KEEL

参考文献

第16章 参考リンク

Qiita ベース記事および 2026 年時点の公式ドキュメントを番号付きで整理した参考文献一覧。

主な読者: SEインフラセキュリティ

参考リンク一覧

本章は LLM ゲートウェイ導入の 調査・設計時に参照した公式ドキュメント1〜54 の一意番号 で整理する。URL は 2026 年時点。リンク切れ時は各ベンダーのドキュメントポータルで最新版を検索すること。

番号は全章・全版で共通。[19] 等の重複定義は v1.4 で解消済み。引用時は # 番号のみを使用する。


解説・設計思想(1〜3)

#タイトルURL備考
[1]LLM ゲートウェイ構築の実践(Qiita)https://qiita.com/nogataka/items/6251b5727998ca29734c国内事例・構成のたたき台
[2]OpenAI API 本番チェックリストhttps://platform.openai.com/docs/guides/production-best-practicesキー管理・レート制限
[3]Anthropic エンタープライズセキュリティhttps://docs.anthropic.com/en/docs/build-with-claude/securityデータ保持・学習オプトアウト

ゲートウェイ製品(4〜10)

#タイトルURL備考
[4]LiteLLM Proxy 公式https://docs.litellm.ai/docs/proxy/quick_startPhase 1 推奨
[5]LiteLLM Virtual Keyshttps://docs.litellm.ai/docs/proxy/virtual_keys仮想キー設計
[6]LiteLLM セキュリティhttps://docs.litellm.ai/docs/proxy/security認証・RBAC
[7]Portkey Gatewayhttps://docs.portkey.ai/比較候補
[8]Azure APIM AI Gatewayhttps://learn.microsoft.com/azure/api-management/genai-gateway-capabilitiesマネージド候補
[9]Cloudflare AI Gatewayhttps://developers.cloudflare.com/ai-gateway/エッジ候補
[10]AWS Bedrock ガードレールhttps://docs.aws.amazon.com/bedrock/latest/userguide/guardrails.htmlAWS 構成時

クラウド・インフラ(11〜15)

#タイトルURL備考
[11]Azure OpenAIhttps://learn.microsoft.com/azure/ai-services/openai/主要プロバイダ
[12]Azure Private Linkhttps://learn.microsoft.com/azure/private-link/private-link-overviewネットワーク統合
[13]Azure Key Vaulthttps://learn.microsoft.com/azure/key-vault/general/overviewシークレット管理
[14]Azure Container Appshttps://learn.microsoft.com/azure/container-apps/overviewデプロイ P1-A
[15]OpenTelemetryhttps://opentelemetry.io/docs/可観測性

セキュリティ・DLP(16〜19)

#タイトルURL備考
[16]OWASP LLM Top 10 (2025)https://owasp.org/www-project-top-10-for-large-language-model-applications/脅威モデル
[17]OWASP LLM01 プロンプトインジェクションhttps://owasp.org/www-project-top-10-for-large-language-model-applications/ガードレール
[18]Azure AI Content Safetyhttps://learn.microsoft.com/azure/ai-services/content-safety/Phase 2 DLP
[19]NIST CSF 2.0https://www.nist.gov/cyberframework統制軸の基礎

コンプライアンス・ガバナンス(20〜23)

#タイトルURL備考
[20]NIST AI RMF 1.0https://www.nist.gov/itl/ai-risk-management-framework第 14 章
[21]ISO/IEC 42001:2023https://www.iso.org/standard/81230.htmlAI MS
[22]EU AI Act 公式(2024/1689)https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689正本
[23]EU AI Act 高リスクガイドhttps://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-aiCommission

開発者ツール(24〜27)

#タイトルURL備考
[24]Cursor ドキュメントhttps://docs.cursor.com/IDE 設定
[25]OpenAI Python SDKhttps://github.com/openai/openai-pythonbase_url
[26]Model Context Protocolhttps://modelcontextprotocol.io/MCP 統制
[27]Continue.devhttps://docs.continue.dev/VS Code 代替

運用・監視(28〜30)

