コース概要
モジュール1 — セキュリティエンジニアのためのAIシステム
ラボ:Lab 01 — 01-Introduction
アーキテクチャの理解。
トピック:
- LLMと通常のアプリの違い
- AI推論パイプライン
- プロンプトフロー
- RAGアーキテクチャ
- 埋め込み/ベクターデータベース
- エージェントワークフロー
- ツール呼び出し
- AIゲートウェイ
- コパイロット
- MCPおよびエージェントプロトコル
- WAFの可視性が存在する場所
- WAFの可視性が途切れる場所
重要な洞察: 従来のWAFは、プロンプトがモデルに到達した後、可視性を失うことが多いです。
モジュール2 — OWASP GenAI トップ10
ラボ:なし — インタラクティブな復習/議論
核心的なAI攻撃カテゴリ。
トピック:
- プロンプトインジェクション
- 不適切な出力処理
- トレーニングデータポイズニング
- モデルDoS
- サプライチェーンの脆弱性
- 機密情報の漏洩
- 過度な権限(エグゼシブ・エージェンシー)
- ベクター/埋め込みの弱点
- 誤情報
- 制限のない消費
含まれる内容:
- 古典的なOWASPとの違い
- 防御制御へのマッピング(WAF、ゲートウェイ、アプリ層)
- 各制御がどのように役立つか
- 各制御が失敗する場所
モジュール3 — プロンプトインジェクション検出
ラボ:Lab 02 — 02-Prompt-Injection
AIにおける「SQLインジェクションの瞬間」。
トピック:
- 直接プロンプトインジェクション
- 間接プロンプトインジェクション
- 隠された指示
- 文書ベースの攻撃
- HTML/Markdownインジェクション
- ジールブレイクパターン
- コンテキストオーバーライド攻撃
- ロール混同攻撃
検出戦略:
- キーワードヒューリスティック
- 意味分類
- プロンプトリンティング
- 指示境界の強制
- 許可/拒否ポリシー
- AI対応の正規表現パターン
ハンズオンラボ:
- チャットボットを攻撃する
- 単純なフィルタリングを回避する
- 階層化された検出を構築する
モジュール4 — AI対応WAFルール
ラボ:Lab 03 — 03-WAF-Basics
AIシステム向けにWAFルールがどのように進化するか。
- トピック:
- LLMエンドポイントの保護
- 推論APIの保護
- トークン対応のレート制限
- プロンプトサイズの検査
- AI固有のシグネチャ
- 会話異常の検出
- マルチターン悪用パターン
- モデル列挙の試み
- 推論スクレイピング
- ディノウォレット(拒否)保護
例:
- /v1/chat/completions の保護
- ストリーミングAPIの防御
- 再帰的なエージェント呼び出しのブロック
モジュール5 — RAGパイプラインのセキュリティ強化
ラボ:Lab 04 — 04-RAG-Security
最も大きな新たな攻撃面の1つ。
トピック:
- ベクターDBの脅威
- 埋め込みポイズニング
- 悪意のあるPDF/ドキュメント
- 検索操作
- 意味論的ポイズニング
- ドキュメント内の隠された指示
- ドキュメント間汚染
- 検索を通じたデータ漏洩
防御策:
- 取り込み時のサニタイズ
- 信頼スコアリング
- メタデータの分離
- ドキュメントのプロヴェナンス(来歴)
- 検索ポリシー
- セグメンテーション
ケーススタディ:「ポイズニングされたPDFをアップロードしてAIアシスタントを乗っ取る」
モジュール6 — エージェント型AIセキュリティ
ラボ:Lab 05 — 05-Agent-Security
ここから危険性が顕在化します。
トピック:
- 過度な権限(アゴエンシー)
- ツールの悪用
- APIチェーン
- 自律ループ
- 権限昇格
- メモリポイズニング
- 間接ツール実行
- エージェントのなりすまし
- 資格情報漏洩
- マルチエージェント攻撃
防御策:
- エージェントに対する最小権限原则
- 承認ゲート
- ランタイムポリシーエンジン
- サンドボックス化
- スコープ指定された資格情報
- ツールホワイトリスト
- ヒューインザループ(人間の介入)
これは通常、リスクが運用上かつビジネス影響を及ぼすため、マネージャーが最も関心を持つセクションです。
モジュール7 — AIのためのAPIセキュリティ
ラボ:Lab 06 — 06-Denial-of-Wallet
AIシステムはAPIが多く利用されます。
トピック:
- APIゲートウェイ
- GraphQLのAIリスク
- MCP/APIの悪用
- JWT保護
- AIプラグインセキュリティ
- エージェント認証
- 委任された認可
- シークレット管理
- 署名付きプロンプト
- AI用のAPIインベントリ
関連内容:OWASP API Security Top 10
モジュール8 — 検出エンジニアリングおよびSOC統合
ラボ:Lab 07 — 07-Detection
運用上の防御。
トピック:
- AIテレメトリー
