なぜ今注目？Geminiのセキュリティ対策と最新リスク完全ガイド

はじめに

Geminiのセキュリティ確保は、生成AIの業務利用が広がる今、避けて通れないテーマです。便利さの裏側にはプロンプトインジェクションやデータ漏洩など、AI特有のリスクが存在し、対策を怠ると機密情報の流出やシステムの乗っ取りにつながる恐れがあります。

GeminiではGoogle側の多層防御に加え、利用者側でもAPI設定やデータ管理で被害を抑える手段が用意されています。Googleはコンテンツ分類器やモデルの強化訓練といった多層防御を構築しており、本記事では、Geminiに関わるセキュリティリスクの全体像から、Googleの防御策、企業導入時の管理体制、利用上の注意点までを順を追って解説します。

Geminiとセキュリティの前提知識

生成AIが抱えるセキュリティ課題

生成AIでは、従来のソフトウェアとは異なる種類のセキュリティ課題が浮上しています。OWASPが公開した大規模言語モデル向けリスクのトップ10では、細工された入力によってモデルを操り、不正アクセスやデータ侵害、意思決定の改ざんにつながる「プロンプトインジェクション」が最上位に挙げられました。さらに、モデルの出力を適切に検証しないまま後続の処理へ渡すと、コード実行などの二次被害を招く「安全でない出力処理」も主要リスクに含まれています（参照*1）。

多くの組織は、AIシステムを安全に運用できるかどうかについて確信を持てていない状況があります。ある調査では、GPT、Gemini、Claude、LLaMAなど複数のモデルを併用する「マルチモデル戦略」が主流になりつつある状況が示されました。それにもかかわらず、スキル不足やAI固有のリスクへの理解の浅さが課題として残っており、データ漏洩が最大の懸念として挙がっています。プロンプトインジェクションやデータポイズニングといった脅威も増加傾向にあります（参照*2）。

Geminiの基本構造とデータ保護方針

Geminiを業務で使ううえでは、入力したデータがどう扱われるかの把握が欠かせません。Google Workspace for Educationの中核サービスにおけるGeminiのデータ保護方針では、ユーザーのプロンプトや生成されたコンテンツを含むデータは、Googleの公開AIモデルの学習や改善には使用されないと明記されています。また、ユーザーデータは広告目的にも利用されません（参照*3）。

会話は人間にレビューされないため、やり取りが人の目で確認されることは想定されていません。加えて、この方針はサービスの種類や契約形態によって適用範囲が異なるため、自組織が利用するプランの条件を事前に確認しておくことがポイントです。

主要リスクの全体像

間接プロンプトインジェクションの仕組み

間接プロンプトインジェクションは、AIモデルが処理する外部データに悪意ある指示を埋め込み、ユーザーが気づかないままシステムの挙動や出力を操作する脆弱性です。ユーザーが直接AIに悪意ある命令を送るのではなく、AIが参照するドキュメントやウェブページなどに命令を仕込む点が特徴です（参照*4）。

被害シナリオとしては、外部データで訓練されたAIチャットボットがウェブページ上の悪意ある指示を読み込み、内部の機密情報を外部に漏らしてしまうケースなどが示されています。ほかにも、AI要約システムが文書に隠された指示に従い、メール送信などの許可されていない操作を実行する事例や、AIが感染済みのファイルを処理する過程で機密データを抽出し、外部の宛先へ送信してしまうデータ窃取のシナリオが挙げられます。いずれも、ユーザーの意図しない動作がAIの裏側で進行する点に危険性があります。

データ漏洩と情報開示リスク

Geminiのセキュリティリスクは、モデルそのものへの攻撃だけでなく、アプリケーション側の実装に起因する情報漏洩も含まれます。GeminiのiOS版で確認された脆弱性では、ユーザーが会話の一部を共有しようとした際に、選択した部分だけでなく会話履歴全体が公開リンクを通じて外部に共有されてしまう問題が発生しました（参照*5）。

