LLM スキャンの構成と実行

プロバイダー・アクセスの構成、代表的な LLM シーケンスのキャプチャー、必要な機能の有効化、制御されたテスト環境でのスキャンの実行を行います。

始める前に

Azure OpenAI アカウントがあることを確認してください。

手順

  1. プロバイダーのアクセスとキーを設定します。「プロバイダー アクセスの構成」を参照してください。
  2. DAST Web アプリケーションスキャンを作成する: 特定の「アプリケーション」ページで「スキャンの作成」をクリックし、「DAST 動的分析」の下で「スキャンの作成」をクリックして、「Web アプリケーションをスキャン」をクリックします。
  3. 必要に応じて、開始 URL とドメイン、およびその他のスキャン設定を入力します。
  4. 「ターゲット」 > 「LLM」の下で次の手順を実行します。
    1. Activity Recorder の拡張機能 (Chrome および Edge の場合) を使用して、アプリケーション内で LLM サービスを探します。
    2. 記録を開始し、LLM サービスに移動します。
    3. プロンプトを入力して送信します。 AppScan
    4. 記録を停止し、記録ファイルをアップロードします。
    5. LLM にアクセスするためにログイン管理設定を ASoC が使用する必要がある場合は、「ログイン設定を使用して LLM モデルにアクセス」チェックボックスをオンにします。
    6. LLM データベース接続 (オプション): 「LLM がデータベースに接続されている」チェックボックスをオンにし、データベースに接続されたテーブル名を指定して、LLM サービスのデータベース攻撃対象領域を完全にマッピングしてテストします。AppScan はこの情報を使用して、インジェクション攻撃をシミュレートし、不正なデータ・アクセスを許可する可能性のある脆弱性を特定します。
  5. LLM ドメインが開始 URL と異なる場合は、そのドメインを「テスト対象ドメイン」リストに追加します。
  6. 「スキャン」をクリックして、スキャンを実行します。「スキャンおよびセッション」ページでスキャンの状況を表示できます。

タスクの結果

このスキャンは脆弱性を特定し、証拠と修復のガイダンスを提供します。AppScan は、「問題の詳細」ペインで検出結果を証拠と共に提示し、トリアージを効率化します。

特定された LLM の脆弱性を示す問題情報ページ

  • LLM テストインタラクションでは、AppScan による脆弱性の検出につながった会話が表示されます。その他の問題については、「テスト要求と応答」セクションを確認してください。
  • LLM の脆弱性をフィルタリングするには、「問題の検索」バーにプレフィックス「llm」を入力します。

    問題の情報は、LLMによってフィルタリングされた問題を示しています。

次のタスク

  • OWASP Top 10 for LLM Applications 2025 レポートを生成します。