OWASP Top 10 for LLM v2025 優先すべき5項目と対策ポイント

このテーマを今提示する理由

OWASP Top 10 for LLM Applications¹ v2025 が公開され、生成 AI・LLM の実装が本格化する現場にとって最も参照頻度の高いリスクカタログが更新されました。前版（v1.1）からの最大の変化は、エージェント型 AI（複数ツールを自律的に組み合わせる LLM）の台頭に合わせたリスク項目の再編です。自社の AI 導入計画やベンダー評価を進めている情シス・CISO にとって、「全 10 項目を均等に対処する」より「今どこを優先するか」を判断する材料が求められています。

v2025 の全体像と選定の軸

OWASP Top 10 for LLM Applications v2025 は、LLM 固有のリスクを 10 項目に体系化したカタログです。v1.1 からの主な変更点として、サプライチェーンリスクが上位に繰り上がり、システムプロンプト漏洩とベクトル・埋め込みの弱点が独立項目として新設されました。

全 10 項目のうち、以下の観点で5項目を優先対象として選定しています。

• エージェント設計との関係: 自律判断・外部 API 呼び出しを伴うユースケースで顕在化するリスク
• 実装フェーズとの対応: PoC・本番移行前に手が打てるリスク（後付け対処コストが跳ね上がる項目）
• 規制・監査との接続: EU AI Act や NIST AI RMF が求める「人間による監視」要件と重なる項目

優先すべき5項目を読み解く

項目1：プロンプトインジェクション——間接経路への対処が新たな必須要件

プロンプトインジェクション²とは、悪意ある入力を通じて LLM の挙動を乗っ取る攻撃です。v2025 では「間接プロンプトインジェクション」が明示的に強調されました。ユーザーが直接送らず、Web ページ・メール・社内文書など外部コンテンツ経由で LLM に指示が紛れ込む手口です。

RAG³（検索拡張生成）や社内文書要約のユースケースでは、参照先ドキュメントに悪意ある指示が 1 行埋め込まれるだけで攻撃が成立します。入力検証・出力エスケープの実装状況を確認できていない環境では、最優先で対処が必要なリスクです。

項目2：過剰なエージェント権限——「自律判断」が横展開リスクに直結

エージェント型 AI が外部 API やファイルシステムを操作する設計では、LLM に与えた権限が最小権限の原則に従っているかが問われます。過剰なエージェント権限⁴は、コーディングエージェント・業務自動化エージェントの商用利用が急増したことで v2025 の優先度が上がった項目です。

攻撃者がプロンプトインジェクションでエージェントを乗っ取った場合、許可されたすべての権限を悪用できます。「LLM に何でも触らせる」設計は、メール送信・ファイル削除・DB 操作まで一気に実行される横展開リスクを内包しています。

項目3：機密情報の漏洩——ランタイムコンテキストが新たな対象範囲に

LLM が訓練データやファインチューニング時に取り込んだ機密情報を出力してしまうリスクです。v2025 では、ランタイムコンテキスト（会話中にシステムプロンプトや RAG の検索結果として渡した情報）の漏洩も同一項目に包括されました。

社内 LLM や RAG システムで顧客データ・財務情報を扱う場合、「LLM は質問に誠実に答える」という設計原則が漏洩を引き起こします。出力フィルタリングとアクセス制御の両方が必要で、「API キーをシステムプロンプトに直接書く」構成は特に危険な状態といえます。

項目4：データ・モデルポイズニング——サプライチェーン上流への攻撃

データ・モデルポイズニング⁵とは、訓練データや Fine-tuning 用データを汚染することで LLM の挙動を意図的に歪める攻撃です。v2025 のサプライチェーン項目と連動し、ファインチューニング用データセットやプラグイン・アドオンの整合性管理が問われます。

市販のモデルやオープンソースモデルをベースに自社データでファインチューニングしている組織では、学習データのハッシュ検証・プロバンス（出所追跡）管理が欠かせません。「Hugging Face からダウンロードしたモデルをそのまま使う」運用はリスク評価なしには続けられない状況です。

項目5：システムプロンプト漏洩——v2025 で独立した新設項目

v1.1 ではプロンプトインジェクションに内包されていた項目が、v2025 で独立しました。システムプロンプトには業務ロジック・ペルソナ定義・API キー・内部ポリシーが含まれることが多く、ユーザーが巧みな質問で引き出せてしまうケースが広範に観測されています。

「システムプロンプトを秘密にすれば安全」という思い込みは通用しません。プロンプト自体を機密として設計する、すなわち最小限の情報しか書かないアーキテクチャに移行することが求められます。