Gemini APIキーの悪用が関与する事例も確認されています。PROMPTSPYと呼ばれるマルウェアはハードコードされた既定の基盤と認証情報を使って初期化されますが、GeminiのAPIキーやVNC中継サーバーなどの指揮統制基盤をC2チャネル経由で動的に更新できる設計になっています。これにより、攻撃者はペイロードを再配備することなく重要な構成要素を入れ替えられるため、攻撃を継続しやすい状態になります（参照*6）。

AI生成コードに潜む脆弱性

AIが出力するコードの安全性も、見過ごせないセキュリティリスクです。複数のモデルを対象にした分析では、全モデルの成果物のうち55.8%が少なくとも1つの脆弱性を含んでおり、そのうち1,055件はZ3充足可能性検証によって形式的に証明されました。モデル別ではGPT-4oが62.4%で最も脆弱性の割合が高く、評価はFでした。一方、Gemini 2.5 Flashは48.4%で最も良い結果でしたが、それでも評価はDにとどまり、どのモデルもD以上の評価を獲得できていません（参照*7）。

Geminiの利用が安全なコード記述にどう影響するかを調べた研究では、Geminiを使った場合と使わなかった場合とで、安全なソフトウェア開発における有意な差は観察されませんでした。一方で、プログラミングの経験はコードの安全性を有意に向上させており、この効果はGeminiによって完全に代替できるものではないことが示されています（参照*8）。AI生成コードを本番環境で使う場合は、人間の経験に基づくレビューが依然として不可欠だといえます。

Googleの多層防御戦略

コンテンツ分類器とモデルハードニング

Googleは間接プロンプトインジェクションに対して複数の防御層を組み合わせる戦略をとっています。その中核をなすのが、独自の機械学習モデルで構成されたプロンプトインジェクション用コンテンツ分類器です。この分類器は、さまざまなデータ形式に含まれる悪意あるプロンプトや指示を検出する役割を担います。加えて、プロンプトの前後にセキュリティ上の注意喚起を挿入する「セキュリティ思考強化」という手法も導入されており、大規模言語モデルに対してユーザーが指示したタスクを遂行し、敵対的な指示を無視するよう促します（参照*4）。

モデル自体の堅牢化も並行して進められています。Google DeepMindは、敵対的堅牢性訓練（Adversarial Robustness Training: ART）を使って生成した、現実的な間接プロンプトインジェクションのシナリオを含む大規模データセットでGeminiを微調整しました。この訓練により、Geminiは埋め込まれた悪意ある指示を識別して無視し、本来のユーザー要求に従った安全な応答のみを返す能力が大幅に向上しました。攻撃の成功率は低下した一方で、通常タスクの性能には大きな影響が出ていないことも確認されています（参照*9）。

URL無害化とユーザー確認フレームワーク

URLを介した攻撃やデータ窃取を抑えるために、Markdownの無害化処理と不審なURLの除去が実施されています。プロンプトインジェクションによるデータ窃取では外部画像のURLや不審なリンクが攻撃経路として悪用されることがあり、Google Safe Browsingを活用して外部画像のURLや怪しいリンクを特定・除去することで、URLベースの攻撃やデータ窃取を防いでいます（参照*4）。

リスクのある操作には、ユーザー確認フレームワークが防御層として機能します。これは、カレンダーの予定削除など潜在的にリスクのある操作に対して、ユーザーの明示的な同意を求める仕組みです。さらに、セキュリティ上の問題が検出され軽減された際には、利用者に文脈に応じた通知が表示されます。この通知はヘルプセンターの記事を案内する内容を含んでおり、利用者自身がリスクの内容を理解しやすくなっています。

適応型攻撃への継続的対応

防御は、攻撃側の進化に応じて更新し続ける必要があります。Google DeepMindの研究では、SpotlightingやSelf-reflectionといった基本防御が、防御手法への対処と回避を学習した適応型攻撃に対しては効果が大きく低下することが明らかになりました（参照*9）。