#タイトルURL備考
[28]LiteLLM Prometheushttps://docs.litellm.ai/docs/proxy/prometheus監視
[29]Azure Monitor コンテナ洞察https://learn.microsoft.com/azure/azure-monitor/containers/container-insights-overviewAKS/ACA
[30]GitHub Advisory Databasehttps://github.com/advisoriesCVE 監視

LiteLLM セキュリティ公式(31〜34)

#タイトルURL備考
[31]LiteLLM Host Header Auth Bypasshttps://docs.litellm.ai/blog/host-header-auth-bypass最新 stable 推奨
[32]GHSA-4xpc-pv4p-pm3whttps://github.com/BerriAI/litellm/security/advisories/GHSA-4xpc-pv4p-pm3wCVE-2026-49468
[33]LiteLLM Supply Chain March 2026https://docs.litellm.ai/blog/security-update-march-20261.82.7/8 禁止
[34]LiteLLM Security Advisorieshttps://github.com/BerriAI/litellm/security/advisories一覧

EU AI Act 解説(35〜37)

#タイトルURL備考
[35]EU AI Act Official Journalhttps://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng正本
[36]Article 12 Explorerhttps://artificialintelligenceact.eu/article/12/自動記録機能
[37]Article 26 Explorerhttps://artificialintelligenceact.eu/article/26/deployer 保持

ゲートウェイ設計・Agent 統制(38〜44)

#タイトルURL備考
[38]Prompt Injection Defense (TrueFoundry)https://www.truefoundry.com/blog/prompt-injection-defense-llm-gateway補助
[39]AI Gateway Guardrails Playbookhttps://devfloor9.github.io/engineering-playbook/en/docs/agentic-ai-platform/operations-mlops/governance/ai-gateway-guardrails4 フック
[40]AI Agent Authorization Gaps (Saviynt)https://saviynt.com/blog/closing-ai-agent-authorization-gapsRuntime AuthZ
[41]CSA LiteLLM Attack Chainhttps://labs.cloudsecurityalliance.org/research/csa-research-note-litellm-ai-gateway-attack-chain-20260617-c/CVE チェーン
[42]MCP Gateway Architecture (Tyk)https://tyk.io/learning-center/mcp-gateway-explained-architecture-use-cases/MCP
[43]Enterprise MCP Gateway (Tyk)https://tyk.io/learning-center/enterprise-mcp-gateway-key-considerations/MCP
[44]Obsidian LiteLLM RCE Chainhttps://www.obsidiansecurity.com/blog/litellm-privilege-escalation-rceCVE 47101 等

製品比較・追加調査(45〜54)

#タイトルURL備考
[45]OpenRouter LLM Gateway Guidehttps://openrouter.ai/blog/insights/llm-gateway/公式
[46]OpenRouter vs LiteLLMhttps://openrouter.ai/blog/insights/openrouter-vs-litellm/公式
[47]Bifrost docshttps://docs.getbifrost.ai/overview公式
[48]Bifrost GitHubhttps://github.com/maximhq/bifrostOSS
[49]Bifrost MCP Gatewayhttps://www.getmaxim.ai/bifrost/resources/mcp-gateway公式公称
[50]Tetrate Enterprise Comparisonhttps://tetrate.io/learn/ai/best-enterprise-ai-gateway比較
[51]TrueFoundry AI Gateway 2026https://www.truefoundry.com/blog/a-definitive-guide-to-ai-gateways-in-2026-competitive-landscape-comparison比較
[52]Top 5 AI Gateways (Lunar.dev)https://www.lunar.dev/post/top-5-ai-gateways-in-2026比較
[53]European Commission AI Act Timelinehttps://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai高リスク領域 2027-12-02 / 製品組込 2028-08-02
[54]AI Act Service Desk Article 19https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-19provider ログ保持

プロバイダ DPA は頻繁に更新される。契約締結時は必ず最新版を取得する。

文献の引用形式(社内報告用)

KEEL (2026). LLM Gateway Security Guide Pack, Chapter 13.
参照: [4] LiteLLM Proxy Documentation, https://docs.litellm.ai/docs/proxy/quick_start

