生成AIを業務に取り入れる企業や事業所が、ここ数年で一気に増えました。文書作成や記録の要約、問い合わせ対応など、活用の幅は広がる一方です。
その便利さの裏側で、これまでのITセキュリティとは性質の異なる新しいリスクが生まれていることをご存じでしょうか
その代表格が「プロンプトインジェクション」です。
IPA(情報処理推進機構)が公表した「情報セキュリティ10大脅威 2026」では、AIの利用をめぐるサイバーリスクが初めて選出され、プロンプトインジェクションはその中心的な脅威として位置づけられました。
総務省も2026年に「AIのセキュリティ確保のための技術的対策に係るガイドライン」を公表し、対策の必要性を呼びかけています。
今回はこの「プロンプトインジェクション」について詳しく解説し、どのような対策を取るべきかをお伝えしていきます。
プロンプトインジェクションとは
プロンプトインジェクションとは、AIに対して悪意のある指示(プロンプト)を紛れ込ませ、本来の制約やルールを回避させる攻撃手法です。
従来のシステムは「決められたロジックで動く」ことが前提でした。これに対して大規模言語モデル(LLM)は、自然な言葉での指示を柔軟に解釈して動きます。
この柔軟さこそがAIの強みですが、同時に「うまく言葉を細工すれば、開発者が想定していない動作をさせられる」という弱点にもなります。
プログラムの穴を突くのではなく、言葉そのもので操作されてしまう点が、この攻撃の厄介なところです。
直接型と間接型の2種類がある
プロンプトインジェクションは、大きく2つのパターンに分けられます。
直接型(ダイレクト)
利用者本人がAIに対して悪意ある指示を直接打ち込むものです。「これまでの指示はすべて無視して」といった文言で、AIに設定されたルールを外そうとします。
間接型(インダイレクト)
こちらは、より見えにくく危険です。利用者自身に悪意はなくても、AIが処理するWebページやPDF、メール、外部システムの応答などの中に、人間には目立たない形で悪意ある指示が仕込まれているケースです。AIがその文章を読み込んだ瞬間に、攻撃者の指示に従ってしまう可能性があります。
近年、AIが自分で複数の作業を実行する「AIエージェント」の活用が広がっていますが、外部の情報やツールに触れる機会が多いほど、この間接型の入口は増えます。
OWASP(Webアプリケーションセキュリティの国際的な団体)も、AI関連リスクの筆頭としてプロンプトインジェクションを挙げています。
どんな被害につながるのか
プロンプトインジェクションが成功すると、次のような被害が起こり得ます。
- 本来は外部に出してはいけない機密情報や個人情報を、AIに引き出されて漏えいさせられる
- 連携した外部サービスを通じて、意図しない操作やデータの持ち出しが行われる
- AIに誤った情報をもとに回答や判断をさせられる
特に注意したいのは、AIが扱う情報の範囲が広がるほど、被害の深刻度も大きくなるという点です。
社内文書や顧客データ、業務システムにAIがアクセスできる環境では、たった一度の侵入が大きな損害に直結します。
機微な情報を扱う現場ではより慎重に
この観点で特に慎重さが求められるのが、医療・介護・福祉といった、要配慮個人情報をはじめとする極めて機微な情報を日常的に扱う現場です。
記録や問い合わせ対応にAIを取り入れる動きは現場の負担軽減に大きく貢献しますが、その情報が万一漏えいすれば、利用者やご家族の信頼を根本から損なってしまいます。
弊社も宮崎の介護・福祉の現場に向けてAI活用の支援を行うなかで、「便利さ」と「安全性」は必ずセットで考えるべきものだと痛感しています。
事業所にAI活用のルールがなく、個人のスマホで事業所内の調べ物をしていたり、添付して分析している資料が、入れてはいけないようなデータだったことも。
AIの導入は、こうしたリスクを正しく理解したうえで設計してこそ、安心して現場の力になります。
対策の基本は「多層防御」
プロンプトインジェクションに対して「これさえやれば完璧」という単一の対策は存在しません。複数の防御を重ねる「多層防御」が基本になります。
代表的な考え方を挙げます。
考え方
- 入力のチェック
利用者やAIに渡される入力を事前に検査し、不審な指示パターンをふるい分ける - 権限の最小化
AIに与えるデータやツールへのアクセス権を、業務に必要な最小限にとどめる - 重要な操作には人の確認を挟む
情報の送信や外部操作など影響の大きい行動の前に、人が確認する仕組みを置く - 出力の監視
AIの応答を定期的に点検し、不審な兆候があれば設定を見直す
Claude公式のセキュリティガイダンスを活用する
具体的な対策を検討する際に参考になるのが、AI開発企業である Anthropic が公開しているClaudeの公式セキュリティガイドです。
Anthropic社は「Mitigate jailbreaks and prompt injections(ジェイルブレイク・プロンプトインジェクション対策)」という資料を公開しており、AIを安全に運用するための考え方や対策が整理されています。
この資料では、直接型・間接型のプロンプトインジェクションの違いをはじめ、AIに入力される内容の事前チェック、危険な入力のフィルタリング、安全なプロンプト設計、AIの出力監視など、実践的な対策がわかりやすく解説されています。
また、AIエージェントや外部ツールと連携する際のリスクや注意点についても触れられているため、自社でのAI活用に置き換えながら読むことで、「どのようなリスクがあり、何を対策すべきか」を体系的に理解することができます。
公式ドキュメントはこちらから確認できます。 また開発者向けのエージェント運用については、Claude Codeのセキュリティドキュメントも参考になります。
まず自社がすべきことは、提供元が示す一次情報をベースに対策を組み立てることでありそれが最も確実で安全です。
おわりに
プロンプトインジェクションは、単なる「プロンプトの書き方」の問題ではなく、AIをどう組み込み、どこに信頼の境界を引くかという設計の問題です。
便利だから導入する、ではなく、リスクを理解したうえで安全に導入する。この姿勢こそが、これからAIを使いこなすすべての組織に求められます。
アスカゼでは宮崎の現場をはじめ、AIを安心して活用していただくための支援をオンラインも使って取り組んでいます。
AIの導入やセキュリティについてお悩みの際は、こちらからお気軽にご相談ください。