昨今、生成AIの利用があらゆる場面で増えてきています。
その中で、度々話題になるのは生成AIの悪用や情報漏洩です。業務効率化や問い合わせ対応など、多くの分野で当たり前のツールとして定着しつつある一方で、その利便性の裏には、不正なプロンプトを巧妙に入力してAIを誤作動させるプロンプトインジェクション攻撃や、内部情報を入力してしまうことで機密情報が漏洩してしまうといったリスクも存在します。
こうした問題を防ぐため、今回はMicrosoftのSecurity Service Edge(SSE)のソリューションの一部である、Microsoft Global Secure Access (GSA)のプロンプトシールド(Prompt Shield)について紹介いたします。
注:本記事は 2026年2月時点のパブリックプレビューの情報をもとに記載しています。機能拡張や更新により、記載とは異なる動作となる可能性がありますのでご了承ください。
プロンプトシールドとは
プロンプトシールドは、GSAのMicrosoft Entra Internet Accessのソリューションの一つで、生成AIアプリケーションへのプロンプトインジェクション攻撃を防ぐための機能です。
悪意のあるプロンプトがLLMに到達する前に、GSAとAzure AI Content Safetyを用いて解析・分析され、危険だと判断された場合は、そのプロンプトの実行が防止されます。
この際、生成AIアプリケーション側やLLM側での設定は不要です。
悪意あるプロンプトをブロックするまでの流れは以下のようになります。
前提条件
管理者とクライアントの前提条件のうち、ポイントになる項目を紹介します。
※ なお、詳細に関しましては、以下のMicrosoftの公式ドキュメントをご確認ください。
- Global Secure Access とは - Global Secure Access | Microsoft Learn
- Windows 用グローバル セキュリティで保護されたアクセス クライアント - Global Secure Access | Microsoft Learn
管理者アカウントに必要な要件
- Microsoft Entra ID P1またはMicrosoft Entra ID P2のライセンスを所有していること
- Global Secure Access管理者などの適切な管理者ロールが割り当てられていること
クライアント(Windowsの場合)
- Windows 10 (LTSC 2021 以降)または、Windows 11のクライアントPC
- ユーザーにMicrosoft Entra Internet AccessまたはMicrosoft Entra Suiteのライセンスが割り当てられていること
- Microsoft Entra参加済み、Microsoft Entraハイブリッド参加済み、Microsoft Entra 登録済みのいずれかであること
プロンプトシールドの動作検証
プロンプトシールドの動作検証として、ChatGPTとGeminiを用いて以下3点を確認していきます。
- 通常のプロンプトを実行したとき、問題なく出力されること
- 不適切なプロンプトを実行したとき、プロンプトシールドによってブロックされること
- トラフィックログより、プロンプトシールドによって不正なプロンプトがブロックされていること
検証環境の準備
プロンプトシールドを利用するためには以下の準備が必要になります。
クライアントPCにGSAクライアントをインストールした上で、下記の項目をEntra管理センターで設定します。
- GSAの有効化
- トラフィック転送プロファイルの設定
- セキュリティプロファイルの設定
- プロンプトポリシーの作成とセキュリティプロファイルの紐づけ
- ベースラインプロファイルの設定
- TLSポリシーの作成とベースラインプロファイルの紐づけ
- 条件付きアクセスの設定
動作検証の実施
今回作成したプロンプトルールは以下の通りです。
一般的な利用シナリオのプロンプトの実行
まず、プロンプトシールドの対象とならない一般的な利用シナリオで動作を確認します。
例として「日本ビジネスシステムズ株式会社について教えてください」というプロンプトを実行した時、システムエラーが発生せず、出力結果が得られることを確認します。
ChatGPTでの結果は以下のようになります。
Geminiでの結果は以下のようになります。
いずれも、システムエラーは発生せず、出力が正常に生成されました。
プロンプトシールドの対象に該当するプロンプトの実行
次に、プロンプトシールドの対象に該当する利用シナリオで動作を確認します。
例として、マネーロンダリングの方法を引き出すようなプロンプトを実行します。この際、実際にブロックされていることをデベロッパーツールのネットワークタブから確認してみます。
ログイン状態の有無で結果は変わりませんでした。ここではログインしている状態を例に、実際の挙動を紹介します。
ChatGPTでの結果は以下のようになります。
正しくプロンプトシールドが機能している場合、ChatGPTの画面上では「Something went wrong…」と表示され、プロンプトがブロックされます。
Geminiでの結果は以下のようになります。Geminiの場合は、送信ボタンを押しても送信できないようになります。
トラフィックログの確認
最後に、ブロックされた場合の動作をEntra管理センターの「Global Secure Access」>「監視」>「トラフィックログ」から確認します。
ChatGPTのログは以下のようになります。
Geminiのログは以下のようになります。
いずれの場合も、プロンプトルールで設定した宛先URLに対するアクションが、「prompt_rule01」によってブロックされていることが確認できます。
終わりに
MicrosoftのSSEのソリューションの一部である、プロンプトシールドについて紹介いたしました。
ユーザ側でプロンプトシールドによってブロックされていることが分かりにくい点や、設定する際に適切なURLやFQDNを指定しなければならない場合があるなど、現在のプレビュー段階では多くの課題が見受けられます。
しかし、これらの機能は生成AIの安全性を高めるための重要な基盤となり得るものであり、今後のアップデートにより適用範囲や精度はさらに向上していくことが期待されます。
特に、組織内でのAI利用のガバナンスを強化したい企業にとっては、大きな価値を持つ機能であると思います。
本記事が、GSA機能の理解の参考になれば幸いです。
