ニュース

「GMO AIセキュリティ診断 for GPT」を提供開始いたしました。

2023.06.09
プレスリリース

 AI・大規模言語モデルを用いたアプリケーションの
セキュリティリスクを評価
「GMO AIセキュリティ診断 for GPT」を提供開始

 GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)は、2023年6月9日(金)より、大規模言語モデル(LLM)を用いたアプリケーションのセキュリティリスクを可視化する新サービス「GMO AIセキュリティ診断 for GPT」の提供を開始しました。(サービスページ

 「GMO AIセキュリティ診断 for GPT」は、GPT等の大規模言語モデル(LLM)を組み込んだアプリケーションに対し、敵対的プロンプト(Adversarial Prompting)を用いた擬似攻撃を行い、アプリケーションに内在するセキュリティリスクを調査するサービスです。

 GMOサイバーセキュリティ byイエラエの、膨大な脆弱性診断の実績・経験に基づく高い技術力と、GPT等の大規模言語モデル(LLM)への最新の攻撃手法の知見を組み合わせることで、セキュリティリスクを可視化し、お客様のシステムのセキュリティ対策を支援します。

【提供開始の背景】

 生成AIの研究や活用が進む中、OpenAIの「GPT」、Googleの「PaLM」、Metaの「LLaMA」といった、様々な大規模言語モデル(LLM)の登場により、言語処理タスクの高精度な実行が可能となりました。また2023年3月2日(木)にChatGPTのAPIが一般公開されたことで、製品やサービスにGPTを利用する対話型のアプリケーションが急速に普及しています。GPTベースのサービスが急速に普及する一方で、対話を通じてサービスの設定情報や秘密情報を抜き出そうとする攻撃(プロンプトインジェクション)が行われるなど、新たなセキュリティリスクが発生しています。

 新たに提供を開始する「GMO AIセキュリティ診断 for GPT」は、GPT等のLLMを組み込んだサービスに対するセキュリティリスクに対応しています。機密情報や金融資産を扱うWebアプリケーションに対する脆弱性診断の実績と経験に基づく高い技術力に加え、GPT等の大規模言語モデル(LLM)に関する最新の攻撃手法の知見を組み合わせ、みなさまのセキュリティ対策を支援します。

【「GMO AIセキュリティ診断 for GPT」の特徴】

■ LLMを利用したアプリケーションに対するセキュリティリスクについて 

 GPT等の大規模言語モデル(LLM)を利用して構築したアプリケーションは、プロンプトを攻撃の入口として、敵対的プロンプト(Adversarial Prompting)を利用した攻撃が行われる可能性があります。

 敵対的プロンプト(Adversarial Prompting)とは大規模言語モデル(LLM)の出力を意図しないものへ誘導するよう設計された一連の入力のことです。大規模言語モデル(LLM)を利用してアプリケーションを構築する際には、一般的なWebアプリケーションのリスクに加え、こうした大規模言語モデル(LLM)を利用して構築したアプリケーション特有のリスクを認識し、セキュリティ対策を講じることが重要です。

 敵対的プロンプトに関するセキュリティリスクの例として、以下のようなものが存在します。

(1)プロンプトインジェクションによる出力の乗っ取り
(2)プロンプトリークによる秘密情報の漏洩
(3)コンテンツポリシーの回避による非倫理的なコンテンツの出力(ジェイルブレイク) 

 「GMO AIセキュリティ診断 for GPT」は、上記のような大規模言語モデル(LLM)を利用して構築したアプリケーション特有のセキュリティリスクに対応可能な診断パッケージです。また予算や求めるセキュリティレベルに応じて3つの診断プランから選択が可能です。

■ プラン説明

・ライトプラン: 安価に敵対的プロンプトのセキュリティリスクを可視化したいお客様向けのプラン
・ベーシックプラン: はじめてGPT等の大規模言語モデル(LLM)を用いたアプリケーションを構築するお客様向けのプラン
・アドバンスドプラン:関連機能のセキュリティリスクを総合的に評価したいお客様向けのプラン

ライトプランベーシックプランアドバンスドプラン
敵対的プロンプトによる
機密情報漏洩の診断
   ○    ○    ○
敵対的プロンプトによる
出力の汚染
   ○    ○    ○
ホワイトボックスによる
設定診断
   ×    ○    ○
Indirect Prompt Injection等の最新の攻撃事例を踏まえた手動診断   ×    ×    ○
調査対象アプリケーション毎にカスタマイズした診断   ×    ×    ○

■価格について
プランの詳細、価格については、サービスページよりお問い合わせください。(サービスページ

関連プレスリリースはこちら

経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード