主な読者: SEインフラセキュリティ
参考リンク一覧
本章は LLM ゲートウェイ導入の 調査・設計時に参照した公式ドキュメント を 1〜54 の一意番号 で整理する。URL は 2026 年時点。リンク切れ時は各ベンダーのドキュメントポータルで最新版を検索すること。
番号は全章・全版で共通。[19] 等の重複定義は v1.4 で解消済み。引用時は # 番号のみを使用する。
解説・設計思想(1〜3)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [1] | LLM ゲートウェイ構築の実践(Qiita) | https://qiita.com/nogataka/items/6251b5727998ca29734c | 国内事例・構成のたたき台 |
| [2] | OpenAI API 本番チェックリスト | https://platform.openai.com/docs/guides/production-best-practices | キー管理・レート制限 |
| [3] | Anthropic エンタープライズセキュリティ | https://docs.anthropic.com/en/docs/build-with-claude/security | データ保持・学習オプトアウト |
ゲートウェイ製品(4〜10)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [4] | LiteLLM Proxy 公式 | https://docs.litellm.ai/docs/proxy/quick_start | Phase 1 推奨 |
| [5] | LiteLLM Virtual Keys | https://docs.litellm.ai/docs/proxy/virtual_keys | 仮想キー設計 |
| [6] | LiteLLM セキュリティ | https://docs.litellm.ai/docs/proxy/security | 認証・RBAC |
| [7] | Portkey Gateway | https://docs.portkey.ai/ | 比較候補 |
| [8] | Azure APIM AI Gateway | https://learn.microsoft.com/azure/api-management/genai-gateway-capabilities | マネージド候補 |
| [9] | Cloudflare AI Gateway | https://developers.cloudflare.com/ai-gateway/ | エッジ候補 |
| [10] | AWS Bedrock ガードレール | https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails.html | AWS 構成時 |
クラウド・インフラ(11〜15)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [11] | Azure OpenAI | https://learn.microsoft.com/azure/ai-services/openai/ | 主要プロバイダ |
| [12] | Azure Private Link | https://learn.microsoft.com/azure/private-link/private-link-overview | ネットワーク統合 |
| [13] | Azure Key Vault | https://learn.microsoft.com/azure/key-vault/general/overview | シークレット管理 |
| [14] | Azure Container Apps | https://learn.microsoft.com/azure/container-apps/overview | デプロイ P1-A |
| [15] | OpenTelemetry | https://opentelemetry.io/docs/ | 可観測性 |
セキュリティ・DLP(16〜19)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [16] | OWASP LLM Top 10 (2025) | https://owasp.org/www-project-top-10-for-large-language-model-applications/ | 脅威モデル |
| [17] | OWASP LLM01 プロンプトインジェクション | https://owasp.org/www-project-top-10-for-large-language-model-applications/ | ガードレール |
| [18] | Azure AI Content Safety | https://learn.microsoft.com/azure/ai-services/content-safety/ | Phase 2 DLP |
| [19] | NIST CSF 2.0 | https://www.nist.gov/cyberframework | 統制軸の基礎 |
コンプライアンス・ガバナンス(20〜23)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [20] | NIST AI RMF 1.0 | https://www.nist.gov/itl/ai-risk-management-framework | 第 14 章 |
| [21] | ISO/IEC 42001:2023 | https://www.iso.org/standard/81230.html | AI MS |
| [22] | EU AI Act 公式(2024/1689) | https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32024R1689 | 正本 |
| [23] | EU AI Act 高リスクガイド | https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai | Commission |
開発者ツール(24〜27)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [24] | Cursor ドキュメント | https://docs.cursor.com/ | IDE 設定 |
| [25] | OpenAI Python SDK | https://github.com/openai/openai-python | base_url |
| [26] | Model Context Protocol | https://modelcontextprotocol.io/ | MCP 統制 |
| [27] | Continue.dev | https://docs.continue.dev/ | VS Code 代替 |
運用・監視(28〜30)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [28] | LiteLLM Prometheus | https://docs.litellm.ai/docs/proxy/prometheus | 監視 |
