エージェントが介入すると、あなたのセキュリティモデルは無力化されます

今日のほとんどのエンタープライズ向けセキュリティツールは、非常に限られた前提に基づいて設計されています。 その前提は過去20年間に何度も検証され、確かなものとなっているため決して間違いではありません。 その中核にあるのは、ソフトウェアは指示通りに動作し、ユーザーはプロファイルでき、システムは予測可能な状態で動くという考え方です。 これらはAPIやウェブサーバ、またはパスワード管理が不十分なユーザーの保護にうまく機能していました。

しかし、自律エージェントが登場すると、すべてが一変します。

エージェントは常にスクリプト通りに動くわけではありません。 静的に定義されたパスだけをたどるわけでもありません。 彼らは推論し、計画し、適応します。もし目を離せば誤作動することもあります。 そのため、従来の防御マニュアルはもはや現実的とは言えません。

幸いにも、セキュリティ研究者たちはこうした現実に積極的に取り組み始めています。 その明確な兆候の一つとして、ある論文が発表されました。 「エージェントAIのセキュリティ確保： LLMエージェントの脅威モデリング」 この論文はただ怖いシナリオを並べ立てるのではなく、私たちがまさに踏み込もうとしているエージェント社会に対応した新たな運用フレームワークを示しています。

著者は、現実環境における自律エージェント管理のための多層的アプローチであるSHIELDを紹介します。 それは単なる攻撃ベクトルの一覧ではなく、ガバナンスの青写真です。 SHIELDは以下を含みます:

• サンドボックス: エージェントが動作する前に、エージェントがアクセス可能なもの (ツール、ファイル、API) を正確に定義します。 何らかの形の厳格なアクセス制御を使用します。 ここでの核となる前提は健全であり、AI によるツールの使用全般を管理するための多くの取り組みが存在します。
• 人間が介在するプロセス： 取り返しのつかない操作を行う前に、確認ポイントやエスカレーション経路を設けましょう。 これは多くの自動化の取り組みで標準的な手法です。
• インターフェースの制限: システムと連携するエージェントの入出力ルールを厳密に定めています。 入力のサニタイズとレスポンス検証に関する話のようですね。 なるほど。
• 実行の追跡: ツールの呼び出しやメモリ状態の変化、計画ループをしっかり監視しましょう。 可観測性。 可観測性。 可観測性。
• ログの記録: 結果だけでなく、推論の過程やツールの利用も記録しましょう。 これは覚えやすい頭字語を作るために入れましたが、実際には前述の追跡の一部であり、包括的な可観測性戦略にかかわる要素です。
• 決定論的リプレイ: 推論セッションを再構築して、何が起こったかだけでなく、なぜ起こったのかを監査します。 エージェント（実際のところあらゆる AI）の「状態」を再現することはほぼ不可能であることを考えると、これが可能であると信じるのは非常に難しいと思います。 でも、もしそれが実現できれば素晴らしいですね。

まだ始まったばかりですが、SHIELDの核心となる洞察は非常に重要です。エージェント型AIは、新しい制御ポイント、新しい前提、新しい思考モデルを必要とします。 最近、このホワイトペーパーのような場でも触れたことがあります。 では今、セキュリティのリーダーやエンジニアにとってそれが具体的に何を意味するのかを簡潔にまとめましょう。

1. 静的な脅威モデルから動的な行動監視へ
従来の脅威モデルでは、攻撃者が横方向移動や権限昇格、ペイロード配布などの既知パターンに従うと想定していました。 ですが、攻撃者は既成のルールには縛られません。 状況に応じて即興で動きます。

セキュリティ チームは新しい振る舞いの監視を始める必要があります。 つまり、エージェントの行動や思考、そして意図しないパスから逸脱する瞬間をテレメトリで把握することです。 セマンティック。 可観測性。 言うまでもありません。

2. 境界防御からランタイムのポリシー実施へ
LLMエージェントがすでにツールを呼び出し、ファイルにアクセスし、APIリクエストを自律的に実行している場合、ファイアウォールやゲートウェイレベルの保護は効果を発揮しません。

セキュリティは実行時により近づき、タスク単位の権限、環境の分離、そして意図の検証をリアルタイムで行わなければなりません。 これをポリシーを推論として扱うようなものだと考えてください。エージェントに許可されている行動は、それを行おうとした瞬間に確かめる必要があります。 これはデータプレーンとコントロールプレーンの統合であり、セキュリティが必ず関わるのです。

3. ログイベントからコンテキスト取得へ
理解できなければセキュリティは確保できません。エージェントでは、ログだけで理解することは不十分です。 プロンプトチェーン、ツール呼び出しメタデータ、メモリスナップショット、実行コンテキストをすべてログに記録し、追跡可能にしましょう。 コンテキストこそが新たな境界線です。

なぜエージェントが午前2時に5件の会議を予約し、ベンダーにメールを送ったのか、あなたはわかりますか？ その決定の過程を再現できなければ、答えは見つかりません。 これは単なる観測ではありません。 エージェントの行動解析です。

4. コードレビューから動作テストへ
エージェントのロジックはコードにあるのではなく、重み、プロンプト、ツール、そして文脈の組み合わせにあります。 そのため静的なレビューは意味をなしません。

必要なのはサンドボックス環境での行動検証です。エッジケースや敵対的入力、権限の境界をシミュレートしましょう。 エージェントを単なる決定論的コードとしてではなく、研修中の若手エンジニアのように扱って運用してください。

レッドチーム演習は「システムを突破する」から「エージェントを操作する」へと進化させ、繰り返し行いながら障害の連鎖に細心の注意を払うべきです。

5. ユーザーIDからエージェントIDとスコープまで
今日のアクセス制御は主にユーザー中心です。つまり、あなたは誰で、どのような役割を担っているのかということです。 それはエージェントには通用しません。 ここで、自動有効期限 (TTL など)、共有メモリからの分離、永続的な監査証跡とともに、AI アクターにID、権限スコープ、タスク境界を割り当てる必要があります。

要するに、ゼロトラストの考え方は非人間のアクターにも適用されます。 そのアクターがツールを使うたび、あるいはリソースにアクセスするたびに、私たちは信頼を獲得し続けなければなりません。

エージェント型AIは単なる新機軸ではなく、システム全体の変革です。 モデルが自律性を持つことで、システムに不確定要素が生まれ、従来の前提がリスクになってしまいます。

SHIELDが優れているのは、単に管理リストだけではありません。 それは、2つの主要な前提を含む哲学にあります。

• エージェントは本能的であれ操作されてであれ、台本通りに動かないことを想定してください
• 推論エラーがシステム全体に影響を及ぼす可能性があると考えてください

これらを今取り入れたセキュリティチームは、拡大可能なガードレールを築きます。 取り入れなければどうなるでしょうか？ エージェントが「助けようとしただけ」の結果、後始末を任されることになります。

いいえ、既存のフレームワークだけでは不十分です。 エージェントがやってきました。 彼らの本質を理解した上で ガバナンスで迎えましょう。