- プロンプトログ
- トークン分析
- 異常検出
- 意味論的SIEMパイプライン
- AI攻撃指標
- LLM悪用のための脅威ハンティング
- AIランタイム観測性
例:
- ジールブレイクキャンペーンの検出
- 自動化されたエージェントの悪用 spotting
- モデルスクレイピングの特定
モジュール9 — クラウドWAFとAIセキュリティ
ラボ:なし — インタラクティブな復習/議論
ベンダー固有の実装。
トピック:
- AI API用のAWS WAF
- Azure WAF
- Cloudflare AIゲートウェイ
- APIゲートウェイ
- EnvoyのAIフィルタリング
- Kong AIゲートウェイ
- NGINXのAIセキュリティパターン
比較:
- 従来のWAF vs AIゲートウェイ vs アプリ層ガードレール
- プロキシベース vs 意味論的フィルタリング
モジュール10 — 階層化されたAI防御の構築
ラボ:Lab 08 — 08-Layered-Defense
重要な哲学的結論:
単一の層ではAIを保護できません(特にWAFのみでは不十分です)。
受講者は階層化されたモデルを構築します:
- WAF
- APIゲートウェイ
- AIゲートウェイ
- ガードレール
- ランタイム監視
- 識別/認可
- サンドボックス
- 人間の承認
- 観測性
- インシデント対応
これは「マルチレイヤーセキュリティ」モデルと強く一致します。
モジュール ↔ ラボ マップ
ラボはモジュールの順序に従って実施されます。
コースには10のモジュールがありますが、8つのラボしかありません。モジュール2と9はインタラクティブな復習/議論であり、ラボはありません。
この概要全体で、各ラボは対応するモジュールでタグ付けされています。
- Lab 01 (Module 1)
- フォルダ: 01-Introduction
- タイトル: AIシステムを探索する — 通信路上的な可視性
- Lab 02 (Module 3)
- フォルダ: 02-Prompt-Injection
- タイトル: チャットボットを攻撃し、単純なフィルタリングを回避する
- Lab 03 (Module 4)
- フォルダ: 03-WAF-Basics
- タイトル: AI対応のWAFルールを構築する
- Lab 04 (Module 5)
- フォルダ: 04-RAG-Security
- タイトル: RAGパイプラインをポイズニングする
- Lab 05 (Module 6)
- フォルダ: 05-Agent-Security
- タイトル: 自律エージェントを保護する
- Lab 06 (Module 7)
- フォルダ: 06-Denial-of-Wallet
- タイトル: ディノウォレット攻撃を検出する
- Lab 07 (Module 8)
- フォルダ: 07-Detection
- タイトル: ログでAIの悪用パターンを監視する
- Lab 08 (Module 10)
- フォルダ: 08-Layered-Defense
- タイトル: 階層化されたAI防御アーキテクチャを構築する
キャプストーン(総合力演習)
受講者は模擬企業のAIアシスタントを防御します。
攻撃者の試み:
- プロンプトインジェクション
- ツールの悪用
- 資格情報の窃取
- 検索ポイズニング
- 過度なAPI消費
- エージェントのエスカレーション
チームが構築するもの:
- WAFルール
- AIゲートウェイポリシー
- ランタイム検出
- ガードレール
- インシデント対応
要求
- 受講者はすでにHTTP/APIセキュリティ、プロキシ/リバースプロキシ、認証、OWASPトップ10、REST API、基本的なクラウドネットワークの理解がある必要があります
対象者
- セキュリティエンジニアおよびAppSec担当者
- SOCアナリストおよび検出エンジニア
- APIセキュリティエンジニア
- クラウド/API/プラットフォームセキュリティ担当者
- DevSecOpsエンジニア
- セキュリティアーキテクト
- WAF/ネットワークセキュリティスペシャリスト
- AIプラットフォームエンジニア
お客様の声 (2)
AI攻撃とその実践に役立つツールの知識を学べたことは非常に有意義でした。セキュリティテストのために積極的に活用するにあたり、多くの新たな知見を得ることができました。この講座は私の期待を上回る内容であり、特に「Comet Browser」の機能には大きな感動を覚えました。今後はさらに掘り下げて調査したいと思っています。全体として大変優れた講座であり、OWASP GenAI Top 10の全項目を学ぶことができたことを嬉しく思います。
Patrick Collins - Optum
コース - OWASP GenAI Security
機械翻訳
彼が私たちの前で専門的な知識をどのように提示したか
Miroslav Nachev - PUBLIC COURSE
コース - Cybersecurity in AI Systems
機械翻訳