トップブログ › OWASP LLM Top 10 (2025) を中堅企業の AI 導入チェックに翻訳

OWASP LLM Top 10 (2025) を中堅企業の AI 導入チェックに翻訳

公開日: 2026-05-17

「OWASP LLM Top 10 を読みました。情シスは納得していますが、私 (DX 推進担当) には正直、ピンと来ません」――先日、製造業の DX 推進担当者からそう相談を受けました。OWASP の Top 10 は、世界中の研究者・開発者の合意としてよく整理されていますが、文体はやや技術寄りで、中堅企業の業務シナリオに翻訳する一手間を経ないと、自社の運用判断には落ちません。本記事はその翻訳です。

原典は OWASP が公開している「OWASP Top 10 for Large Language Model Applications (2025)」(出典: OWASP Top 10 for LLM Applications) です。本記事では、10 項目それぞれを (a) 一次定義の自社要約、(b) 中堅企業の典型シナリオ、(c) 担当者が来週手を動かせるチェックの 3 点セットに圧縮しました。IPA の「情報セキュリティ 10 大脅威 2026」(出典: IPA 10 大脅威 2026) との対応関係も末尾に整理しています。

全体像 ― 10 項目を 3 つの層で読む

OWASP LLM Top 10 を初めて読む方には、次の 3 層で頭に入れることをおすすめします。技術項目を 10 個並列で覚えるより、層で把握したほうが意思決定に使いやすいからです。

該当項目意思決定の主担当
入力の層: 何が AI に入るかLLM01 (Prompt Injection), LLM06 (Sensitive Information Disclosure)情シス・現場マネージャー
運用の層: AI が何を判断・実行するかLLM02 (Excessive Agency), LLM04 (Data and Model Poisoning), LLM07 (System Prompt Leakage), LLM09 (Misinformation)DX 推進担当・経営者
基盤の層: 何が AI を支えているかLLM03 (Supply Chain), LLM05 (Improper Output Handling), LLM08 (Vector and Embedding Weaknesses), LLM10 (Unbounded Consumption)開発担当・調達担当

中堅企業の DX 推進担当者は、まず「入力の層」と「運用の層」を社内で会話できる粒度にしておくのが現実的です。「基盤の層」は SaaS ベンダー・開発委託先と握る論点が多く、初期段階では契約と SLA の中で扱えます。

LLM01: Prompt Injection (プロンプトインジェクション)

定義: ユーザー入力が LLM の挙動・出力を意図しない方向に変化させる脆弱性。直接型 (ユーザー本人が攻撃) と間接型 (取り込んだ Web ページ・PDF・メールに埋め込み) の 2 型。

中堅企業のシナリオ: 顧客からのメール本文を要約させたら、本文中に埋め込まれた指示で社内テンプレートが書き換わる。RAG で参照している社内 Wiki に、外注ライターが追加した不審な指示文が混入する。

来週のチェック: (1) LLM に外部テキストを流す経路を 1 枚の表にする (2) 各経路で「LLM が起こしうる最悪のアクション」を 1 行で書く (3) 許容できない行が見つかったら権限を 1 つ外す。詳細は別記事「プロンプトインジェクションとは何か?」で扱っています。

LLM02: Sensitive Information Disclosure (機微情報の漏えい)

※ 2025 年版での順序は LLM02 に Sensitive Information Disclosure が来ています。OWASP の表記に揃えます (出典: OWASP Top 10 for LLM Applications)。

定義: LLM の出力経由で、機密情報・個人情報・知財・社内文書が意図せず開示されるリスク。RAG が機密文書を取り込んでいる場合、別ユーザーの質問に対してその一部を返してしまう経路を含む。

中堅企業のシナリオ: 「全社員が使える AI 検索」に人事評価・給与テーブル・契約書 PDF が紛れ込み、一般社員の質問に断片が表示される。顧客向けチャットボットが、開発時に学習させたサンプル顧客データを出力する。

来週のチェック: (1) RAG が参照しているデータソースの一覧を作る (2) 各データソースのアクセス権限と LLM 経由のアクセス権限を比較する (3) 「人事・契約・財務」フォルダが含まれていたら即座に分離する。

LLM03: Supply Chain (サプライチェーン)

定義: LLM そのもの・ライブラリ・データセット・モデル提供 API の供給経路に起因するリスク。改ざんされたモデル、ライセンス違反のデータで学習されたモデル、サードパーティ拡張のセキュリティ穴。

中堅企業のシナリオ: 「無料で使える」社外提供の業務 GPT・カスタム GPT・ブラウザ拡張を、社員が個人判断で導入する。これらが利用ログを第三者に送信していたり、悪意ある指示を上書きしていたりする。

来週のチェック: (1) 社員が使っている AI 関連の拡張機能・GPTs・自動化ツールを棚卸す (2) 「業務契約のあるサービス」と「無料・個人導入」を色分けする (3) 後者の社内利用に対するルールを「禁止」「制限」「黙認」のいずれにするか経営判断で決める。

LLM04: Data and Model Poisoning (データ・モデル汚染)