| [29] | Azure Monitor コンテナ洞察 | https://learn.microsoft.com/azure/azure-monitor/containers/container-insights-overview | AKS/ACA |
| [30] | GitHub Advisory Database | https://github.com/advisories | CVE 監視 |
LiteLLM セキュリティ公式(31〜34)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [31] | LiteLLM Host Header Auth Bypass | https://docs.litellm.ai/blog/host-header-auth-bypass | 最新 stable 推奨 |
| [32] | GHSA-4xpc-pv4p-pm3w | https://github.com/BerriAI/litellm/security/advisories/GHSA-4xpc-pv4p-pm3w | CVE-2026-49468 |
| [33] | LiteLLM Supply Chain March 2026 | https://docs.litellm.ai/blog/security-update-march-2026 | 1.82.7/8 禁止 |
| [34] | LiteLLM Security Advisories | https://github.com/BerriAI/litellm/security/advisories | 一覧 |
EU AI Act 解説(35〜37)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [35] | EU AI Act Official Journal | https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng | 正本 |
| [36] | Article 12 Explorer | https://artificialintelligenceact.eu/article/12/ | 自動記録機能 |
| [37] | Article 26 Explorer | https://artificialintelligenceact.eu/article/26/ | deployer 保持 |
ゲートウェイ設計・Agent 統制(38〜44)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [38] | Prompt Injection Defense (TrueFoundry) | https://www.truefoundry.com/blog/prompt-injection-defense-llm-gateway | 補助 |
| [39] | AI Gateway Guardrails Playbook | https://devfloor9.github.io/engineering-playbook/en/docs/agentic-ai-platform/operations-mlops/governance/ai-gateway-guardrails | 4 フック |
| [40] | AI Agent Authorization Gaps (Saviynt) | https://saviynt.com/blog/closing-ai-agent-authorization-gaps | Runtime AuthZ |
| [41] | CSA LiteLLM Attack Chain | https://labs.cloudsecurityalliance.org/research/csa-research-note-litellm-ai-gateway-attack-chain-20260617-c/ | CVE チェーン |
| [42] | MCP Gateway Architecture (Tyk) | https://tyk.io/learning-center/mcp-gateway-explained-architecture-use-cases/ | MCP |
| [43] | Enterprise MCP Gateway (Tyk) | https://tyk.io/learning-center/enterprise-mcp-gateway-key-considerations/ | MCP |
| [44] | Obsidian LiteLLM RCE Chain | https://www.obsidiansecurity.com/blog/litellm-privilege-escalation-rce | CVE 47101 等 |
製品比較・追加調査(45〜54)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [45] | OpenRouter LLM Gateway Guide | https://openrouter.ai/blog/insights/llm-gateway/ | 公式 |
| [46] | OpenRouter vs LiteLLM | https://openrouter.ai/blog/insights/openrouter-vs-litellm/ | 公式 |
| [47] | Bifrost docs | https://docs.getbifrost.ai/overview | 公式 |
| [48] | Bifrost GitHub | https://github.com/maximhq/bifrost | OSS |
| [49] | Bifrost MCP Gateway | https://www.getmaxim.ai/bifrost/resources/mcp-gateway | 公式公称 |
| [50] | Tetrate Enterprise Comparison | https://tetrate.io/learn/ai/best-enterprise-ai-gateway | 比較 |
| [51] | TrueFoundry AI Gateway 2026 | https://www.truefoundry.com/blog/a-definitive-guide-to-ai-gateways-in-2026-competitive-landscape-comparison | 比較 |
| [52] | Top 5 AI Gateways (Lunar.dev) | https://www.lunar.dev/post/top-5-ai-gateways-in-2026 | 比較 |
| [53] | European Commission AI Act Timeline | https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai | 高リスク領域 2027-12-02 / 製品組込 2028-08-02 |
| [54] | AI Act Service Desk Article 19 | https://ai-act-service-desk.ec.europa.eu/en/ai-act/article-19 | provider ログ保持 |
プロバイダ DPA は頻繁に更新される。契約締結時は必ず最新版を取得する。
文献の引用形式(社内報告用)
KEEL (2026). LLM Gateway Security Guide Pack, Chapter 13.
