エンタープライズLLM・AIエージェントの
セキュリティ完全ガイド
「データは安全か」「エージェントが誤作動したら」「規制にどう対応するか」——LLM業務導入における3つの不安を、体系的なフレームワークで解消します。
3
セキュリティレイヤー
10
カテゴリ
4
ガイド記事
MCP固有リスク
ツール・ポイズニング / サプライチェーン
Layer 3
ガバナンス・運用フレームワーク
Layer 2
エージェント固有リスク
Layer 1
データ主権
LLM / AIエージェント 本番環境
Definition
エンタープライズLLMセキュリティとは、データ主権・エージェント固有リスク・ガバナンスの3レイヤーで構成される体系的なリスク管理フレームワークです。 homulaは、この3レイヤー×10カテゴリのフレームワークに基づき、要件定義から技術実装・運用ガバナンスまでを一気通貫で支援します。
Layer 1 から始める理由
「クラウドに送っても大丈夫か」という懸念は4種類の異なる問いを内包しています。 正確な要件分類なしに技術選定を始めると、過剰なオンプレ投資や規制違反を招きます。
エージェント化で攻撃面が拡大
LLM単体と異なり、外部ツールを自律実行するエージェントは プロンプトインジェクションの被害を「情報漏洩」から「システム操作」まで拡大します。 OWASP LLM Top 10(2025版)は6項目がエージェント特有のリスクです。
監査要件は後付けできない
J-SOXや経産省AIガイドラインへの対応は、システム設計時に組み込む必要があります。 本番稼働後の追加対応は工数が3〜5倍になります。ガバナンス設計は導入と並行して進めるべきです。
Framework
3レイヤー × 10カテゴリの全体マップ
それぞれのレイヤーは独立して対処できますが、全体を俯瞰した上で優先順位を設定することが重要です。
Layer 1
データ主権
どこで、誰の手で、どう処理されるか
学習利用ポリシー
主要ベンダー3社のAPI契約条件比較
データ保存リージョン
日本リージョン対応状況と選定基準
完全ローカル化
オンプレLLM・VPC閉域網の選択基準
入力マスキング
PIIマスキングの実装パターン2種
Layer 2
エージェント固有リスク
自律行動するエージェント特有の攻撃面
プロンプトインジェクション
Direct / Indirect・RAGパイプライン経由
過剰権限(Excessive Agency)
最小権限設計とMCP環境での実装
Human-in-the-Loop欠如
自動実行 vs 承認フローの判断基準
出力フィルタリング
PII・認証情報の漏洩検出パターン
Layer 3
ガバナンス・運用
監査可能・説明可能・規制準拠の設計
監査ログ設計
エージェント行動の5年保持・即時照会要件
説明可能性
LLMの判断根拠をどう記録・説明するか
日本規制対応
経産省AI指針・個人情報保護法・J-SOX
MCP固有リスク
MCPを使う企業向け追加レイヤーMCPセキュリティ
ツール接続基盤に固有の脅威モデル
ツール・ポイズニング
悪意あるサーバーが正規ツールに偽装
ラグ・プル攻撃
公開後に動作を改ざんするサプライチェーン攻撃
プロンプト・インジェクション(MCP経由)
ツール出力に埋め込まれた命令の乗っ取り
認証・認可の欠陥
OAuth 2.1・mTLS未実装による不正アクセス
サンプリング権限の濫用
サーバー側LLM呼び出しの悪用リスク
Guides
ガイド記事一覧
各記事は独立して読めますが、Layer 1 → Layer 2 → MCPセキュリティ → Layer 3 の順が推奨です。
Layer 1:データ主権 — 学習利用・保存リージョン・ローカル化・マスキングの4類型
「データをクローズドで使いたい」という要件が実は4つの異なる懸念を意味することを解説。主要ベンダーのポリシー比較・日本リージョン対応・オンプレ選定基準・PIIマスキングの実装パターンを網羅。
Layer 2:AIエージェントのセキュリティ設計 — プロンプトインジェクション・権限・HITL・出力フィルタリング
自律的にツールを呼び出すエージェントに固有の4つのリスクとOWASP LLM Top 10(2025版)対応マッピング。MCP環境での最小権限設計・Human-in-the-Loop境界の実装基準を解説。
MCPセキュリティ完全ガイド — ツール・ポイズニング・ラグ・プル・サプライチェーン攻撃の脅威と対策