定義: 学習データ・ファインチューニングデータ・RAG コーパスに、攻撃者が悪意あるデータを混入させ、モデルの挙動を恒久的に変える。中堅企業では「自社モデルを学習」は稀なので、本項は主に RAG コーパスの観点で読む。

中堅企業のシナリオ: 営業用 RAG に社員が古い・誤った資料を追加し続け、誤った提案文が量産される。退職社員が悪意で誤情報を仕込む。

来週のチェック: (1) RAG コーパスへのドキュメント追加権限を 3 名以下に絞る (2) 追加時のレビュー手順を定める (3) 月次でコーパス内容のスポットチェックを行う担当を 1 名決める。

LLM05: Improper Output Handling (出力の不適切な取り扱い)

定義: LLM の出力を、検証せずに後続システム (DB クエリ・コード実行・HTML 表示・コマンド実行) に流すリスク。LLM が出した SQL が破壊的クエリで、そのまま本番 DB に実行される、といった経路。

中堅企業のシナリオ: 「議事録を要約して Notion に投稿」自動化で、LLM が出した文字列に Notion のページ削除コマンドが紛れ込む。社内 BI ツールが LLM 生成 SQL を直接実行する。

来週のチェック: (1) LLM の出力が「人間を経由せず」何らかのシステムに流れる箇所を列挙する (2) 列挙された各経路に、サニタイズ・読み取り専用化・人間承認のいずれかを必ず挟む。

LLM06: Excessive Agency (過剰な権限委譲)

定義: LLM・エージェントに、業務上必要な以上の機能・権限・自律性を与えるリスク。決済・メール送信・契約・人事処理を「自動で」させると、プロンプトインジェクションと組み合わさった時に致命傷になる。

中堅企業のシナリオ: 営業エージェントに「メール送信・契約書ドラフト送付・カレンダー登録」を全部させる構成。コーディング支援エージェントに本番リポジトリの書き込み権限を与える構成。

来週のチェック: (1) エージェントの権限を「読む」「書く」「外部通信」「決済」の 4 段階で分類する (2) 同一エージェントに「外部入力 + 社内データ読み取り + 外部送信」が同居していないか確認する (3) 取り返しのつかない処理には人間承認ボタンを 1 つ挟む。

LLM07: System Prompt Leakage (システムプロンプトの漏えい)

定義: アプリケーション設計者が仕込んだシステムプロンプト (≒ 設計情報・ビジネスロジック) が、ユーザーへの応答経由で漏えいするリスク。営業秘密に近い指示文が競合に渡る経路。

中堅企業のシナリオ: 自社サービスの「カスタム GPT」「Assistants API ベースのチャットボット」に書き込んだ業務指示が、巧妙な質問で開示される。秘匿だと思っていた業務ロジックがコピーされる。

来週のチェック: (1) システムプロンプトに「機密扱いの情報」(顧客名・価格交渉ルール・人事評価基準) を書いていないか確認する (2) 機密ロジックはシステムプロンプトではなく、関数呼び出し・API 側に隔離する。

LLM08: Vector and Embedding Weaknesses (ベクトル・埋め込みの脆弱性)

定義: RAG で使うベクトルデータベース・埋め込み生成過程の脆弱性。埋め込み逆変換による情報復元、アクセス制御の不整合など、技術的に踏み込んだ項目。

中堅企業のシナリオ: 社内 RAG のベクトル DB にアクセスできる開発委託先が、データを丸ごとダウンロードして社外に持ち出す。複数テナントを同居させていて、テナント間でデータが混在する。

来週のチェック: (1) ベクトル DB の保管場所・アクセス権限・バックアップ経路を SaaS ベンダー / 委託先と契約上明文化する (2) マルチテナント運用なら、テナント分離の方式 (論理 / 物理) を確認する。

LLM09: Misinformation (誤情報・ハルシネーション)

定義: LLM が事実無根の情報をもっともらしく出力するリスク (ハルシネーション)。利用者が信じて顧客対応・経営判断・法務文書に使うと、信用毀損・賠償に直結する。

中堅企業のシナリオ: 顧客対応 FAQ で、存在しない自社サービスの返金規定を回答する。営業提案書に存在しない統計・存在しない論文を入れる。法務質問で誤った条文番号を提示する。

来週のチェック: (1) 「LLM の出力が外部に出る経路」を列挙する (2) リスク別の検証ルール (高 = 全件専門家レビュー / 中 = 担当者 + 1 名 / 低 = 担当者目視) を運用に組み込む (3) 出典 URL を必ず付ける運用に切り替える。

LLM10: Unbounded Consumption (無制限の消費)

定義: LLM のリソース消費・API コストが無制限に膨らみ、DoS・財務インパクト・サービス劣化を招くリスク。攻撃者が大量リクエストで API クレジットを枯渇させる経路を含む。

中堅企業のシナリオ: 自社チャットボットがエンドユーザーから無制限にリクエストを受け、月末に API 請求が 10 倍になる。社員が「クリエイティブな試行錯誤」で 1 人月数十万円相当のトークンを消費する。

