KEEL

経営判断

第00章 提案サマリー

KEEL が LLM ゲートウェイを導入すべき理由と、Phase 1/2 の投資判断材料を経営・推進担当向けに要約する。

主な読者: 経営PMセキュリティ

本提案の位置づけ

多くの会社では、社内開発の生産性向上と顧客プロジェクトへの AI 活用提案の双方で LLM 利用が急拡大している。一方で、開発者が個別に API キーを取得し、IDE プラグインやチャットツールへ直結する シャドー IT 型の LLM 利用 が常態化しつつある。本ガイドパックは、LLM ゲートウェイを中核とした統制基盤 を Phase 1(社内 PoC・限定本番)→ Phase 2(全社展開・顧客案件テンプレ化)の二段階で整備する提案である。

本資料は KEEL 社内向けの技術・ガバナンス提案であり、特定顧客向けの製品仕様書ではない。顧客案件への展開は、本パックのテンプレートをベースに契約・データ分類を個別調整する。

なぜ今か — 3 つのトリガー

トリガー現状の兆候放置した場合のリスク
利用の爆発Cursor・GitHub Copilot・ChatGPT Enterprise 試用が部門横断で増加契約・ログ・データ所在が部門ごとにバラバラ
顧客要件の高度化金融・製造・公共向け提案で「AI 利用の説明責任」が RFP に明記提案時に統制ストーリーを即答できず失注
コストの不可視化トークン課金がプロジェクト原価に紐づかない粗利悪化・予算超過が後追いで判明

「まずは小さく試す」だけでは、キー配布とログ欠落が先に固定化する。ゲートウェイは後付けより先に薄く入れる方が総コストが低い。

4 つのドメイン(本パックの全体構造)

本パックは次の 4 ドメインで一貫した設計を提供する。

#ドメイン目的主な読者
1ガバナンス誰が・何を・どのモデルで使えるかを定義PM、セキュリティ
2セキュリティDLP・ガードレール・インシデント対応セキュリティ、インフラ
3プラットフォーム製品選定・ネットワーク・HA・監視インフラ、SE
4現場運用開発者の使い方・申請・運用 RunbookPG、SE、PM

各ドメインは独立した章として詳述するが、承認フロー(申請 → 仮想キー発行 → ログ監査) が横断する共通スパインである。

Phase 1 / Phase 2 サマリー

Phase 1 — 統制の最小実装(目安 8〜12 週)

Phase 2 — 全社・顧客案件テンプレ(目安 Phase 1 完了後 6〜9 ヶ月)

Phase 1 は「完璧な製品選定」より ログとキー集中の成立 を優先する。Phase 2 で製品のスケールアップまたはマネージド APIM への移行を判断する。

投資と効果(概算レンジ)

項目Phase 1Phase 2
インフラ・ライセンス月 15〜40 万円月 40〜120 万円
構築工数(社内 + パートナー)1.5〜3 人月4〜8 人月
期待効果キー漏洩リスク低減、利用可視化提案力向上、監査対応工数の削減(削減率は KEEL 実績で要検証)

※ モデル利用料(トークン課金)は別途。ゲートウェイ導入により高コストモデル呼び出しを抑制できる可能性はあるが、削減率は利用部門・既定モデル・キャッシュ/ルーティング方針に依存する。KEEL では Phase 1 の月次レポートを根拠に効果を確定する(UNRESOLVED: 実績待ち)

意思決定に必要な 5 項目

  1. Phase 1 開始の承認(予算・スポンサー・セキュリティ責任者の合意)
  2. データ分類ポリシー(社内ソースコード・顧客データの LLM 送信可否)
  3. クラウド選定(Azure 既存投資との整合 — KEEL 標準リージョン)
  4. パイロット部門(1〜2 プロジェクト、3 ヶ月)
  5. Phase 2 ゲート条件(Phase 1 KPI 達成定義)

次のアクション

役割アクション参照章
経営Phase 1 予算・スポンサー承認第 11 章
セキュリティDLP 要件・脅威モデル確認第 6 章
インフラネットワーク・デプロイパターン選定第 8 章
PMパイロットプロジェクト選定・申請フロー試行第 10 章
SE/PGゲートウェイエンドポイント接続(パイロット)第 9 章

本パックの読み方: 役割別に該当章を深読みし、第 17 章マスタサマリーで全体を俯瞰する。製品選定の詳細は第 5 章、導入手順のチェックリストは第 12 章を正とする。


2026-07 ブラッシュアップ — 調査で強化した論点

初版公開後、LiteLLM 公式アドバイザリ、GitHub Security Advisory、EU AI Act 公式テキスト、製品公式ドキュメントを優先して再確認し、本パック v1.1 に反映した。社外解説記事は補助情報として扱う。

