Paladin: A Policy Framework for Securing Cloud APIs by Combining Application Context with Generative AI

この論文は、大規模言語モデルを用いて API リクエストのセマンティクスを抽出し、アプリケーションに依存しないポリシー定義インターフェースを通じて、クラウドワークロードにおけるリソース消費の制限、機密ビジネスフローへの不正アクセス防止、認証の破損といった脅威を効果的に防ぐセキュリティフレームワーク「Paladin」を設計・実装し、高い精度と許容範囲のオーバーヘッドで広範な適用性を示したことを報告しています。

要約

論文「Paladin」の解説：クラウドの守り手

この論文は、**「Paladin（パルディン）」**という新しいセキュリティシステムについて紹介しています。

現代の企業は、銀行や医療、EC サイトなど、多くの重要なサービスを「クラウド（インターネット上の巨大なデータセンター）」で動かしています。しかし、ここには見えない敵（ハッカー）が常に狙いを定めています。

Paladin は、これらの敵からクラウドを守るための**「賢いセキュリティガード」です。従来のシステムが「ルールブック（マニュアル）」を厳格に守るだけの機械だったのに対し、Paladin は「文脈（コンテキスト）を理解できる AI」**を搭載しています。

以下に、専門用語を排し、日常の例えを使って解説します。

---

1. なぜ新しいシステムが必要なのか？（従来の問題点）

🏪 従来の「マニュアル通りの店員」

これまでのセキュリティシステムは、まるで**「マニュアルに書かれたことしか言えない店員」**のようでした。

• ルール： 「『numResults（結果数）』という名前の変数が 100 を超えたらブロック！」
• 問題： ハッカーが変数名を『count』や『limit』に変えて攻撃してくると、店員は「名前が違うから OK ですね」と言って、システムを破壊する攻撃を許してしまいます。
• 結果： 企業側は、アプリごとに「変数名はこれです」とマニュアルを書き換える必要があり、非常に手間がかかり、追いついていませんでした。

🧠 Paladin の「賢い店長」

Paladin は、**「意味を理解できる AI 店長」**です。

• 能力： 「『numResults』でも『count』でも、どちらも『何件表示するか』という意味なら、同じルールを適用する！」と判断できます。
• 強み： アプリケーションの仕様が変わっても、AI が「これは何をするリクエストか」を理解し、自動的に適切なルールを適用します。

---

2. Paladin が守る 3 つの脅威

Paladin は、主に 3 つのタイプの攻撃から守ります。

① 無限の食い物（リソースの枯渇）

• 例え話： レストランに「メニューを 10 万種類、全部 100 回ずつ注文して！」と注文する客。
• 現実： ハッカーが、検索結果を 10 万件返すよう要求し、サーバーのメモリや CPU をパンクさせ、他の客（正規ユーザー）が使えなくする攻撃です。
• Paladin の対応： 「このリクエストは『大量のデータ要求』というラベルがついているな。100 件以上は禁止ルールがあるから、ここで止めるぞ」と判断します。

② 敏感なビジネスフローへの不正アクセス

• 例え話： 人気商品の「予約」や「購入」を、ボットが大量に占拠して、一般人が買えなくする行為（転売屋や荒らし）。
• 現実： 在庫を空っぽにしたり、スパムコメントを大量に投稿させたりする攻撃です。
• Paladin の対応： 「このリクエストは『購入』や『コメント』のラベルがついている。過去 5 分間でこの人が 100 回も購入しようとしている？不自然だ！ブロックする！」と、文脈を考慮して判断します。

③ 壊れた認証（なりすまし）

• 例え話： 鍵の付いたドアを、何千回も違う鍵で開けようとする泥棒。
• 現実： ユーザーのパスワードを総当たりで試したり、盗んだ認証トークンを使ったりする攻撃です。
• Paladin の対応： 「『ログイン』というラベルがついている。同じ IP から 1 秒間に 50 回もログイン試行がある？これは攻撃だ！」と即座に察知します。

---

3. どのようにして「賢さ」を実現しているのか？

Paladin の最大の特徴は、**「LLM（大規模言語モデル）」**という AI を使っている点です。

🕵️‍♂️ AI 探偵の活躍

1. リクエストの到着： 外部からのアクセスがプロキシ（入り口のゲート）に届きます。
2. AI による分析： ゲートの AI が「このリクエストは何をしようとしているのか？」を瞬時に読み取ります。
   • 「あ、これは『ログイン』の試行だ」
   • 「これは『商品購入』のリクエストだ」
   • 「これは『大量データ要求』だ」
3. ラベルの貼り付け： AI がリクエストに「タグ（ラベル）」を貼り付けます。
4. ルール適用： 貼り付けられたラベルに基づき、事前に設定されたルール（例：「ログイン試行は 1 分間に 5 回まで」）を適用します。