来週のチェック: (1) ユーザー単位・API キー単位のレート制限を設定する (2) 月次予算上限とアラート閾値を設定する (3) 利用統計の管理画面を毎月見るレビュー担当を 1 名決める。

IPA 10 大脅威との対応関係

IPA「情報セキュリティ 10 大脅威 2026」(出典: IPA 10 大脅威 2026) は、組織・個人それぞれの観点で日本国内の脅威を整理しています。OWASP LLM Top 10 と全項目が一対一対応するわけではありませんが、業務 AI 導入を語る上で重なる論点を整理しておきます。

IPA 10 大脅威 (組織) の例OWASP LLM Top 10 で対応する項目
ランサムウェアLLM06 (Excessive Agency: エージェントが侵入経路化)
サプライチェーン攻撃LLM03 (Supply Chain)
内部不正による情報漏えいLLM02 (Sensitive Information Disclosure), LLM04 (Poisoning)
テレワーク環境の脆弱性LLM06 (Excessive Agency), LLM05 (Output Handling)
標的型攻撃 / フィッシングLLM01 (Prompt Injection の間接型)

「LLM 固有の脆弱性」と「従来からあるセキュリティ脆弱性」は別物ではなく、AI 導入の有無に関わらず重なります。LLM Top 10 だけ別冊で扱うのではなく、自社の既存セキュリティ運用に章を 1 つ追加する形が現実的です。

中堅企業向け 10 行チェックリスト (印刷して机に貼れる粒度)

  1. LLM に外部テキストが流れる経路を 1 枚に整理した
  2. RAG で参照しているデータソースの一覧と権限を確認した
  3. 社員が個人判断で導入している AI 拡張・GPTs を棚卸した
  4. RAG コーパスへの追加権限を 3 名以下に絞った
  5. LLM の出力が人間を経由しない自動連携を全て列挙し、対処を入れた
  6. エージェントの権限を「読む / 書く / 外部 / 決済」で分類した
  7. システムプロンプトから機密情報を外し、関数側に隔離した
  8. ベクトル DB のテナント分離と契約条項を確認した
  9. LLM 出力が外部に出る経路の検証ルール (高 / 中 / 低) を運用に組み込んだ
  10. API 利用のレート制限・予算上限・月次レビュー担当を決めた

完璧を目指す必要はありません。今週 5 項目、来週 5 項目で十分です。「実施したかどうか」より「実施した日付と担当が記録に残っているか」のほうが、事故時に会社を守ります。

よくある質問 (Q&A 3 つ)

Q1. 「自社で LLM を学習させていないので、Top 10 は関係ない」と言われました。本当ですか

関係する項目のほうが多いです。学習を自社で行わなくとも、(a) ChatGPT・Claude・Gemini・Copilot などの利用、(b) 自社 RAG の構築、(c) 自社チャットボット・カスタム GPT の運用 ―― いずれもユーザー入力が LLM に流れ、出力が業務判断に使われます。LLM01・02・06・09・10 は、ほとんどの中堅企業に直接該当します。

Q2. AI 事業者ガイドラインを守っていれば、Top 10 は別途読まなくてもよいですか

役割が違います。AI 事業者ガイドライン (出典: 経産省・総務省) は組織のガバナンス・説明責任・人間レビューといった運用ルールを扱います。OWASP LLM Top 10 は具体的な技術リスクの分類を扱います。両者は補完関係で、ガイドラインで「何をやる」を決め、Top 10 で「どこで起きうるか」を点検する、と整理してください。

Q3. 全 10 項目をいきなり整備するのは無理です。優先順位はありますか

中堅企業の導入初期は、LLM01 (Prompt Injection) → LLM02 (Sensitive Information Disclosure) → LLM06 (Excessive Agency) → LLM09 (Misinformation) の順で着手するのが現実的です。この 4 つで、業務 AI の事故の 8 割はカバーされます。残り 6 項目は、開発委託先・SaaS ベンダーと半年かけて契約と SLA に落としていく性質のものです。

まとめ

  • OWASP LLM Top 10 (2025) は、業務 AI 導入の技術リスクを世界共通言語で整理した文書。中堅企業も無関係ではない。
  • 10 項目を「入力の層 / 運用の層 / 基盤の層」の 3 層で読むと、誰が判断すべきかが見える。
  • 優先順位は LLM01 → LLM02 → LLM06 → LLM09。この 4 つで事故の 8 割をカバーできる。
  • IPA 10 大脅威・AI 事業者ガイドラインと補完関係で運用する。Top 10 だけ別冊にしない。
  • 10 行チェックリストを印刷して机に貼り、今週 5 項目・来週 5 項目で着手する。

OWASP LLM Top 10 をベースにした「現場運用 AI 研修」

Kijiqa の AI Tutor SaaS は、OWASP LLM Top 10 と AI 事業者ガイドラインを正本に、中堅企業の DX 推進担当・情シス・経営者向けのチェック手順を実務シナリオで学べます。Course A (経営者・情シス向け) / Course B (DX 推進・実務者向け) / Course C (全社員向け年次研修) を 7 日間フリートライアル (カード不要) でお試しいただけます。

研修コース一覧を見る 研修の相談をする