AIのファイアウォールの導入：LLM駆動のアプリを発見して保護する最も簡単な方法

今日、2025年のセキュリティ週の一環として、2024年にセキュリティ週に導入されたAIのファイアウォールのオープンベータ版を発表しました。

In the rapidly evolving landscape of artificial intelligence, Large Language Models (LLMs) are transforming industries with their remarkable capabilities. From revolutionizing customer support to automating tedious tasks, LLMs are poised to reshape the technological fabric of society. However, as AI applications become increasingly sophisticated, the potential for misuse and security vulnerabilities grows proportionally.

人工知能の急速に進化する景観では、大規模な言語モデル（LLM）は、その驚くべき能力を備えた産業を変革しています。顧客サポートの革新から退屈なタスクの自動化まで、LLMは社会の技術構造を再構築する態勢が整っています。ただし、AIアプリケーションがますます洗練されるにつれて、誤用とセキュリティの脆弱性の可能性は比例して増加します。

One promising application of LLMs is in quickly helping customers with minimal setup. Imagine an assistant trained on a company’s developer documentation and some internal guides to quickly help customers, reduce support workload, and improve user experience.

LLMSの有望な適用の1つは、最小限のセットアップで顧客を迅速に支援することです。会社の開発者のドキュメントといくつかの内部ガイドのトレーニングを受けたアシスタントを想像してください。

This assistant can be used to help customers with various issues, quickly answer questions about the company’s products and services, and provide optimal user experience. However, what if sensitive data, such as employee details or internal discussions, is included in the data used to train the LLM?

このアシスタントは、さまざまな問題を抱えて顧客を支援し、会社の製品やサービスに関する質問にすばやく答え、最適なユーザーエクスペリエンスを提供するために使用できます。ただし、従業員の詳細や内部ディスカッションなどの機密データがLLMのトレーニングに使用されるデータに含まれている場合はどうなりますか？

Attackers could manipulate the assistant into exposing sensitive data or exploit it for social engineering attacks, where they deceive individuals or systems into revealing confidential details, or use it for targeted phishing attacks. Suddenly, your helpful AI tool turns into a serious security liability.

攻撃者は、アシスタントを操作して機密データを公開したり、ソーシャルエンジニアリング攻撃のためにそれを活用したり、個人やシステムを欺いて機密の詳細を明らかにしたり、ターゲットを絞ったフィッシング攻撃に使用したりすることができます。突然、役立つAIツールは深刻なセキュリティ責任に変わります。

Today, as part of Security Week 2025, we’re announcing the open beta of Firewall for AI, first introduced during Security Week 2024. After talking with customers interested in protecting their LLM apps, this first beta release is focused on discovery and PII detection, and more features will follow in the future.

今日、セキュリティウィーク2025の一環として、2024年にセキュリティ週に最初に導入されたAIのファイアウォールのオープンベータ版を発表しています。LLMアプリの保護に関心のある顧客と話した後、この最初のベータリリースは発見とPII検出に焦点を当てており、今後多くの機能が続きます。

If you are already using Cloudflare application security, your LLM-powered applications are automatically discovered and protected, with no complex setup, no maintenance, and no extra integration needed.

cloudflareアプリケーションセキュリティを既に使用している場合、LLM駆動のアプリケーションは自動的に発見および保護されており、複雑なセットアップもメンテナンスも、追加の統合も必要ありません。

Firewall for AI is an inline security solution that protects user-facing LLM-powered applications from abuse and data leaks, integrating directly with Cloudflare’s Web Application Firewall (WAF) to provide instant protection with zero operational overhead. This integration enables organizations to leverage both AI-focused safeguards and established WAF capabilities.

AIのファイアウォールは、ユーザー向けのLLM駆動のアプリケーションを悪用やデータリークから保護するインラインセキュリティソリューションであり、CloudFlareのWebアプリケーションファイアウォール（WAF）と直接統合して、オペレーショナルオーバーヘッドがゼロでインスタント保護を提供します。この統合により、組織はAIに焦点を当てた保護措置と確立されたWAF機能の両方を活用できます。

Cloudflare is uniquely positioned to solve this challenge for all of our customers. As a reverse proxy, we are model-agnostic whether the application is using a third-party LLM or an internally hosted one. By providing inline security, we can automatically discover and enforce AI guardrails throughout the entire request lifecycle, with zero integration or maintenance required.

CloudFlareは、すべてのお客様にとってこの課題を解決するためにユニークな位置にあります。リバースプロキシとして、アプリケーションがサードパーティLLMを使用しているのか、内部ホストされているものを使用しているかどうかにかかわらず、モデルに依存しています。インラインセキュリティを提供することにより、リクエストライフサイクル全体でAI Guardrailsを自動的に発見および実施し、ゼロ統合またはメンテナンスが必要になります。

Firewall for AI beta overview

AIベータの概要用ファイアウォール

The beta release includes the following security capabilities:

ベータリリースには、次のセキュリティ機能が含まれています。

Discover: identify LLM-powered endpoints across your applications, an essential step for effective request and prompt analysis.