強化領域追加内容参照章
3 層ゲートウェイContent / MCP / Runtime Authorization の分離第 1・2・4 章
ライフサイクルフックllm_input / llm_output / mcp_pre_tool / mcp_post_tool第 2・4 章
LiteLLM セキュリティHost Header 認証バイパス・供給網 2026-03・Guardrail/MCP 系 CVE第 9・10 章
MCP 統制ツールレジストリ・OBO トークン・シャドー MCP 遮断第 2・5 章
EU AI Act 記録要件Article 12 の自動記録機能と Article 19 / 26(6) のログ保持を分離第 14 章

2026 年の脅威トップ 3(業界調査の収束): プロンプトインジェクションデータポイズニング(RAG 汚染)シャドー AI


v1.2 追記 — 製品バリエーションの拡大

2026 年の市場は 単一の「正解」製品は存在しない。用途別に次の 8 バリエーションに分類する。

バリエーション代表製品KEEL で使う場面
A. ゼロ運用マーケットプレイスOpenRouterPoC・個人検証(本番機密は通さない)
B. OSS セルフホスト(Python)LiteLLMPhase 1 本命 · カスタム重視
C. OSS セルフホスト(Go・高速)Bifrost高 RPS・低レイテンシ本番
D. 既存 API 基盤拡張Kong AI GW · Azure APIM既存 Kong/Azure 投資の活用
E. マネージド統制Portkey · TrueFoundry · Cloudflare運用負荷を下げたい
F. 観測特化(併用)Helicone · LangfuseGW の上に載せる分析層
G. Agent/MCP 特化Lunar.dev · Tetrate Agent RouterPhase 2 の Agent 統制
H. ML ルーティングTensorZeroA/B・フィードバックループ重視

Helicone / Langfuse は ゲートウェイの代替ではなく補完。ルーティング本体は LiteLLM 等と併用するのが一般的。


v1.7 査読反映 — 経営判断で外さない論点

今回の査読では、章立てそのものは概ね維持しつつ、経営・PM・セキュリティ・開発者が同じ資料を読んだときに「どこまでが文化・ルールで、どこからが技術統制か」を誤解しないよう補強した。特に、近年の研究・標準で収束している論点は次の 4 つである。

論点本パックでの扱い意思決定上の意味
間接プロンプトインジェクション第 6・7・9 章で、メール・Web・RAG 文書由来の攻撃として扱う入力欄だけを検査しても不十分。検索元・添付・ツール結果も検査対象
MCP tool poisoning第 4・5・6 章で、ツール定義・説明文・スキーマの審査を統制対象に追加MCP は「便利な接続口」ではなく、承認済みツール台帳と実行時認可が必要
GenAI 固有リスク管理第 14 章で NIST AI 600-1 / AI 100-2 を正式な補助軸に追加AI RMF の Govern/Map/Measure/Manage を LLM ゲートウェイ証跡に落とす
実被害ベースの説明第 1・2 章で「詐欺・漏洩」だけでなく、ゼロクリック漏洩や過剰権限を説明初心者向け表現を保ちつつ、経営には「現実化した攻撃」として説明できる

v1.7 の結論: Phase 1 は引き続き「キー集中・ログ・DLP」を最小実装とする。ただし Phase 1 の時点で trace_id、データ分類、MCP ツール台帳の設計だけは先に固定する。Phase 2 で直すとログ相関と監査証跡が崩れやすい。


v1.8 追記 — 「自前 OSS」以外の立ち上げ経路

[mediba テックブログ(2026-07)][71] では、GitHub Copilot のシート課金と Amazon Bedrock 直利用の統制不足のあいだを、Cloudflare AI Gateway(CF AIG) で埋める検証が公開されている。KEEL が Phase 1 を急ぐ場合、選択肢は LiteLLM 自前ホストだけではない。

経路向く条件トレードオフ
LiteLLM on Azure(既存推奨)Azure OpenAI 中心・VNet 内完結・顧客提案で自前構成を示したい運用・CVE 対応・インフラ人員が必要
CF AIG + BYOK(Bedrock 等)Claude Code 等のコーディングエージェントを早く統制したい・マネージド優先リクエストが CF Edge を経由・メタデータは信頼モデル要設計
Azure APIM AI GW既存 APIM・Entra ID・東日本 residency が最優先立ち上げとマルチプロバイダ設定の工数

mediba 事例の結論は「証跡・レート制限は有効、BYOK のリクエスト単位コスト表示はベストエフォート」である [71][72]。Phase 1 の Go/No-Go では ログ到達・429 停止・メタデータ相関 を PoC 合格基準に含め、課金ダッシュボード一致は補助 KPI とする。

KEEL