参照: [4] LiteLLM Proxy Documentation, https://docs.litellm.ai/docs/proxy/quick_start
マスタサマリー → 第 17 章。
組織ガバナンス・安全活用(55〜62)— v1.5 追加
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [55] | 会社で AI を使う前に知っておくべきこと(法人向け AI 安全活用 #1) | https://qiita.com/keiichik_kk/items | 情報漏洩・社内ルール |
| [56] | AI ツール導入時に確認すべき契約・規約(#2) | https://qiita.com/keiichik_kk/items | 第 3 章チェックリストの元 |
| [57] | 社員が AI を安全に使える環境を整える 運用ガイドラインと社内教育(#3) | https://qiita.com/keiichik_kk/items | 第 3 章教育カリキュラム |
| [58] | 自社運用の LLM をセキュアに保つ(PII・監査・権限・専有構成) | https://qiita.com/5_years_apart/items/71e05c2939fabb3401b5 | 第 7 章の技術蒸留元 |
| [59] | Microsoft Presidio | https://microsoft.github.io/presidio/ | PII 検出・マスキング |
| [60] | NIST AI RMF — Govern / Map | https://www.nist.gov/itl/ai-risk-management-framework | 組織ガバナンス公式 |
| [61] | OpenAI Enterprise Privacy | https://openai.com/enterprise-privacy | 学習オプトアウト・保持 |
| [62] | Anthropic Data Usage Policies | https://www.anthropic.com/policies | 商用データの扱い |
[55]〜[57] はなかのひとカンパニー Qiita 組織内の法人向け AI 安全活用シリーズ。個別記事 URL は組織ページから最新版を参照すること。本章では設計知見として蒸留し、第 1〜3・7 章に反映済み。
研究・標準・実被害事例(63〜70)— v1.7 追加
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [63] | NIST AI 600-1: Generative AI Profile | https://www.nist.gov/publications/artificial-intelligence-risk-management-framework-generative-artificial-intelligence | NIST AI RMF の生成 AI 向けプロファイル |
| [64] | NIST AI 100-2e2025: Adversarial Machine Learning | https://csrc.nist.gov/pubs/ai/100/2/e2025/final | AML 用語・攻撃分類・緩和策 |
| [65] | MITRE ATLAS | https://atlas.mitre.org/ | AI システム攻撃知識ベース |
| [66] | MITRE SAFE-AI Framework | https://atlas.mitre.org/pdf-files/SAFEAI_Full_Report.pdf | 間接プロンプトインジェクション等の統制質問 |
| [67] | MCP Threat Modeling and Tool Poisoning | https://arxiv.org/html/2603.22489v1 | MCP client/tool poisoning の脅威分析 |
| [68] | EchoLeak Analysis | https://arxiv.org/html/2509.10540v1 | ゼロクリック型プロンプトインジェクション事例分析 |
| [69] | OWASP LLM Top 10 | https://owasp.org/www-project-top-10-for-large-language-model-applications/ | LLM01/LLM06/LLM07 等の脅威分類 |
| [70] | OWASP GenAI Security Project | https://genai.owasp.org/llm-top-10/ | 2025 リスク・緩和策アーカイブ |
arXiv 等の研究論文は査読状況・版が変わる可能性がある。社外提出時は公式標準(NIST/OWASP/MITRE)を主根拠、論文は補助根拠として扱う。
mediba 検証・Cloudflare AI Gateway・Bedrock 按分(71〜81)— v1.8 追加
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [71] | 簡素に AI の環境を提供するため Cloudflare AI Gateway を検証してみた(mediba) | https://zenn.dev/mediba/articles/63b4418282c85c | v1.8 蒸留の主軸。Claude Code + Bedrock BYOK 検証 |
| [72] | Cloudflare AI Gateway — Spend limits | https://developers.cloudflare.com/ai-gateway/features/spend-limits/ | USD 予算・metadata スコープ・429 |
| [73] | Changelog: Control AI costs with spend limits (2026-06-05) | https://developers.cloudflare.com/changelog/post/2026-06-05-spend-limits/ | BYOK 対応の告知 |
| [74] | Cloudflare Blog: AI Gateway spend limits & identity | https://blog.cloudflare.com/ai-gateway-spend-limits/ | Access 連携・自動 attribution |
| [75] | Cloudflare AI Gateway — Amazon Bedrock (BYOK) | https://developers.cloudflare.com/ai-gateway/usage/providers/bedrock/ | SigV4 自動署名 |
| [76] | Cloudflare AI Gateway — Claude Code 統合 | https://developers.cloudflare.com/ai-gateway/integrations/coding-agents/claude-code/ | 公式 env 設定 |
