FUKLab設計資料の確認
要件、アーキテクチャ、データフロー、利用者権限、RAG/Agent構成、運用ルールを確認します。
AIセキュリティ設計レビュー
開発前・要件定義中向けのAIセキュリティ支援
AIセキュリティ設計レビュー
AIアプリケーションの開発前または開発中に、アーキテクチャ、データフロー、権限設計、運用ルール、ガードレール設計を確認します。リリース後の手戻りを減らし、設計段階からAI特有のリスクを低減します。
| 項目 | 内容 |
|---|---|
| 対象顧客 | 開発前・要件定義中 |
| 内容 | アーキテクチャ、データフロー、RAG/Agent権限、運用ルール、ガードレール設計 |
| 成果物 | 設計レビュー報告書、脅威モデル、改善Backlog |
| 価格目安 | 40〜100万円 |
サービス別の確認イメージ
設計段階で確認する論点
実装後の手戻りを減らすため、アーキテクチャ、データフロー、権限、ガードレールを早期に整理します。
| 設計論点 | 確認する内容 |
|---|---|
| 信頼境界 | 入力元、外部連携、出力先の境界 |
| 権限設計 | RAGのACL、Agentの実行権限、承認フロー |
| 運用設計 | 運用ルール、例外処理、再テスト方針 |
このような課題に対応します
- 要件定義や設計段階からAIセキュリティを組み込みたい
開発前または開発中の段階で、AIアプリの利用目的、扱うデータ、入力経路、出力先、外部連携を整理します。実装後に大きな手戻りが出やすい権限設計、運用ルール、ガードレール設計を早期に確認します。 - RAG/Agentの権限境界や運用ルールを整理したい
RAGの検索対象、ユーザー権限、Agentのツール実行権限、承認フロー、例外処理を確認します。攻撃者視点と運用者視点の両方から、設計上の弱点や未決事項を洗い出します。 - リリース後の手戻りを減らしたい
設計段階で修正すべき項目を、重要度、実装難易度、リリース影響に分けてBacklog化します。開発チームが優先順位を判断しやすいよう、短期対応と中長期対応を分けて提案します。
対象となるシステム・構成
- 開発前のAIアプリ
- 要件定義中のRAG
- Agent構成の設計
- LLM APIを組み込むSaaS
- 社内AI導入プロジェクト
- 顧客向けAI機能
主な確認観点
- アーキテクチャ
- データフロー
- 信頼境界
- 入力経路
- 出力先
- RAGのACL
- Agentの実行権限
- ガードレール設計
- 運用ルール
- エラー時の挙動
- 運用フロー
対象外・別見積となる範囲
- 実装後の詳細な脆弱性診断
- ソースコード全量レビュー
- クラウド設定診断
- AI利用規程の全社策定
- 法的判断
- 本番環境での攻撃検証
ご準備いただく情報
- 要件定義書または設計メモ
- アーキテクチャ図
- データフロー図
- RAGやAgentの予定構成
- 入力・出力・外部連携の一覧
- 運用ルールとガードレールの設計案
- リリース予定と制約事項
相談タイミング
- 要件定義中
- 設計中
- 開発初期
- セキュリティレビュー前
- 実装を固める前
- RAGやAgentの構成を決める前
成果物
| 項目 | 内容 |
|---|---|
| 報告書 | 設計レビュー報告書、脅威モデル、改善Backlogを、管理者向けサマリーと技術詳細に分けて提示します。 |
| 再現手順 | 開発チームが確認できる入力例、前提条件、観測結果を整理します。 |
| 改善優先度 | 技術的リスク、業務影響、対応難易度を踏まえて改善順序を示します。 |
進め方
保護対象の整理
扱うデータ、モデル入力、検索対象文書、外部連携、業務上守るべき操作を明確にします。
脅威モデリング
Prompt Injection、権限外参照、Tool Abuse、機密情報漏えい、運用ルールの不備の観点で設計上のリスクを整理します。
ガードレール設計確認
入力・出力制御、承認フロー、権限分離、レート制限、運用ルールの設計妥当性を確認します。
改善Backlog作成
設計段階で修正すべき事項を、重要度、実装難易度、リリース影響に分けてBacklog化します。
レビュー報告
設計レビュー報告書と脅威モデルを共有し、開発前または開発中に反映すべき改善点を説明します。
料金目安
40〜100万円
料金は対象システムの規模、機能数、連携先、診断範囲、報告会の有無によって変動します。正式なお見積りはヒアリング後にご提示します。
診断情報の取扱いについて
診断業務で取り扱う設計資料、プロンプト、認証情報、RAG関連データ等は秘密情報として管理します。これらの情報は、原則として外部の生成AIサービスに入力しません。必要がある場合は、事前に利用目的と取扱い範囲をご説明し、お客様の承諾を得たうえで利用します。
AIセキュリティ設計レビューを相談する
設計資料が揃い切っていない段階でも、未決事項と優先して決めるべき論点を整理できます。
対象範囲、連携先、報告会の有無を確認し、正式なお見積りをご提示します。