堅牢なセキュリティには、適応型攻撃を想定した評価が欠かせません。この知見は、静的な攻撃に対してのみテストされた防御に頼ることが誤った安心感をもたらしうる点を示しています。Googleが多層防御を維持しつつ改善を続ける背景には、こうした攻防の動的な性質があります。Geminiのモデルレジリエンス、すなわち明示的な悪意ある操作からモデルを守る敵対的堅牢性も、こうした取り組みの一環として位置づけられています。

API安全設定と開発者向け対策

Safety Settingsの仕組みと調整方法

Gemini APIでは、安全設定（Safety Settings）を通じて安全性フィルターの厳しさを調整できます。Gemini APIにはプロトタイピング段階で利用できる安全設定が用意されており、アプリケーションの要件に応じて、より制限的またはより緩やかな安全設定を選択できます。フィルターは4つのカテゴリーに分かれており、カテゴリーごとに特定の種類のコンテンツを制限するか許可するかを設定します（参照*10）。

ブロック判定は、危険性の深刻度ではなく「危険である確率」に基づいて行われます。コンテンツがどの程度安全でないかの判定には、HIGH、MEDIUM、LOW、NEGLIGIBLEの4段階の確率レベルが使われます。深刻度が低くても確率が高ければブロックされ、逆に深刻度が高くても確率が低いと通過する場合があるため、フィルターの閾値設計では挙動を理解したうえで検討する必要があります。

Gemini CLIセキュリティ拡張の活用

Gemini CLIのセキュリティ拡張を使うことで、開発工程にセキュリティレビューを組み込めます。この拡張は、ローカルの変更点やプルリクエストのgit diffを自動的に取得し、コード変更を分析します。分析の対象はハードコードされた秘密情報、インジェクション脆弱性、アクセス制御の不備、安全でないデータ処理など多岐にわたり、結果は端末上またはプルリクエストのコメントとして、具体的な対処方法を含むレポートで返されます（参照*11）。

Gemini APIキーの管理には注意が求められます。Gemini APIキーはIAMロールのバインディングから広範な権限を持つ場合があり、漏洩した際にはGoogle Cloudの多様なリソースやサービスへのアクセスを許してしまいます。大規模運用ではどのワークフローが漏洩したキーを使っているかの特定に時間がかかるため、管理上の課題も生じます。その対策として、サービスアカウントと短期間のアクセストークンを用いるWorkload Identity Federationの利用が挙げられており、認証の厳格化に寄与します（参照*12）。

企業導入時のガバナンスと監査

コンプライアンス認証とセキュリティ管理

Geminiを企業で導入する際には、自社のコンプライアンス要件を満たすかどうかの確認が欠かせません。Google Cloudでは、定期的な独立監査を特徴とする体系的な内部プロセスを通じてコンプライアンス認証を維持しており、HIPAA、FedRAMP、ISO 27xxxシリーズ、SOCレポート、PCI DSSなどの認証要件に対応してきた実績があります（参照*13）。

生成AIワークロードのセキュリティとコンプライアンスの態勢を評価・監視・監査するための推奨AIコントロールフレームワークも用意されています。このフレームワークはGoogle CloudのセキュリティチームとCISOオフィスの検証を経ており、NIST AI Risk Management FrameworkやCyber Risk Instituteのプロファイルといった業界標準を基盤として組み込んでいます。AI固有のリスクに対して、既存の業界標準をどのように適用すべきかを判断する際の指針として活用できます（参照*14）。

監査ログとCASB連携による可視化

Geminiの利用状況を組織内で把握するには、監査ログの活用が有効です。Google Workspaceの管理者は、Gemini for Workspaceのログイベントに対して検索やアクションを実行できます。具体的には、Google Docs、Sheets、Slidesなどのサービスにおいてユーザーがコンテンツ生成や要約のためにGeminiとやり取りした内容を確認できます（参照*15）。