🗂️ 過去の記憶（コンテキスト）

Paladin は、そのリクエストだけでなく、**「そのユーザーの過去の行動」や「サーバーの現在の混雑状況」**も一緒に考えます。

• 「普段は 1 回しか買わない人が、今だけ 100 回買おうとしている」→ 不審だ！
• 「サーバーがすでにパンクしそうなほど混んでいる」→ 追加のリクエストは断る！

---

4. 効果はどれくらい？

実験の結果、Paladin は以下のような成果を上げました。

• 高い精度： 約 81% の確率で、正しいラベル（タグ）を貼り付けることができました。
• 軽微な遅延： セキュリティチェックを入れることで、通信速度は約 14% だけ遅くなりましたが、これはセキュリティのために許容できる範囲です。
• 汎用性： 異なる種類のアプリ（EC サイト、金融アプリ、SNS など）でも、同じように機能しました。

---

まとめ

Paladinは、クラウドのセキュリティを「マニュアルに従う機械」から「文脈を理解する賢いガード」へと進化させたシステムです。

ハッカーが変則的な手口を使っても、AI が「これは何をするリクエストか」を理解し、適切なルールを自動で適用することで、企業は複雑なセキュリティ設定に追われることなく、安全なクラウド環境を維持できるようになります。

まるで、**「マニュアルを読まなくても、状況を見て『これは危ない』と直感的に判断できる、優秀な警備員」**があなたの会社の入り口に立っているようなものです。

技術概要

論文「Paladin: A Policy Framework for Securing Cloud APIs by Combining Application Context with Generative AI」の技術的サマリー

この論文は、クラウド環境における API セキュリティの課題を解決するため、大規模言語モデル（LLM）とアプリケーションの文脈を組み合わせた新しいセキュリティフレームワーク「Paladin」を提案するものです。従来のセキュリティ対策が抱える「アプリケーション固有の仕様への依存」という課題を克服し、管理者がアプリケーションに依存しない（Application-agnostic）ポリシーを容易に定義・適用できることを目指しています。

以下に、問題定義、手法、主要な貢献、評価結果、および意義について詳述します。

---

1. 問題定義 (Problem)

現代の企業は、内部運用や外部顧客向けにクラウドベースのアプリケーションや API を多数展開しています。しかし、クラウドプロバイダーが提供するセキュリティ機能だけでは不十分であり、レイヤー 7（アプリケーション層）の攻撃が深刻な脅威となっています。

主な課題は以下の通りです：

• アプリケーション固有の複雑さ: 異なるアプリケーションでは、同じ機能（例：検索結果の件数制限、ログイン、カートへの追加）を実現する API エンドポイントやパラメータ名が異なります（例：numResults vs count）。
• ポリシー定義の困難さ: 従来のファイアウォールや IDS は、特定の署名やルールに基づいて動作しますが、管理者が多数の API の意味論（セマンティクス）を理解し、クラスタ全体で統一的なポリシーを定義・維持するのは極めて困難です。
• 主要な脅威:
  1. 無制限のリソース消費 (T.1): 大量のデータ取得やリソース枯渇による DoS 攻撃。
  2. 機密ビジネスフローへの無制限アクセス (T.2): 在庫の独占（スキャルピング）、スパム、不正なアカウント作成など。
  3. 認証の破綻 (T.3): 認証情報の漏洩、ブルートフォース攻撃、トークンの悪用。

これらの脅威に対処するには、単なる構文解析ではなく、**リクエストの「意味」**を理解した上でポリシーを適用する必要があります。

2. 手法とシステム設計 (Methodology & System Design)

Paladin は、クラウドワークロードの管理者が容易にポリシーを定義・強制できるセキュリティフレームワークです。その核心は、LLM を活用して API リクエストから意味を抽出し、それをポリシー適用に利用する点にあります。