AIエージェントのインフラとなったMCPに固有の5つのセキュリティリスクを解説。CVE実例3件・攻撃シナリオ・プロトコル仕様のギャップ・3層防御フレームワークをCISO・セキュリティ担当者向けに体系化。
Layer 3:エンタープライズAIガバナンス — 監査ログ・説明可能性・日本規制対応(J-SOX・経産省AI指針)
エンタープライズAI統制の3要件(監査・説明可能性・サプライチェーン)と日本固有の規制対応マップ。5年保持監査ログの設計要件・EU AI Actの日本企業への影響・Agens ControlのGateway機能との対応関係。
Reading Guide
役割別・読む記事の選び方
CISO / セキュリティ担当
全4記事(推奨)
特に記事02・03を重点的に
エージェント固有リスクとMCPセキュリティは、従来のLLMセキュリティ知識では対処できない新しい攻撃面を扱います。
情シス / インフラ担当
記事01(データ主権)
記事03(MCPセキュリティ)
データ保存リージョン・閉域網設計・MCP認証基盤(OAuth 2.1/mTLS)の技術設計に直接関連する内容を優先してください。
経営企画 / 法務
記事01(学習利用ポリシー)
記事04(日本規制対応)
ベンダー契約条件・個人情報保護法・経産省AIガイドライン・J-SOXへの対応マップは意思決定層が把握すべき内容です。
homula's Approach
homulaのセキュリティ支援
「ガイドラインを読んでもどこから手をつけるか分からない」というフィードバックを多くいただきます。 homulaは400社超の支援実績をもとに、貴社の状況に合わせた優先順位付けから実装まで一気通貫で支援します。
Agens Control
homulaが開発したエンタープライズMCPプラットフォーム。 ツール呼び出しのRBAC/ABAC制御・承認フロー・コンテンツフィルタリング・セマンティック監査ログを標準装備。 Layer 2とLayer 3の要件を実装レベルで解決します。
Agens Controlの詳細セキュリティ要件整理ブートキャンプ
3〜5日間の集中ブートキャンプ。初日にこの3レイヤーフレームワークを使ったセキュリティ要件マッピングを実施し、 優先対処項目・アーキテクチャ方針・ROI試算を成果物として納品します。
ブートキャンプの詳細FAQ
よくある質問
主にCISO・セキュリティ担当者・情シス責任者・CTO向けに設計されています。Layer 1(データ主権)は経営企画・法務担当者にも有用です。MCPセキュリティ記事(記事03)はエンジニアにも実践的な内容を含みます。読者の役割に応じて記事を選んで読むことをおすすめします。
OWASP LLM Top 10(2025版)・NIST AI RMF・経産省AIセキュリティガイドライン・Anthropic/OpenAIのセキュリティドキュメントをベースに、homulaが400社超の支援実績から得た実務知見を統合して体系化したフレームワークです。既存の単一フレームワークをそのまま採用するのではなく、日本企業の導入文脈に適合させた独自分類です。
LLM単体(チャット・Q&A等)では主にLayer 1(データ主権)の要件が中心です。AIエージェント(外部ツール呼び出し・自律実行)を使い始めると、Layer 2のエージェント固有リスクが追加されます。さらにMCPを通じたツール接続を行う場合は、記事03で解説するMCP固有の脅威モデルへの対応が必要です。段階的な導入に合わせてセキュリティ設計も拡張する必要があります。
可能ですが、後付け整備は設計の制約が大きく工数も増加します。homulaのブートキャンプでは初日にセキュリティ要件マッピングを実施し、既存の利用状況を棚卸しした上で優先的に対処すべき項目を特定します。「まず動かす→後でセキュリティを足す」より「設計段階で要件を整理する」ほうが長期的なコストは低くなります。
Agens ControlはLayer 2と3を中心にカバーします。具体的には、ツール呼び出しのアクセス制御(RBAC/ABAC)、Human-in-the-Loopの承認フロー設計、セマンティック監査ログの自動生成、コンテンツフィルタリングゲートウェイが主な機能です。Layer 1(データ主権)は主にLLMベンダー選択・インフラ設計の問題であり、Agensとは独立して設計する必要があります。
Next Step
自社のLLMセキュリティ要件を整理したい
「3レイヤーのうち、自社が今どこに対処すべきか」をブートキャンプの初日に特定します。 過剰投資・見落とし・後付け対応のコストを避けるための要件整理セッションを提供します。