V6. エージェントとプラグイン (Agents and Plugins)
管理目標
エージェントベースのシステムの自律的な性質は新たなリスクをもたらし、プロンプトインジェクションなどの攻撃の影響を増大させる可能性があります。これらのコントロールは自律的な LLM コンポーネントに関連するリスクを許容可能なレベルまで軽減することを目的としています。
6.1
エージェントベースのソリューションが現在のタスクに必要なエージェントツールとプラグインへのアクセスのみを公開することを確保します。エージェントがサポートするタスクが複数存在する場合、特定のタスクが他のタスクで使用されているツールやプラグインを利用できないようにする必要があります。
✓
✓
✓
6.2
カスタムプラグインやエージェントツールが既存の SSDLC プロセスに従うことを確保します。
✓
✓
6.3
サードパーティプラグインやツールキットが既存のサードパーティリスクマネジメントプロセスに従って適切に検査されることを確保します。
✓
✓
6.4
エージェントツールやプラグインのパラメータが実行前に検証されることを確保します。一般的なチェックには最低でも型チェックを含み、さらにより具体的なバリデーションを含む必要があります。
✓
✓
6.5
エージェントツールやプラグインによって使用されるサードパーティサービスのクレデンシャルが、OWASP ASVS のセクション V2.10 「サービス認証」に従って安全に処理されることを確保します。
✓
✓
6.6
エージェントやプラグインのフレームワークが、未加工のプロンプトと完了時をインターセプトできるフックを含み、LLM ガードの動作を有効にし、適切な監視、トラブルシューティング、監査を有効にすることを確保します。
✓
✓
6.7
カスタムビルドされたプラグインが現在認証されている原則の範囲を考慮することを確保します。プラグインは現在の原則がアクセスを認可しているもの以外にアクセスできるべきではありません。
✓
✓
6.8
エージェントツールやプラグインを実行するホストが他の内部コンポーネントから適切に分離されることを確保します。特定の内部サービスをクエリする必要があるかもしれませんが、関係のないサービスに到達できないようにファイアウォールルールを適用します。
✓
6.9
エージェントツールやプラグインを実行するホストが任意の外向きネットワークリクエストを行うことが適切に制限されることを確保します。自立型エージェントからのデータ抽出の難易度を高めるために、必要な API とサービスのトラフィックのみを許可する必要があります。
✓
6.10
サードパーティサービスの API トークンがエージェントやプラグインに必要な最小限にスコープされることを確保します。たとえば、特定の Slack チャンネルからメッセージを読み取るように設計されたエージェントは、他のチャンネルからメッセージを読んだり、メッセージを投稿したりできないようにする必要があります。
✓
✓
6.11
自立型エージェントが実行を続行できるようになる前に、センシティブな操作について「ヒューマンインザループ (human in the loop)」とよばれる手動承認を検討します。
✓
6.12
ソフトウェアの欠陥によるコード実行につながるエージェントプロンプトのリスクを軽減するために、エージェントがサンドボックス化された一時的な環境で実行されることを確保します。
✓
Last updated