外部のセキュリティ基盤との連携も選択肢に含まれます。CASB（Cloud Access Security Broker、クラウドアクセスの仲介管理ツール）によるAI統合サービスでは、ChatGPT、Claude、GeminiといったAIサービスに対してエージェント不要のAPI連携で接続し、セキュリティ態勢やデータリスクを検査できます。端末にソフトウェアを導入する必要がなく、安全でない設定やデータ漏洩につながる構成ミスの検出に加え、チャットの添付ファイルにアップロードされた機密データの特定も可能です（参照*16）。

利用時の注意点と失敗回避策

データ分類とアクセス制御の徹底

生成AIを安全に利用するうえで、データの分類とアクセス制御は基本です。ある大学のセキュリティガイドラインでは、管理対象または機密に分類される情報をAIツールで使用する場合、大学が管理し、大学データの保護を明示的に定めた契約の下にあるツールに限定すべきとしています。この契約では、データがモデルの学習に利用されないか、外部からアクセスできない隔離環境で処理されること、さらにウェブ検索機能を無効にすることを求めています（参照*17）。

データの保持期間についても運用ルールが設けられる場合があります。別の大学では、情報セキュリティの推奨に基づき、Geminiに入力されたデータや出力された結果を3か月間保持し、3か月後に履歴、プロンプト、結果をGeminiから消去する方針をとっています。なお、現時点では、利用者がGeminiのサイドバーから個別のチャットを自分で削除することはできないとされています（参照*18）。

既知の脆弱性事例と教訓

既知の脆弱性事例を把握しておくことは、同様のインシデントを防ぐうえで有効です。GeminiのiOS版では、会話の一部だけを共有しようとしたユーザーが意図せず会話履歴の全体を公開リンクで共有してしまう不具合が確認されました（参照*5）。この事例は、共有機能のような日常的な操作にも情報漏洩のリスクが潜んでいることを示しています。

AI生成コードの品質に過度に依存するリスクも示されています。複数モデルの分析で全体の55.8%が脆弱性を含み、Gemini 2.5 Flashでも48.4%の成果物に脆弱性が確認されました。プログラミング経験がコードの安全性を有意に高める一方、Geminiの利用だけではその効果を代替できないとする研究結果も報告されています。生成AIの出力を鵜呑みにせず、経験ある開発者によるレビューを必ず挟む運用体制が求められます。

おわりに

Geminiのセキュリティは、Google側の多層防御と利用者側の適切な運用管理の両輪で成り立っています。プロンプトインジェクションへのモデル強化やURL無害化などプラットフォーム側の対策は進んでいますが、適応型攻撃の存在が示すように、防御は継続的に更新すべきものです。

利用者としては、データ分類やアクセス制御の徹底、APIキーの厳格な管理、AI生成コードに対する人間のレビューといった基本を怠らないことが被害の抑止に直結します。自組織の利用環境に合わせた設定と監査体制を整え、Geminiの利便性と安全性を両立させる運用を構築していくことが求められます。

監修者

安達裕哉（あだちゆうや）

デロイトトーマツコンサルティングにて品質マネジメント、人事などの分野でコンサルティングに従事しその後、監査法人トーマツの中小企業向けコンサルティング部門の立ち上げに参画。大阪支社長、東京支社長を歴任したのち2013年5月にwebマーケティング、コンテンツ制作を行う「ティネクト株式会社」を設立。ビジネスメディア「Books&Apps」を運営。
2023年7月に生成AIコンサルティング、およびAIメディア運営を行う「ワークワンダース株式会社」を設立。ICJ2号ファンドによる調達を実施(1.3億円)。
著書「頭のいい人が話す前に考えていること」が、82万部（2025年3月時点）を売り上げる。
（“2023年・2024年上半期に日本で一番売れたビジネス書”（トーハン調べ／日販調べ））