# 社内研修資料レビュー用 Web キュレーションメモ

作成日: 2026-07-13

## 目的

`C:\TUM\output\llm_gateway_security_html_pack` を「社内研修資料」として査読するため、研修設計・LLM セキュリティ・AI ゲートウェイ統制の評価軸を外部公開情報から整理した。

## 評価軸として採用した知見

### 1. 研修プログラムとしての完成度

- NIST SP 800-50 Rev.1 は、組織横断の cybersecurity/privacy learning program について、組織目標との統合、継続的改善、標準的な instructional design、効果測定を重視している。
- 研修資料単体ではなく、対象者、学習目標、教材、実施、評価、改善サイクルが揃っているかを見る必要がある。
- 旧 SP 800-50 でも、needs assessment、strategy/plan、material development、implementation、post-implementation assessment の流れが示されている。

参照:
- NIST CSRC, "Building a Cybersecurity and Privacy Learning Program: NIST Publishes SP 800-50r1", 2024-09-12, https://csrc.nist.gov/News/2024/nist-publishes-sp-800-50-revision-1
- NIST CSRC, "Awareness, Training, & Education", updated 2026-03-02, https://csrc.nist.gov/Projects/awareness-training-education/publications
- NIST SP 800-50, "Building an Information Technology Security Awareness and Training Program", https://csrc.nist.gov/pubs/sp/800/50/final

### 2. 役割別研修としての設計

- NIST NICE Framework は、サイバーセキュリティ業務・知識・スキルを共通言語化し、教育・カリキュラム設計、hands-on learning、role-based training、workforce capability planning に使える枠組みを提供している。
- 社内研修資料では、経営、PM、開発者、セキュリティ、インフラ、一般社員ごとに「読む章」だけでなく、到達目標・演習・評価観点が分かれているかを見る。

参照:
- NIST NICE Framework Resource Center, https://www.nist.gov/itl/applied-cybersecurity/nice/nice-framework-resource-center

### 3. LLM セキュリティ教材として外せない内容

- OWASP Top 10 for LLM Applications 2025 では、Prompt Injection、Sensitive Information Disclosure、Supply Chain Vulnerabilities、Data and Model Poisoning、Improper Output Handling、Excessive Agency、System Prompt Leakage、Vector and Embedding Weaknesses、Misinformation、Unbounded Consumption が主要リスクとして整理されている。
- 社内研修では「禁止データを送らない」だけでなく、間接プロンプトインジェクション、ツール/Agent 権限、RAG/ベクトル検索、出力処理、コスト暴走を実務シナリオで扱う必要がある。

参照:
- OWASP, "OWASP Top 10 for Large Language Model Applications", https://owasp.org/www-project-top-10-for-large-language-model-applications/
- OWASP GenAI Security Project, "LLM01:2025 Prompt Injection", https://genai.owasp.org/llmrisk/llm01-prompt-injection/

### 4. AI ゲートウェイ統制の現在地

- Cloudflare AI Gateway は、analytics/logging、caching、rate limiting、request retries、model fallback などで AI アプリの可視化・制御を提供する。
- Guardrails はプロンプトとモデル応答を評価し、有害コンテンツの flag/block、ログ、監査・コンプライアンス用途に使える。ただし、prompt injection 専用防御と harmful content moderation は同一ではないため、教材では「できること/できないこと」を分ける必要がある。

参照:
- Cloudflare Developers, "AI Gateway Overview", https://developers.cloudflare.com/ai-gateway/
- Cloudflare Developers, "Guardrails", last updated 2026-06-05, https://developers.cloudflare.com/ai-gateway/features/guardrails/

### 5. SaaS/生成AI利用統制

- OpenAI は business data の保持期間設定、API の zero data retention、Enterprise Key Management、zero trust / defense-in-depth の考え方を公開している。
- ChatGPT Enterprise/Edu/Business のアプリ・プラグイン管理では、RBAC、app access、action control、app permissions、重要操作の承認などが整理されている。
- 社内研修では、ゲートウェイだけでなく、SaaS 管理画面側の RBAC、コネクタ、外部アクション権限、保持期間の説明が必要。

参照:
- OpenAI, "Business data privacy, security, and compliance", https://openai.com/business-data/
- OpenAI Help Center, "Admin controls, security, and compliance for plugins and apps", https://help.openai.com/en/articles/11509118-admin-controls-security-and-compliance-in-apps-enterprise-edu-and-business

## レビュー時の判定基準

| 観点 | 良い状態 |
| --- | --- |
| 研修設計 | 対象者、前提知識、所要時間、到達目標、章順、演習、確認テスト、受講後アクションが明示されている |
| 役割別導線 | 読む章だけでなく、役割ごとの責任・判断・禁止事項・実施タスクが分かる |
| 内容の網羅性 | OWASP LLM Top 10 相当の主要リスクを、利用者・開発者・運用者の具体行動に落としている |
| 技術統制 | ゲートウェイ、IdP/RBAC、DLP、ログ、監査、Agent/MCP、RAG、SaaS 管理機能の境界が明確 |
| 見やすさ | 入口、章別概要、短いセクション、表、図、FAQ、チェックリストがあり、読み順に迷わない |
| 保守性 | 出典、改訂履歴、未決事項、再確認が必要な価格/モデルID/仕様が分離されている |
| 研修運用 | 受講記録、理解度測定、講師用メモ、配布版/正本版の切り分けがある |

