ある大企業の AI ガバナンス担当者が、Amazon Bedrock で運用中の生成 AI アプリケーションに対してセキュリティ評価を実施しています。「プロンプトインジェクション攻撃によってシステムプロンプトが無視されるリスク」を軽減するために、Bedrock Guardrails で設定すべき機能と追加対策の組み合わせとして最も適切なものはどれですか?
- A. Guardrails の拒否トピック・コンテンツフィルタと併用し、入力プロンプトをシステムプロンプトとユーザー入力に明示的に分離した構造化テンプレートを使用してモデルを呼び出す
- B. コンテンツフィルタをすべてのカテゴリで HIGH に設定し、不審な入力をすべてブロックする
- C. 拒否トピックにシステムプロンプトの内容を列挙し、ユーザーがその内容を変更しようとする入力をブロックする
- D. グラウンディングチェックを有効化し、すべての回答をナレッジベースの内容に限定する
解答と解説を見る
正解: A
プロンプトインジェクション対策には多層防御が有効です。Bedrock Guardrails の拒否トピックとコンテンツフィルタでインジェクション攻撃パターンをブロックしつつ、システムプロンプトとユーザー入力をAPIの構造化パラメータ(system フィールドとユーザーターン)で明示的に分離することで、ユーザー入力がシステム指示を上書きするリスクを大幅に低減できます。Dのグラウンディングチェックは幻覚防止に有効ですが、プロンプトインジェクション防止が主目的ではありません。Cのシステムプロンプト内容の列挙は攻撃者に保護対象の情報を示す逆効果のリスクがあり、また意味論的な変形には対応できません。Bのコンテンツフィルタ全部 HIGH は過剰ブロックによって正常なユーザー入力も遮断するリスクがあります。