナリオ設計や実行前にリスクを網羅的に把握することを目的として活用されます。