マスタサマリー → 第 17 章。



組織ガバナンス・安全活用(55〜62)— v1.5 追加

#タイトルURL備考
[55]会社で AI を使う前に知っておくべきこと(法人向け AI 安全活用 #1)https://qiita.com/keiichik_kk/items情報漏洩・社内ルール
[56]AI ツール導入時に確認すべき契約・規約(#2)https://qiita.com/keiichik_kk/items第 3 章チェックリストの元
[57]社員が AI を安全に使える環境を整える 運用ガイドラインと社内教育(#3)https://qiita.com/keiichik_kk/items第 3 章教育カリキュラム
[58]自社運用の LLM をセキュアに保つ(PII・監査・権限・専有構成)https://qiita.com/5_years_apart/items/71e05c2939fabb3401b5第 7 章の技術蒸留元
[59]Microsoft Presidiohttps://microsoft.github.io/presidio/PII 検出・マスキング
[60]NIST AI RMF — Govern / Maphttps://www.nist.gov/itl/ai-risk-management-framework組織ガバナンス公式
[61]OpenAI Enterprise Privacyhttps://openai.com/enterprise-privacy学習オプトアウト・保持
[62]Anthropic Data Usage Policieshttps://www.anthropic.com/policies商用データの扱い

[55]〜[57] はなかのひとカンパニー Qiita 組織内の法人向け AI 安全活用シリーズ。個別記事 URL は組織ページから最新版を参照すること。本章では設計知見として蒸留し、第 1〜3・7 章に反映済み。


研究・標準・実被害事例(63〜70)— v1.7 追加

#タイトルURL備考
[63]NIST AI 600-1: Generative AI Profilehttps://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligenceNIST AI RMF の生成 AI 向けプロファイル
[64]NIST AI 100-2e2025: Adversarial Machine Learninghttps://csrc.nist.gov/pubs/ai/100/2/e2025/finalAML 用語・攻撃分類・緩和策
[65]MITRE ATLAShttps://atlas.mitre.org/AI システム攻撃知識ベース
[66]MITRE SAFE-AI Frameworkhttps://atlas.mitre.org/pdf-files/SAFEAI_Full_Report.pdf間接プロンプトインジェクション等の統制質問
[67]MCP Threat Modeling and Tool Poisoninghttps://arxiv.org/html/2603.22489v1MCP client/tool poisoning の脅威分析
[68]EchoLeak Analysishttps://arxiv.org/html/2509.10540v1ゼロクリック型プロンプトインジェクション事例分析
[69]OWASP LLM Top 10https://owasp.org/www-project-top-10-for-large-language-model-applications/LLM01/LLM06/LLM07 等の脅威分類
[70]OWASP GenAI Security Projecthttps://genai.owasp.org/llm-top-10/2025 リスク・緩和策アーカイブ

arXiv 等の研究論文は査読状況・版が変わる可能性がある。社外提出時は公式標準(NIST/OWASP/MITRE)を主根拠、論文は補助根拠として扱う。



mediba 検証・Cloudflare AI Gateway・Bedrock 按分(71〜81)— v1.8 追加

#タイトルURL備考
[71]簡素に AI の環境を提供するため Cloudflare AI Gateway を検証してみた(mediba)https://zenn.dev/mediba/articles/63b4418282c85cv1.8 蒸留の主軸。Claude Code + Bedrock BYOK 検証
[72]Cloudflare AI Gateway — Spend limitshttps://developers.cloudflare.com/ai-gateway/features/spend-limits/USD 予算・metadata スコープ・429
[73]Changelog: Control AI costs with spend limits (2026-06-05)https://developers.cloudflare.com/changelog/post/2026-06-05-spend-limits/BYOK 対応の告知
[74]Cloudflare Blog: AI Gateway spend limits & identityhttps://blog.cloudflare.com/ai-gateway-spend-limits/Access 連携・自動 attribution
[75]Cloudflare AI Gateway — Amazon Bedrock (BYOK)https://developers.cloudflare.com/ai-gateway/usage/providers/bedrock/SigV4 自動署名
[76]Cloudflare AI Gateway — Claude Code 統合https://developers.cloudflare.com/ai-gateway/integrations/coding-agents/claude-code/公式 env 設定
[77]Cloudflare AI Gateway — Authenticated Gatewayhttps://developers.cloudflare.com/ai-gateway/configuration/authentication/トークンスコープ注意
[78]AWS: Bedrock IAM principal cost allocationhttps://aws.amazon.com/about-aws/whats-new/2026/04/bedrock-iam-cost-allocation/2026-04 按分機能
[79]AWS Blog: Track Bedrock costs by caller identityhttps://aws.amazon.com/blogs/aws-cloud-financial-management/track-amazon-bedrock-costs-by-caller-identity-with-iam-based-cost-allocation/GW 経由時の session tag
[80]AWS Docs: IAM principal attributionhttps://docs.aws.amazon.com/bedrock/latest/userguide/cost-mgmt-iam-principal-tracking.html事後集計の粒度
[81]LiteLLM Enterprisehttps://docs.litellm.ai/docs/enterprisemediba が比較した OSS 代替の上位版

