④ AIのセキュリティ確保のための技術的対策に係るガイドライン

総務省「AIセキュリティガイドライン」をやさしく徹底解説！開発者も利用者も知っておきたい技術的対策

生成AIが急速に広がる中、AI自体が攻撃の標的になるケースが増えています。 今回は2026年3月に総務省が公開した 「AIのセキュリティ確保のための技術的対策に係るガイドライン」 を、難しい言葉をできるだけ噛み砕いて読み解きます。25ページの本編と20ページの別添を合わせると少しボリュームがありますが、ポイントだけをすっきり整理しました。

ガイドラインの基本情報

タイトル：AIのセキュリティ確保のための技術的対策に係るガイドライン
発行元：総務省（サイバーセキュリティタスクフォース・AIセキュリティ分科会）
発行日：令和8年3月（2026年3月）
バージョン：初版（別添の付属資料あり）
対象：AI開発者・AI提供者（AI事業者ガイドラインが定義する事業者）
総ページ数：25ページ（用語集含む）
リンクURL：https://www.soumu.go.jp/main_content/001064122.pdf

タイトル： 別添（付属資料）
バージョン：記載なし（令和７年12月取りまとめを踏まえた版）
対象者：AI開発者・AI提供者（LLMや画像識別AIを開発・運用する事業者）
総ページ数：20ページ
リンクURL：https://www.soumu.go.jp/main_content/001064123.pdf

このガイドラインは「理想論」ではなく「現場で本当に役立つ」内容に仕上がっています。 開発者の方も、社内でAIチャットボットを導入したい担当者の方も、「まず何を守ればいいの？」がこの1本でつかめます。ぜひ最後まで読んでみてください。

このガイドラインの位置づけ

この資料はAI開発者・AI提供者（事業者）向けの技術的対策に特化しています。 全25ページ（別添20ページ）で、LLM（大規模言語モデル）を中心に扱っています。

特に重要なポイントは、以下の既存ガイドラインと相互補完関係にあることです：

• AI事業者ガイドライン
• AIセーフティに関する評価観点ガイド（AISI）
• レッドチーミング手法ガイド（AISI）
• デジタル庁の生成AI調達ガイドライン

策定の背景

生成AIが社会に広く実装されるにつれ、「AIへのサイバー攻撃」が現実の脅威として浮上しました。 政府の「デジタル社会の実現に向けた重点計画」や「サイバーセキュリティ2025」にも後押しされ、総務省のAIセキュリティ分科会で令和7年9月〜12月にかけて議論され、令和8年3月に初版が公開されました。

対象とするAIとセキュリティの定義

主な対象：LLMおよびLLMを構成要素に含むAIシステム ChatGPTのような大規模言語モデル（LLM） LLMを組み込んだシステム（RAGチャットボットなど） AIエージェントやVLM（画像とテキストを一緒に扱うモデル）は、まだ技術が発展途上なので今回は対象外。将来の改訂で追加予定です。 他のガイドラインとの関係： 総務省はこのガイドラインを「AI事業者ガイドライン」とセットで使う想定にしています。さらにAISI（AIセーフティ・インスティテュート）の「評価観点ガイド」「レッドチーミング手法ガイド」、デジタル庁の「生成AI調達ガイドライン」とも補完関係にあります。

セキュリティの定義： 不正操作によって「機密情報が漏えいしたり」「AIの挙動が意図せず変わったり停止したり」しない状態を維持すること。 難しい話ではなく、「想定外のことをさせない」が基本です。

主な脅威とその実例

まず押さえたい3つの脅威

ガイドラインは脅威を大きく3つに分けています。

1. プロンプトインジェクション攻撃（最も注意が必要）

一番身近で、実際に事例も多い、LLMの最大の弱点と言える攻撃です。悪意ある指示を紛れ込ませて、AIに本来やってほしくないことをさせます。2種類に分けられます。

種類	概要	具体的な手口例	不正出力の可能性
直接型	攻撃者が直接プロンプトを入力	指示の上書き、ロールプレイ、Unicode使用	システムプロンプト漏えい、SQLインジェクション
間接型	外部データ（Web・メールなど）に細工	悪意あるWebページを参照させる	RAGデータ窃取、誤情報出力

