OWASP Top10 for LLMとは
OWASP Top 10 for LLM Applicationsは、大規模言語モデルを利用したアプリケーションにおける最も重大なセキュリティリスクを10項目にまとめたガイドラインです。Open Web Application Security Project(OWASP)が公開し、業界標準の参照文書として広く活用されています。
主なリスク項目
リストには、プロンプトインジェクション、安全でない出力処理、訓練データ汚染、モデルのサービス拒否、サプライチェーンの脆弱性、機密情報の漏洩、安全でないプラグイン設計、過剰な権限付与、過度な依存、モデルの窃取などが含まれています。各項目には、リスクの説明、攻撃シナリオの例、予防策が記載されており、開発者がセキュリティ対策を計画する際のチェックリストとして機能します。
活用方法
開発チームは、LLMアプリケーションの設計・開発・テスト・運用の各段階でこのTop 10を参照し、リスク対策の漏れがないかを確認すべきです。セキュリティレビューやペネトレーションテストの項目設計にも有用です。OWASPは定期的にリストを更新しており、最新版を把握しておくことで、進化する脅威に対応できます。