AIセキュリティ診断

診断フロー

01. ヒアリング・お見積もり

お客様のご要望や環境などをヒアリングさせていただき、プランに応じて診断対象の環境やアプリケーションを確認いたします。
その後、確認した情報をもとにお見積りを発行いたします。
まだ開発途中などで未確定の場合は、システム構成や設計をもとにおおよその概算見積もりを発行可能です。
予算策定や相見積もり時などにご利用いただき、発注確定後に再度正式なお見積りを実施いたします。

02. 診断の実施

実施前に禁止事項やご要望を整理し、お客様と最終確認をいたします。
その後、実際に診断対象に対して、攻撃者の視点からさまざまな手法で脆弱性を洗い出します。

03. 診断結果のご報告

診断対象の総合結果や検出された脆弱性の詳細、各脆弱性の再現方法、各脆弱性の修正案などをまとめた診断結果レポートをお渡しします。
また、ご希望に合わせて診断結果の報告会を実施することも可能です。（オプション）

04. 再診断などのアフターサポート

診断結果のご報告後、脆弱性の改修に対しても全力でサポートいたします。
また、検出された脆弱性の修正が完了できているかの再診断も実施可能ですので、お気軽にお申し付けください。

簡易リスク検査プラン検査項目例

既知の脆弱性の調査	AI環境にて使用しているソフトウェアに脆弱性がないかを調査します。
AI使用におけるリスク調査	AIの使用において、どのようなリスクがあるかを調査します。

プロンプト診断プラン検査項目例

OWASP Top10 for LLM Applicationsの項目を中心に、AIに最適な検査項目を都度カスタマイズしてご提供いたします。

LLM01 プロンプトインジェクション	ユーザー入力に含まれる指示で、LLMの振る舞いを本来の意図から逸脱させることができないかを検査します。
LLM02 機密情報の漏洩	本来ユーザーが見ることができない情報をプロンプト経由で漏洩できないかを検査します。
LLM05 不適切な出力処理	LLMの出力を操作することで、後続のコンポーネントに影響を与えられないかを検査します。
LLM06 過剰なエージェンシー	プロンプト経由で自身の権限以上の情報へのアクセスや操作ができないかを検査します。
LLM07 システムプロンプトの漏洩	LLMアプリケーションに与えているシステムプロンプトがプロンプト経由で取得できないかを検査します。
LLM09 誤情報	RAGやシステムプロンプトの命令に含まれない情報を出力しないかを検査します。
LLM10 無制限の消費	AIに大量の文章を生成させる、または反復指示を行うことで、リソースを浪費させられないかを検査します。