起きうる被害例：

• 社内RAGの機密文書がそのまま返ってくる
• SQL文を生成させてデータベースを触らせる
• システムプロンプト（裏の指示書）が漏れる
• デマをそれっぽく出力させる

なぜ重要？

プロンプトインジェクションは「AIの聞き分けの良さ」を逆手に取る攻撃です。便利さの裏側なので、対策を知っておくだけで事故率がぐっと下がります。

2. DoS攻撃（サービス拒否攻撃）

LLMにわざと重い計算をさせるプロンプトを大量に送り、サービスを遅くしたり止めたりします。「スポンジ攻撃」と呼ばれる、APIの利用制限到達によって経済的損失させる手口も含まれます。APIの従量課金だと、そのままお財布に直撃します。簡単に言えば、膨大な計算をさせるプロンプトを送り、サーバーを疲弊させる攻撃。

3. その他の高度な脅威（準備が必要なもの）

データポイズニング：学習データに毒を混ぜて、将来の振る舞いを歪める

細工モデル導入：悪意あるモデルを「便利そう」と配布して組み込ませる

モデル抽出：何度も質問して回答パターンを集め、似たモデルをコピーする

これらはすぐに起きるわけではありませんが、モデルを配布・再学習する会社は特に注意が必要です。

具体的な対策（開発者編・提供者編）

AI開発者ができる対策

安全基準を学習させる：RLHFやSFTで「違法行為は手伝わない」「個人情報は出さない」などを後から教え込む 指示の優先度を決める：システムプロンプト ＞ 開発者指示 ＞ ユーザー入力 ＞ 外部データ、の順で守るように学習させる 評価ツールを活用：AISIの「AIセーフティ評価ツール」、NIIの「AnswerCarefully」、NICTの評価基盤などが例示されています

AI提供者ができる対策

ガードレールを置く：入出力や外部データをチェックする「門番」を用意。ブロックリストと、もう一つのLLMで二重チェックが基本です
 権限管理の徹底：権限は最小限に　RAGやDBを触るオーケストレータは管理者権限で動かさない。SELECTのみ、部署タグで絞る、など
システムプロンプトを強化：役割、ルール、禁止事項、応答ルール、入力の解釈方針の5要素を明記。APIキーなどは絶対に書かない

共通の基本対策

• 監査ログを残す（誰が何を聞いたか）
• レートリミットを入れる（連打防止）
• 構成要素の出所を確認する（基盤モデルの開示情報を見る）
• 定期的にレッドチーミング（攻撃者役を立ててテスト）

ちょっと面白いポイント：きちんと対策した上で漏えいが起きても、不正競争防止法の「営業秘密」として保護される可能性に触れています。技術対策が法的な盾にもなる、という視点は実務で効きます。

【画像提案】 対策の章中盤 → 「ガードレールと権限管理の仕組みをフローチャートで説明した図（alt: AIセキュリティ ガードレールと権限管理の流れ）」

想定事例で理解を深める

ガイドラインは2つの事例で整理しています。

事例	想定ユーザー	外部連携	主な脅威	主な対策
事例1： 社内RAGチャットボット	社員（内部攻撃者含む）	社内データストア	直接・間接PIで機密窃取	安全学習、システムプロンプト、ガードレール、権限管理
事例2： 公開チャットボット	一般ユーザー	インターネット	直接PI、DoS、間接PI	安全学習、システムプロンプト、ガードレール