2.1 システムアーキテクチャ

• プロキシの役割: Paladin は、TLS 終端後のトラフィックを傍受するプロキシ（Envoy + WebAssembly）として実装されています。
• リクエストのタグ付け: 受信した HTTP リクエストを LLM に送信し、事前に定義された**「ビジネスフロータグ」（例：ログイン、購入、カート追加）と「技術的フロータグ」**（例：レスポンスデータ制限、ファイルアップロード）に自動的に分類（タグ付け）します。
• パラメータ抽出: LLM は、パラメータ名が異なっても意味が同じ（例：numResults, count, limit）場合、それらを統一された「ポリシー変数」（例：<num_records>）として抽出します。これにより、ポリシー定義者は特定の API 名に依存せずにルールを書けます。
• 文脈（コンテキスト）の統合:
  • リクエスト文脈: タイムスタンプ、ソース IP、過去のリクエスト履歴など。
  • コンテナ文脈: クラウドオーケストレーション（Kubernetes 等）から取得した CPU、メモリ、IO の使用状況。
    これらを組み合わせて、より高度なポリシー（例：「過去 5 分間の購入合計が閾値を超えたら拒否」）を適用します。

2.2 ポリシー定義

管理者は、抽出されたタグと変数、および文脈情報を用いてポリシーを記述します。

• 例（リソース制限）: Response data limit タグが付いたリクエストに対し、抽出された <num_records> が閾値を超えていれば拒否。
• 例（ビジネスフロー制限）: Purchase product タグのリクエストに対し、特定の product_id に対する過去 5 分間の購入合計量が閾値を超えていれば拒否。

2.3 LLM の活用

• プロンプト設計: システムプロンプト、クラス識別番号、推論の根拠（Reasoning）、ヒント（Clues）を含む構造化されたプロンプトを使用します。
• 推論モード:
  • シングルモード: 1 つのプロンプトで複数のタグを同時に分類（マルチクラス分類）。
  • パラレルモード: 各タグごとに並列で推論を行う。新しいタグの追加が容易で、既存の精度への影響を最小化できます。

3. 主要な貢献 (Key Contributions)

1. クラウドプラットフォームレベルのフレームワーク: アプリケーションに依存せず、レイヤー 7 の脅威（T.1, T.2, T.3）から保護するためのクロスアプリケーションポリシーを定義・強制する仕組みを提供。
2. 文脈と意図の統合: リクエストの意図（LLM によるタグ付け）と、リクエストおよび環境の文脈（リソース使用量、履歴）を組み合わせることで、効果的なポリシーを実現。
3. LLM による意味抽出: API リクエストから関連情報を抽出し、ポリシー変数としてグループ化することで、ポリシー定義の複雑さを大幅に低減。
4. 実用的な評価: 広範なアプリケーションでの有効性と、実運用可能なオーバーヘッドを示す評価結果の提示。

4. 評価結果 (Evaluation Results)

著者らは、Top 25 API、金融 API、E コマース API の 3 つのデータセット（合計 2,442 API 呼び出し）を用いて評価を行いました。

• タグ付与精度 (Tag Association Accuracy):
  • シングルモード: 全体的な分類精度は 81.2%〜85.2%。
  • パラレルモード: Top 25 API で 96% の精度を達成し、偽陽性率は 3% 未満。金融 API や E コマース API でも高い精度（82% 以上）を維持。
  • 誤検知（False Positive）が発生した場合でも、パラメータ抽出段階で欠落を検知することで回避できるケースが多いことが確認されました。
• パフォーマンスオーバーヘッド:
  • LLM 推論によるレイテンシ増加は、事前キャッシュ（Pre-cached）を使用した場合、ベースラインに対して約 14% の増加に留まりました。
  • キャッシュを無効にした場合（すべてのリクエストで推論を実行）はオーバーヘッドが大きくなりますが、システムが長時間稼働しキャッシュが温まれば、実用的なレベルまで低下します。
• 汎用性: 異なるドメイン（SNS、金融、EC）の API において、共通のビジネスフローや技術的フローが頻繁に出現することを確認し、フレームワークの汎用性を裏付けました。

5. 意義と結論 (Significance & Conclusion)

Paladin は、既存のファイアウォールや IDS を代替するものではなく、それらを補完する新しい制御手段として位置づけられています。

• 管理者の負担軽減: 個々の API の仕様を深く理解する必要なく、意味論に基づいた高レベルなポリシーを定義できるため、クラウドセキュリティ管理者の負担を大幅に軽減します。
• 動的な脅威への対応: API のパラメータ名や構造が変更されても、LLM が意味を正しく解釈できればポリシーの適用は継続可能です。
• 将来展望: セキュリティに特化した LLM の活用や、リクエストを拒否するのではなく、安全な形に修正（自動修正）する機能の実装などが今後の課題として挙げられています。

総じて、Paladin は生成 AI をセキュリティ制御に統合することで、クラウド環境におけるレイヤー 7 攻撃に対する柔軟かつ強力な防御体制を構築する画期的なアプローチを示しています。