[71] は国内エンタープライズの実検証記事として、第 2・5・8・9・12 章に横断反映済み。モデル ID・料金表示の挙動はリージョンと時期で変わるため、導入時は [76][75] と Bedrock コンソールで再確認すること。



v1.8.1 追加 — UNRESOLVED 解消用参考文献(82〜90)

#タイトルURL備考
[82]Cloudflare AI Gateway — Pricinghttps://developers.cloudflare.com/ai-gateway/reference/pricing/ログ・DLP・Guardrails・Logpush
[83]Cloudflare AI Gateway — Limitshttps://developers.cloudflare.com/ai-gateway/reference/limits/10 万/1,000 万ログ等
[84]LiteLLM Pricing 2026(TrueFoundry 整理)https://www.truefoundry.com/blog/litellm-pricing-guideEnterprise $250/月〜レンジ。要公式見積
[85]LiteLLM vs Portkey vs Bedrock GW(Atlan 整理)https://atlan.com/know/litellm-vs-portkey-vs-bedrock-gateway/TCO 比較の補助
[86]Claude Opus 4.7 — Amazon Bedrock モデルカードhttps://docs.aws.amazon.com/bedrock/latest/userguide/model-card-anthropic-claude-opus-4-7.htmljp.anthropic.* 正本
[87]Claude Sonnet 4.6 on Bedrock(Classmethod)https://dev.classmethod.jp/articles/amazon-bedrock-claude-sonnet-4-6/東京初日対応・JP profile
[88]Bedrock CRIS Claude 4.5 Japan(AWS ML Blog)https://aws.amazon.com/blogs/machine-learning/introducing-amazon-bedrock-cross-region-inference-for-claude-sonnet-4-5-and-haiku-4-5-in-japan-and-australia/jp.anthropic.claude-sonnet-4-5-*
[89]JP CRIS と Claude Code(Zenn / nemutaizo)https://zenn.dev/nemutaizo/articles/afe031ef2310eaHaiku Geo profile 注意
[90]Shrimp Dev: CF spend limits 解説https://blog.shrimpdev.com/post/tame-ai-spend-cloudflare-ai-gateway-cost-controlsSpend limits 無料・identity beta

v1.10 追加 — 開発現場 AI セキュリティ(Zenn)

#タイトルURL備考
[91]開発現場のAIセキュリティを見直す(nenene01)https://zenn.dev/nenene01/articles/ai-security-2026v1.10 蒸留の主軸。露出二方向・DB4段階・図解
[92]axios 攻撃と npm min-release-age(nenene01)https://zenn.dev/nenene01/articles/axios-attack-preventionSlopsquatting 対策の補足
[93]The lethal trifecta for AI agents(Simon Willison)https://simonwillison.net/2025/Jun/16/lethal-trifecta/致死的三要素の原典

v1.11 追記 — リスト・権限

#資料用途
[触発]iwaken71: Dドライブ消失クライアント層・曖昧指示
[94]permissions.json端末/MCP allowlist
[95]Security Hardening多層防御
[96]IAM / RBACSSO · SCIM · ロール
[97]Denylist Delusiondeny 単独の限界
[98]LiteLLM RBAC仮想キー・チーム
[99]tool_permissionツール+引数
[100]MCP Permission5 段階 intersection
[101]destructive_command_guardセマンティック hook
KEEL