C08 メモリ、エンベディング、ベクトルデータベースセキュリティ (Memory, Embeddings & Vector Database Security)

管理目標

エンベディングとベクトルストアは検索拡張生成 (Retrieval-Augmented Generation, RAG) を介して AI システムの半永続的および永続的な「メモリ」として機能します。このメモリは高リスクのデータシンクやデータ抽出パスとなる可能性があります。このコントロールファミリーはメモリパイプラインやベクトルデータベースを強化し、アクセスが最小権限であり、ベクトル化前にデータがサニタイズされ、保持が明示的であり、システムがエンベディング反転、メンバーシップ推論、テナント間漏洩に耐性があるようにします。

---

C8.1 メモリと RAG インデックスのアクセス制御 (Access Controls on Memory & RAG Indices)

すべてのベクトルコレクションに対してきめ細かなアクセス制御とクエリ時のスコープ適用を強制します。

#	説明	レベル	ロール
8.1.1	検証: ベクトルの挿入、更新、削除、クエリ操作はデフォルトで拒否された名前空間/コレクション/ドキュメントタグのスコープ制御 (テナント ID、ユーザー ID、データ分類ラベルなど) で強制されている。	1	D/V
8.1.2	検証: ベクトル操作に使用される API クレデンシャルは スコープされたクレーム (許可されたコレクション、許可された動詞、テナントバインディングなど) を保持している。	1	D/V
8.1.3	検証: クロススコープアクセス試行 (クロステナント類似性クエリ、名前空間トラバーサル、タグバイパスなど) は検出され、拒否されている。	2	D/V
8.1.4	検証: 取り込まれたすべてのドキュメントは書き込み時に、ソース、書き込み者アイデンティティ (認証済みユーザーまたはシステムプリンシパル)、タイムスタンプ、バッチ ID、エンベディングモデルのバージョンでタグ付けされ、これらのタグは最初の書き込み後には変更不可能である。	2	D/V
8.1.5	検証: RAG パイプラインの取得イベントは、発行されたクエリ、取得されたドキュメントやチャンク、類似度スコア、知識ソース、および取得したコンテンツがモデルコンテキストに組み込まれる前にプロンプトインジェクションスキャンに合格したかどうかをログ記録している。	2	D/V
8.1.6	検証: 検索異常検出は、エンベディング密度の外れ値、類似度結果における特定のドキュメントの繰り返し優位、およびベクトルデータベースポイズニングを示唆する可能性のある検索バイアス分布の急激な変化を特定している。	3	D/V

---

C8.2 エンベディングのサニタイゼーションとバリデーション (Embedding Sanitization & Validation)

ベクトル化前にコンテンツを事前スクリーンし、メモリ書き込みを信頼できない入力として扱い、安全でないペイロードの取り込みを防止します。

#	説明	レベル	ロール
8.2.1	検証: 規制対象データと機密フィールドはエンベディング前に検出され、ポリシーに基づいてマスク、トークン化、変換、または削除されている。	1	D/V
8.2.2	検証: エンベディング取り込みは、必要なコンテンツ制約に違反する入力 (非 UTF-8、不正なエンコーディング、サイズが大きすぎるペイロード、非表示 Unicode 文字、検索を害することを目的とした実行可能コンテンツ) を拒否または隔離している。	1	D/V
8.2.3	検証: 通常のクラスタリングパターンを外れるベクトルは、プロダクションインデックスに入る前に、フラグ付けされ、隔離されている。	2	D/V
8.2.4	検証: エージェント自身の出力は、明示的なバリデーション (書き込みをコミットする前にコンテンツのソースを検証する、コンテンツオリジンのチェックや書き込み認可制御など) なしでは、自動的に書き戻されることはない。	2	D/V
8.2.5	検証: メモリに書き込漏れた新しいコンテンツはすでに保存されているものとの矛盾がないかチェックされ、矛盾があるとアラートをトリガーしている。	3	D/V

---

C8.3 メモリの有効期限、失効、削除 (Memory Expiry, Revocation & Deletion)