どう活用するか

この5項目を実務で使う場面は主に3つです。

• AI PoC・開発フェーズ: プロンプトインジェクション・過剰なエージェント権限・システムプロンプト漏洩の3項目を「設計レビュー前に確認すべき要件」として扱うのが現実的です。後付け対処はアーキテクチャの再設計を伴うことが多く、早期確認がコスト削減につながります。
• ベンダー評価: SaaS/API として LLM を提供するベンダーに対し、「OWASP Top 10 for LLM Applications v2025 への対応状況を開示してほしい」と要求する根拠として使えます。特に機密情報の漏洩・データ・モデルポイズニングの2項目はベンダー側の学習データ管理・モデル整合性保証に直結するため、調達条件に組み込む価値があります。
• 経営報告: 5項目の優先度マトリクス（影響度 × 実装難易度）を資料 1 枚に変換し、AI リスクの説明資料として活用できます。「OWASP という国際標準機関が整理したリスク」という文脈が、取締役会での説明を後押しします。

一枚要約

OWASP Top 10 for LLM Applications v2025 は、エージェント型 AI の普及を受けて前版から項目構成を更新しました。日本企業が 2026 年の実装フェーズで優先すべきはプロンプトインジェクション・過剰なエージェント権限・機密情報の漏洩・データ・モデルポイズニング・システムプロンプト漏洩の5項目です。AI 導入の PoC・ベンダー評価・経営報告のそれぞれの場面でこの5項目を評価軸として組み込むことが、実務上の最短経路といえます。

今日着手できる3アクション

• OWASP 公式リポジトリで v2025 の原文を取得し、担当チームに共有する: OWASP Top 10 for LLM Applications — GitHub から最新リリースの PDF を入手し、開発・セキュリティ担当に配布します。
• 自社の LLM エージェントが呼び出せる外部 API・ファイル・DB のスコープをリスト化する: 「読み取り専用で代替できるものはないか」「実行前に人間の承認が必要か」を確認し、過剰なエージェント権限の棚卸しを始めます。
• システムプロンプトに API キーや内部ポリシーが含まれていないか全件確認する: 開発・ステージング環境のシステムプロンプトをレビューし、外出しできる情報とできない情報を分類します。環境変数またはシークレットマネージャーへの移行が対策の核心です。

AI×セキュリティの観点

OWASP Top 10 for LLM v2025 が示す最大の変化は、LLM がツールを呼び出す「エージェント」として動作する場面でのリスク増大です。攻撃者は間接プロンプトインジェクションでエージェントを乗っ取り、権限が過剰であればメール送信・ファイル操作・外部 API 呼び出しを連鎖させることができます。防御側は「AI に渡す権限を人間の承認フローと組み合わせて設計する」ヒューマン・イン・ザ・ループのアーキテクチャを標準とすることが、EU AI Act が求める「適切な人間による監視」要件にも合致する現実的な対策です。AI ガバナンスと技術設計が初めて同じ言語で語れるフェーズに入ったといえます。

次に読むべきトピック

• OWASP Top 10 for Large Language Model Applications（公式サイト）
• IPA：生成 AI の利用に関する情報セキュリティ
• CISA：Artificial Intelligence

用語ミニ解説

1. OWASP Top 10 for LLM Applications — 非営利団体 OWASP（Open Web Application Security Project）が公開する LLM 固有の上位 10 リスクカタログ。2023年の初版、2025年の v2025 と更新されており、AI システムのセキュリティ設計の出発点として世界的に参照されています。 ↩
2. プロンプトインジェクション — 悪意ある指示を通常の入力に埋め込み、LLM に意図しない動作をさせる攻撃。間接プロンプトインジェクションは Web ページや文書経由で実行されるため、入力バリデーションだけでは防ぎきれません。 ↩
3. RAG（検索拡張生成） — LLM が回答を生成する際、外部の文書・データベースをリアルタイムで検索して参照する仕組み。ハルシネーションを抑制できる一方、参照先コンテンツに悪意ある指示が含まれると間接プロンプトインジェクションの経路になります。 ↩
4. 過剰なエージェント権限 — LLM エージェントが必要以上の操作権限（ファイル書き込み・メール送信・DB 更新など）を持つ状態。最小権限の原則を適用し、重要操作の前に人間の承認を挟む設計が推奨されます。 ↩
5. データ・モデルポイズニング — 訓練データや Fine-tuning 用データに悪意あるサンプルを混入させ、モデルの挙動を操作する攻撃。学習パイプラインのプロバンス（出所追跡）管理と整合性検証が対策の核心です。 ↩

参考リンク

• OWASP Top 10 for Large Language Model Applications
• OWASP LLM Top 10 — GitHub リポジトリ
• IPA：情報セキュリティ
• CISA：Artificial Intelligence