事例1：内部向けチャットボット（RAG利用） → 組織内攻撃者からの直接・間接プロンプトインジェクション対策が重要

事例2：外部向けチャットボット → インターネット公開情報経由の間接攻撃やDoS対策が必要

社内用だから安全、と思いがちですが、内部からのプロンプトインジェクションは実際に起きています。逆に公開用はDoSの金銭ダメージが大きい。用途で守り方が変わる、というのがよくわかります。
どちらも「安全基準学習＋システムプロンプト＋ガードレール＋権限管理」の組み合わせが効果的です。

別添資料のポイント：画像識別AI（CNN）もカバー

本編は方針、別添は「どうやるか」の実務集です。ここが一番読み応えありました。 VLM（視覚と言語の統合モデル）の普及を踏まえ、CNNに対する攻撃も整理されています。

• 敵対的サンプル（微小ノイズで誤認識させる）
• データポイズニング
• モデル抽出・メンバーシップ推論攻撃 など

対策として「敵対的学習」や出力スコアの丸めなどが有効です。

今後の課題と展望

VLMやAIエージェント、MCP（Model Context Protocol）など新しい技術への対応は今後の改訂課題とされています。技術の進化に合わせてアップデートされていく方針です。

LLM対策の深掘り

1. システムプロンプトの5要素 役割の定義 遵守すべきルール 禁止事項カテゴリ 応答ルール 入力解釈方針
2. 機密情報の分離 APIキーやDB名はプロンプトに直書きせず、KMSや環境変数で管理します。漏えい事故の多くはここが原因です。
3. ガードレールの具体策 入力検証：禁止語リスト（"drop table"など）＋ガードレール用LLM。入力長制限でDoSも防ぐ 

外部データ検証：取得前に信頼性チェック。

ユーザー入力と外部データは[USER_INPUT][EXTERNAL_DATA]のようにタグで分離 

出力検証：個人情報のブロックリスト、構造化出力（JSONスキーマ固定）、出力長制限
情報制御：トークン確率などは出さない。出すなら丸める
画像識別AI（CNN）にも触れている VLMが増えて、画像系の攻撃がテキストAIにも波及するため、CNNの脅威も整理されています。
 

入力でできる攻撃：敵対的サンプル（標識を誤認させる）、DoS（重い画像）。対策は敵対的学習、ビット深度を下げる、閾値フィルタ 

前提が必要な攻撃：データポイズニング、細工モデル。対策は学習データとモデルの出所確認

入出力分析：モデル抽出、メンバーシップ推論、モデル反転。対策はスコアの丸め、レートリミット、過学習抑制
最後に情報収集先として、arXiv、MITRE ATLAS、OWASP、AI Incident Database、NISTなど10種類が挙がっています。キャッチアップ先のリストとしても便利です。

 今後の課題

ガイドライン自身が「今回は対象外」と明言しているのが、VLM、AIエージェント、MCP（Model Context Protocol）です。エージェントが勝手にツールを使う時代は、権限管理がさらに難しくなります。今後の追補が出される事が予想されます。

まとめと所感

総務省のこのガイドラインは、生成AIを安全に使い続けるための「実践マニュアル」と言えます。

脅威の中心はプロンプトインジェクションとDoS。まずは入力・出力に門番を置く 作る人と出す人で役割を分ける。システムプロンプトの設計と権限の最小化が鍵。 ログとテストを回し続ける。一度作って終わりではないという事です。 難しく考えすぎず、まずは「入力を疑う」「権限を絞る」「ログを残す」の3点から始めてみてください。このガイドラインは、その最初の一歩を丁寧に示してくれています。

開発者の方はもちろん、企業でAIを導入・運用している方も一度目を通しておくと安心です。

参考リンク

• 本編：https://www.soumu.go.jp/main_content/001064122.pdf
• 別添：https://www.soumu.go.jp/main_content/001064123.pdf

他のガイドラインは以下よりご覧ください
AIガイドライン 18本 構造化インデックス
【一覧】日本政府 AIガイドライン 18本【INDEX】