保持は明示的かつ強制可能である必要があり、削除は導出インデックスとキャッシュに伝播する必要があります。

#	説明	レベル	ロール
8.3.1	検証: 保持期間はメモリストレージ全体にわたって保存されているすべてのベクトルと関連するメタデータに適用されている。	1	D/V
8.3.2	検証: システムの定義された機能に必要な情報のみがメモリに保持され (ユーザー設定や会話の決定などであり、クレデンシャルや会話の全文は保持されない)、現在のセッションを超えて必要のないコンテキストはセッション終了時に破棄されている。	1	D/V
8.3.3	検証: 削除リクエストは、組織が定義した最大時間内に、ベクトル、メタデータ、キャッシュコピー、導出インデックスを消去している。	1	D/V
8.3.4	検証: 削除されたベクトルや期限切れのベクトルは確実に削除されており、回復できない。	2	D
8.3.5	検証: 期限切れのベクトルは、測定および監視された伝播ウィンドウ内の検索結果から除外されている。	2	D/V
8.3.6	検証: メモリは保持削除とは別にセキュリティ上の理由 (隔離、選択的消去、完全リセット) でリセットでき、隔離されたコンテンツは調査のために保持されているが、検索からは除外されている。	2	D/V

---

C8.4 エンベディングの反転とリークの防止 (Prevent Embedding Inversion & Leakage)

明示的な脅威モデリング、緩和策、回帰テストゲートで反転、メンバーシップ推論、属性推論を対処します。

#	説明	レベル	ロール
8.4.1	検証: 機密ベクトルコレクションは、アプリケーション層の暗号化、厳格な KMS ポリシーでのエンベロープ暗号化、または同等の補完コントロールなどの技術的なコントロールを介して、インフラストラクチャ管理者による直接読み取りアクセスに対して保護されている。	2	D/V
8.4.2	検証: エンベディング漏洩耐性のプライバシー/ユーティリティターゲットは 定義および測定 されており、エンベディングモデル、トークナイザ、検索設定、プライバシー変換の変更はそれらのターゲットに対する回帰テストによってゲート制御されている。	3	D/V

---

C8.5 ユーザー固有メモリのスコープの強制 (Scope Enforcement for User-Specific Memory)

検索およびプロンプトアセンブリでのテナント間およびユーザー間の漏洩を防止します。

#	説明	レベル	ロール
8.5.1	検証: すべての検索操作は ベクトルエンジンクエリでの スコープ制約 (テナント/ユーザー/分類) を適用し、プロンプトアセンブリの前に (ポストフィルター) 再度検証している。	1	D/V
8.5.2	検証: ベクトル識別子、名前空間、メタデータインデックスはスコープ間の衝突を防ぎ、テナントごとに一意性を強制している。	1	D
8.5.3	検証: 類似基準に一致するがスコープチェックに失敗した検索結果は破棄されている。	1	D/V
8.5.4	検証: マルチテナントテストは敵対的検索試行 (プロンプトベースおよびクエリベース) をシミュレートし、プロンプトと出力にスコープ外のドキュメントがまったく含まないことを示している。	2	V
8.5.5	検証: マルチエージェントシステムでは、各エージェントのメモリ名前空間は、組織的な命名規則だけでなく、アクセス制御を通じて分離され、強制されている。	2	D/V
8.5.6	検証: 暗号鍵とアクセスポリシーはメモリ/ベクトルストレージのテナントごとに分離されており、共有インフラストラクチャでの暗号的分離を提供している。	3	D/V

---

参考情報

• OWASP LLM08:2025 Vector and Embedding Weaknesses

• OWASP LLM04:2025 Data and Model Poisoning

• OWASP LLM02:2025 Sensitive Information Disclosure

• MITRE ATLAS: RAG Poisoning

• MITRE ATLAS: False RAG Entry Injection

• MITRE ATLAS: Infer Training Data Membership

• MITRE ATLAS: Invert AI Model