F5 AI GuardrailsとF5 AI Red Teamで実現するAIアプリケーションの保護

2026.04.15

AIアプリケーションを開発・提供する場合は、AIに特化したセキュリティ対策が必要です。AIセキュリティソリューションとして、F5社がF5 AI GuardrailsとF5 AI Red Teamをリリースしたことを受け、弊社では検証環境を構築し、機能・運用面の検証を開始しています。本記事では、F5 AI GuardrailsとF5 AI Red Teamの概要と、検証内容の一部を紹介します。

ライター：田中　勝也: WAN最適化や帯域制御分野などの技術担当を経て、ADC(Application delivery controller)分野の製品及びSSL/TLS、Webアプリケーション、DNS セキュリティなどのテクノロジーの評価・検証・技術支援を担当

AIアプリケーションに求められるセキュリティ対策

こちらのブログ（AIシステムのセキュリティ対策：新たなリスクと実践的アプローチ）で紹介している通り、AIの活用は企業に大きな可能性をもたらします。一方で、新たな攻撃対象が生まれ、セキュリティインシデントが顕在化しています。

一般的なWebアプリケーションは、SQLインジェクションやクロスサイトスクリプティング（XSS）など、HTTPリクエストやAPIに不正なデータを含めて行われる攻撃の対象となります。これらの攻撃に対しては、WAFやAPIセキュリティソリューションによって対策が可能です。

一方、AIを活用したアプリケーションもWebアプリケーションと同様にAPIを介して通信しますが、日本語や英語といった自然言語を用いてLLMサービスとやり取りを行います。そのため、自然言語によるプロンプトインジェクションや、機密情報を漏えいさせるといった攻撃が成立し得ます。また、AIアプリケーションが想定外の用途で利用されたり、コンプライアンスに違反する可能性のある内容が生成されるケースについても、適切に制御・可視化することが求められます。AIとのやり取りは自然言語で行われるため、従来のWAFやAPIセキュリティだけでは十分に対応できません。そのため、自然言語の内容を理解・判定し、制御と可視化を実現できるAI特有のセキュリティ対策が求められます。

AIアプリケーションの構成と制御ポイント

下記は、基本的なAIアプリケーションのアーキテクチャに、通信フローと制御ポイントを記載した図です。

クライアントが不正なプロンプトを送ってないか検査し、問題がある場合はブロックする必要があります。LLMサービスが返すレスポンスも、機密情報やポリシー違反の内容が含まれていないか検査し、問題がある場合はブロックする必要があります。また、AIアプリケーションのやり取りを後から監査できるよう、プロンプトおよびレスポンスのログ取得も重要です。

F5のセキュリティソリューション全体像

F5は、ADSP（Application Delivery and Security Platform）として、あらゆる環境でアプリケーション配信とセキュリティ機能を統合して利用できるソリューションを提供しており、WebアプリケーションやAIアプリケーションのセキュリティ対策が可能です。アプリケーションを構築する環境に合わせて、クラウド、クラウドとオンプレミスの混在、オンプレミスの環境で使用できます。データ主権などのコンプライアンス要件やコスト要件により、アプリケーションの全部または一部をオンプレミスに構築する場合にも対応できます。

F5 Distributed Cloud Services（以降はF5 XCと記載）およびF5 BIG-IPにより、外部公開するWebアプリケーションにHTTPやAPIのセキュリティ対策とトラフィック制御を提供します。また、WebアプリケーションとLLMサービス間の通信制御も可能です。F5 AI Red Teamは、AIに特化した脅威やリスクの可視化を提供します。F5 AI Guardrailsは、AIに特化した防御とデータ保護を提供します。

F5 AI Red Team

F5 AI Red Teamは、LLMやAIアプリケーションに擬似攻撃を行い、AIアプリケーションのセキュリティ耐性を評価・スコアリングします。

F5が毎月更新する10,000以上の攻撃プロンプトでテストできます。

自然言語で攻撃の目的を設定し、その目的を満たす攻撃プロンプトを動的に生成してテストできます。F5が用意した攻撃プロンプトで対応できない環境固有の情報漏えいやポリシー違反の有無をテストすることも可能です。

攻撃プロンプトを1回送信するだけでなく、複数回の対話で防御を突破しようとするマルチターン攻撃のテストも可能です。F5 AI Red Teamが送信したプロンプトとレスポンスのログを確認できます。

テストが終了すると、スコアと改善案を確認できます。

F5 AI Red Teamは、要件に合わせてオンプレミス環境、パブリッククラウドのお客様テナント環境、F5のSaaS環境で稼働させることができます。F5はF5 AI Red Teamを使って主要なLLMサービスをセキュリティ評価し、スコアリングした結果を下記のページで一般公開しています。LLMサービスのモデルを選定する際の参考にできます。

CASI and ARS Leaderboards - https://www.f5.com/labs/casi

F5 AI Guardrails

F5 AI Guardrailsは、AIアプリケーションへの入出力をリアルタイムで検査し、不適切な内容のブロックやマスキングが可能です。

F5があらかじめ用意している防御ルールにより、不適切なプロンプトやレスポンスを検知・ブロックできます。

自然言語による防御ルールを設定できます。環境固有の情報漏えいやポリシー違反などを検知・ブロックできます。

検査したプロンプト、レスポンス、ブロック有無のログを確認できます。

F5 AI Guardrailsは、要件に応じてオンプレミス環境、パブリッククラウド上のお客様テナント環境等で稼働させることができます。オンプレミス環境のLLMとオンプレミス環境に配置したF5 AI Guardrailsを組み合わせることで、プロンプトやレスポンスの情報を外部に出すことなく、閉域環境内で安全に利用することも可能です。また、F5 AI Guardrailsにはゲートウェイ型とAPI型の2つの利用形態があります。

ゲートウェイ型として、AIアプリケーションとLLMサービス間にF5 AI Guardrailsが入る構成。

API型として、AIアプリケーションがF5 AI Guardrailsに検査するプロンプトとレスポンスを送る構成。

F5 BIG-IP連携

オンプレミス環境で、AIアプリケーションとLLMサービス間のトラフィック制御・負荷分散にF5 BIG-IPを使っている場合もあると思います。F5 BIG-IPと連携することで、AIアプリケーション側は設定変更せずに、F5 AI Guardrailsを導入できます。主に下記２つの構成があります。

F5 BIG-IPの負荷分散先をLLMサービスからF5 AI Guardrailsに変更して、サービス通信がF5 AI Guardrailsを経由する構成。

F5 BIG-IPがプロンプトとレスポンスをF5 AI Guardrailsに送る構成。

後者の構成は、サービス通信の経路も変更する必要がなく、F5 BIG-IPの設定変更だけでF5 AI Guardrailsを導入できます。弊社では、この構成で使用するF5 BIG-IPのiRuleサンプルコードを作成しました。検査対象のプロンプトとレスポンスのみをF5 AI Guardrailsへ送信し、その検査結果に基づいてF5 BIG-IPがブロックレスポンスを返せることを確認しています。

まとめ

本記事では、F5 AI GuardrailsとF5 AI Red Teamの概要と、検証内容の一部を紹介しました。弊社では検証を継続して、F5 AIセキュリティソリューションの長所・短所や他社セキュリティソリューションとの違いを確認していく予定です。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

お問い合わせはこちら

OTHER CATEGORY