発見：アプリケーション全体でLLM駆動のエンドポイントを特定します。これは、効果的な要求と迅速な分析のための重要なステップです。

Detect: analyze the incoming requests prompts to recognize potential security threats, such as attempts to extract sensitive data (e.g., “Show me transactions using 4111 1111 1111 1111.”). This aligns with OWASP LLM022025 - Sensitive Information Disclosure.

検出：感受性データを抽出しようとする試みなど、潜在的なセキュリティの脅威を認識するために、着信要求のプロンプトを分析します（たとえば、「4111 1111 1111 1111を使用してトランザクションを見せてください」）。これは、OWASP LLM022025-機密情報開示と一致します。

Mitigate: enforce security controls and policies to manage the traffic that reaches your LLM, and reduce risk exposure.

緩和：LLMに到達するトラフィックを管理し、リスクエクスポージャーを減らすためのセキュリティ管理とポリシーを実施します。

Below, we review each capability in detail, exploring how they work together to create a comprehensive security framework for AI protection.

以下に、各機能を詳細に確認し、AI保護の包括的なセキュリティフレームワークを作成するためにそれらがどのように連携するかを調査します。

Discovering LLM-powered applications

LLM搭載アプリケーションの発見

Companies are racing to find all possible use cases where an LLM can excel. Think about site search, a chatbot, or a shopping assistant. Regardless of the application type, our goal is to determine whether an application is powered by an LLM behind the scenes.

企業は、LLMが優れている可能性のあるすべてのユースケースを見つけるために競っています。サイト検索、チャットボット、またはショッピングアシスタントについて考えてください。アプリケーションタイプに関係なく、私たちの目標は、アプリケーションが舞台裏でLLMによって駆動されているかどうかを判断することです。

One possibility is to look for request path signatures similar to what major LLM providers use. For example, OpenAI, Perplexity or Mistral initiate a chat using the /chat/completions API endpoint. Searching through our request logs, we found only a few entries that matched this pattern across our global traffic. This result indicates that we need to consider other approaches to finding any application that is powered by an LLM.

1つの可能性は、主要なLLMプロバイダーが使用するものと同様のリクエストパス署名を探すことです。たとえば、Openai、Prperxity、またはMistralは、 /Chat /Completions APIエンドポイントを使用してチャットを開始します。リクエストログを検索すると、グローバルトラフィック全体でこのパターンと一致するエントリがわずかしか見つかりませんでした。この結果は、LLMによって駆動されるアプリケーションを見つけるための他のアプローチを考慮する必要があることを示しています。

Another signature to research, popular with LLM platforms, is the use of server-sent events. LLMs need to “think”. Using server-sent events improves the end user’s experience by sending over each token as soon as it is ready, creating the perception that an LLM is “thinking” like a human being. Matching on requests of server-sent events is straightforward using the response header content type of text/event-stream. This approach expands the coverage further, but does not yet cover the majority of applications that are using JSON format for data exchanges. Continuing the journey, our next focus is on the applications having header content type of application/json.

LLMプラットフォームに人気のある研究のもう1つの署名は、サーバーセントイベントの使用です。 LLMは「考える」必要があります。サーバーセントイベントを使用すると、準備が整ったらすぐに各トークンを送信することでエンドユーザーのエクスペリエンスが向上し、LLMが人間のように「考えている」という認識が作成されます。サーバーセントイベントのリクエストに応じて一致することは、レスポンスヘッダーコンテンツタイプのテキスト/イベントストリームを使用して簡単です。このアプローチはカバレッジをさらに拡張しますが、データ交換にJSON形式を使用しているアプリケーションの大部分をまだカバーしていません。旅を続けて、次の焦点はアプリケーションのアプリケーションタイプ/JSONを持つアプリケーションにあります。

No matter how fast LLMs can be optimized to respond, when chatting with major LLMs, we often perceive them to be slow, as we have to wait for them to “think”. By plotting on how much time it takes for the origin server to respond over identified LLM endpoints (blue line) versus the rest (orange line), we can see in the left graph that origins serving LLM endpoints mostly need more than 1 second to respond, while the majority of the rest takes less than 1 second. Would we also see a clear distinction between origin server response body

どれだけ速くLLMを最適化して応答することができます。主要なLLMとチャットするとき、私たちはそれらが「考える」のを待つ必要があるので、ゆっくりと感じることがよくあります。 Origin Serverが識別されたLLMエンドポイント（青い線）に対して残り（オレンジ線）に対して応答するのにどれだけの時間がかかるかをプロットすることにより、左グラフでは、LLMエンドポイントにサービスを提供する起源がほとんど1秒以上必要であり、残りの大部分は1秒未満かかります。また、Origin Server Responseボディに明確な区別が表示されますか