| [77] | Cloudflare AI Gateway — Authenticated Gateway | https://developers.cloudflare.com/ai-gateway/configuration/authentication/ | トークンスコープ注意 |
| [78] | AWS: Bedrock IAM principal cost allocation | https://aws.amazon.com/about-aws/whats-new/2026/04/bedrock-iam-cost-allocation/ | 2026-04 按分機能 |
| [79] | AWS Blog: Track Bedrock costs by caller identity | https://aws.amazon.com/blogs/aws-cloud-financial-management/track-amazon-bedrock-costs-by-caller-identity-with-iam-based-cost-allocation/ | GW 経由時の session tag |
| [80] | AWS Docs: IAM principal attribution | https://docs.aws.amazon.com/bedrock/latest/userguide/cost-mgmt-iam-principal-tracking.html | 事後集計の粒度 |
| [81] | LiteLLM Enterprise | https://docs.litellm.ai/docs/enterprise | mediba が比較した OSS 代替の上位版 |
[71] は国内エンタープライズの実検証記事として、第 2・5・8・9・12 章に横断反映済み。モデル ID・料金表示の挙動はリージョンと時期で変わるため、導入時は [76][75] と Bedrock コンソールで再確認すること。
v1.8.1 追加 — UNRESOLVED 解消用参考文献(82〜90)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [82] | Cloudflare AI Gateway — Pricing | https://developers.cloudflare.com/ai-gateway/reference/pricing/ | ログ・DLP・Guardrails・Logpush |
| [83] | Cloudflare AI Gateway — Limits | https://developers.cloudflare.com/ai-gateway/reference/limits/ | 10 万/1,000 万ログ等 |
| [84] | LiteLLM Pricing 2026(TrueFoundry 整理) | https://www.truefoundry.com/blog/litellm-pricing-guide | Enterprise $250/月〜レンジ。要公式見積 |
| [85] | LiteLLM vs Portkey vs Bedrock GW(Atlan 整理) | https://atlan.com/know/litellm-vs-portkey-vs-bedrock-gateway/ | TCO 比較の補助 |
| [86] | Claude Opus 4.7 — Amazon Bedrock モデルカード | https://docs.aws.amazon.com/bedrock/latest/userguide/model-card-anthropic-claude-opus-4-7.html | jp.anthropic.* 正本 |
| [87] | Claude Sonnet 4.6 on Bedrock(Classmethod) | https://dev.classmethod.jp/articles/amazon-bedrock-claude-sonnet-4-6/ | 東京初日対応・JP profile |
| [88] | Bedrock CRIS Claude 4.5 Japan(AWS ML Blog) | https://aws.amazon.com/blogs/machine-learning/introducing-amazon-bedrock-cross-region-inference-for-claude-sonnet-4-5-and-haiku-4-5-in-japan-and-australia/ | jp.anthropic.claude-sonnet-4-5-* |
| [89] | JP CRIS と Claude Code(Zenn / nemutaizo) | https://zenn.dev/nemutaizo/articles/afe031ef2310ea | Haiku Geo profile 注意 |
| [90] | Shrimp Dev: CF spend limits 解説 | https://blog.shrimpdev.com/post/tame-ai-spend-cloudflare-ai-gateway-cost-controls | Spend limits 無料・identity beta |
v1.10 追加 — 開発現場 AI セキュリティ(Zenn)
| # | タイトル | URL | 備考 |
|---|---|---|---|
| [91] | 開発現場のAIセキュリティを見直す(nenene01) | https://zenn.dev/nenene01/articles/ai-security-2026 | v1.10 蒸留の主軸。露出二方向・DB4段階・図解 |
| [92] | axios 攻撃と npm min-release-age(nenene01) | https://zenn.dev/nenene01/articles/axios-attack-prevention | Slopsquatting 対策の補足 |
| [93] | The lethal trifecta for AI agents(Simon Willison) | https://simonwillison.net/2025/Jun/16/lethal-trifecta/ | 致死的三要素の原典 |
v1.11 追記 — リスト・権限
| # | 資料 | 用途 |
|---|---|---|
| [触発] | iwaken71: Dドライブ消失 | クライアント層・曖昧指示 |
| [94] | permissions.json | 端末/MCP allowlist |
| [95] | Security Hardening | 多層防御 |
| [96] | IAM / RBAC | SSO · SCIM · ロール |
| [97] | Denylist Delusion | deny 単独の限界 |
| [98] | LiteLLM RBAC | 仮想キー・チーム |
| [99] | tool_permission | ツール+引数 |
| [100] | MCP Permission | 5 段階 intersection |
| [101] | destructive_command_guard | セマンティック hook |