SinapticAI セキュリティ
SinapticAI は、すべての Sinaptic® DROID+ インスタンスに組み込まれた AI インテント(意図)ファイアウォールです。すべての入力プロンプトと出力レスポンスをリアルタイムで検査し、プロンプトインジェクション攻撃、ジェイルブレイク(脱獄)の試み、および PII(個人情報)の漏洩を、LLM に到達する前にブロックします。
別途デプロイする必要はなく、外部 API の呼び出しもありません。SinapticAI は Sinaptic® DROID+ の内部でローカルに実行され、ミリ秒未満から数ミリ秒という極めて低いレイテンシで動作します。
仕組み
すべてのメッセージは、LLM に到達する前にセキュリティパイプラインを通過します。
ユーザープロンプト → SinapticAI チェック → LLM → SinapticAI チェック → レスポンス
チェックパイプラインには、エディションに応じて複数のレイヤーがあります。
| レイヤー | 検知内容 | レイテンシ | エディション |
|---|---|---|---|
| RegExp | 一般的なインジェクションパターン、既知の攻撃シグネチャ | 2ms 未満 | Community |
| NER | PII (名前、メール、ID) 用の固有表現抽出 | 約 10ms | Pro / Enterprise |
| SLM | 微妙な意図分類のための小型言語モデル (Small Language Model) | 約 30ms | Pro / Enterprise |
Community エディションには RegExp レイヤーが含まれており、既知の攻撃ベクトルの約 70% を捕捉します。Pro および Enterprise エディションでは、フルカスケード (RegExp → NER → SLM) が追加され、合計レイテンシ 50ms 未満で約 95% 以上のカバー率を実現します。
設定
SinapticAI は、droid.yaml でのグローバル設定と、各エージェントの YAML ファイルでのエージェント単位の設定の 2 つのレベルで構成されます。
グローバル設定 (droid.yaml)
sinaptic:
enabled: true # マスタースイッチ
mode: "block" # "block" = 脅威を拒否、 "log" = ログ記録のみ (シャドウモード)
pii:
enabled: true # PII 検知とマスキングを有効にする
strategy: "mask" # "mask" = PII を [REDACTED] に置換、 "block" = リクエストを完全に拒否
log_blocked: true # ブロックされたリクエストを監査ログに記録する
エージェント単位の設定 (configs/agents/my-agent.yaml)
sinaptic:
enabled: true # 特定のエージェントで無効にすることが可能
セキュリティモード
ブロックモード (デフォルト): 悪意のあるプロンプトはエラーレスポンスとともに拒否されます。ブロックされたリクエストは監査ログに記録されます。
{
"error": {
"message": "Request blocked by SinapticAI: prompt injection detected",
"type": "security_violation",
"code": "sinaptic_blocked"
}
}
ログモード (シャドウ): すべてのプロンプトが LLM に渡されますが、検知された脅威はログに記録されます。本番環境でブロックモードを有効にする前のテストや調整に役立ちます。
PII 保護
PII 検知が有効な場合、SinapticAI は入力と出力の両方で機密データをスキャンします。
- メールアドレス
- 電話番号
- クレジットカード番号
- 社会保障番号 (SSN) / マイナンバー
- IP アドレス
- カスタムパターン (Pro/Enterprise)
mask ストラテジーを使用すると、検知された PII はメッセージが LLM に到達する前に [REDACTED] に置換されます。 block ストラテジーを使用すると、リクエスト全体が拒否されます。
検知される脅威
RegExp レイヤー (Community) は以下を検知します。
- プロンプトインジェクション: システムプロンプトを上書きする試み(「以前の指示を無視せよ」、ロールプレイ攻撃、デリミタインジェクションなど)
- ジェイルブレイクパターン: 既知のジェイルブレイクテンプレート(DAN、AIM など)
- システムプロンプトの抽出: エージェントのシステムプロンプトを暴露させようとする試み
- PII パターン: 正規表現によるメール、電話番号、クレジットカード、マイナンバーなど
フルカスケード (Pro/Enterprise) は、さらに以下を捕捉します。
- 難読化された攻撃: エンコード、翻字、または多言語によるインジェクションの試み
- 文脈に応じた PII: NER によって検知される名前、住所、その他のエンティティ
- 未知の攻撃: SLM によって分類される、以前には見られなかった新しい攻撃パターン
監査ログ
log_blocked が有効な場合、すべてのセキュリティイベントが監査ログに記録されます。
{
"timestamp": "2026-04-10T14:32:01Z",
"event": "sinaptic_blocked",
"agent": "my-agent",
"rule": "injection_override",
"input_snippet": "ignore all previous instructions and...",
"action": "blocked"
}
監査ログは、 audit.log_path で設定されたディレクトリ(デフォルト: ./logs/audit/)に保存されます。日次でローテーションされ、保持期間の設定も可能です。
エディションの比較
| 機能 | Community | Pro | Enterprise |
|---|---|---|---|
| RegExp レイヤー | あり | あり | あり |
| NER レイヤー | — | あり | あり |
| SLM レイヤー | — | あり | あり |
| 攻撃カバー率 | 約 70% | 約 95% 以上 | 約 95% 以上 |
| チェックレイテンシ | 2ms 未満 | 50ms 未満 | 50ms 未満 |
| PII 検知 | 正規表現パターン | フル NER | フル NER + カスタム |
| カスタムルール | — | — | あり |
| カスタム SLM 学習 | — | — | あり |
ベストプラクティス
- ログモードから開始する: まずは
mode: "log"で実行し、ユーザーに影響を与えずに何がブロックされるかを確認します。 - 常に PII マスキングを有効にする: ユーザーを信頼していても、LLM のレスポンスにトレーニングデータ由来の PII が含まれる可能性があります。
- 監査ログを監視する: ブロックされたリクエストを定期的に確認し、セキュリティ設定を調整します。
- エージェントごとに有効化する: データパイプラインなどの一部の内部エージェントでは、セキュリティチェックが不要な場合があります。必要に応じてエージェント単位で SinapticAI を無効にしてください。