機密ネットワークにおけるAI活用：侵害されたエンドポイントを想定したアイデンティティ、証跡、封じ込め制御の構築

機密ネットワークにおけるAIが脅威モデルを根本から変える理由

機密ネットワークでAIを運用する場合の最大のリスクは、システムが「より賢くなる」ことではありません。AIへのアクセス権が、データを単なる情報から「実行可能なアクション」へと変えてしまう点にあります。米国家安全保障局（NSA）およびそのパートナー機関は、中国に関連する脅威活動について共同ガイダンスを発表し、運用担当者に対して、侵害されたアクセス権のリスクに対処し、攻撃者の行動に合わせた防御制御を構築するよう強く推奨しています。（nsa.gov）

多くの企業戦略は、インシデント発生時の圧力に耐えられず破綻します。多くのチームが、社内環境のみを想定したAI権限を設計し、ログを事後的な記録として扱っています。しかし、改ざんや部分的停止、サービス拒否攻撃（DoS）が発生した状況下でも証拠として機能する「制御手段」としてログを扱う必要があります。機密ネットワークにおいては、攻撃者がすでに侵害されたエンドポイントやサードパーティのテレメトリを通じて侵入している可能性があり、従来の姿勢ではあまりに脆弱です。

機密環境におけるAI運用の要諦は、「アイデンティティ」「証跡（エビデンス）」「封じ込め（コンテインメント）」の3点です。アイデンティティとは、誰（あるいは何）がAIツールを呼び出せるかを制御すること。証跡とは、何が起きたかをフォレンジック調査に耐えうる改ざん不可能な形式で記録すること。封じ込めとは、モデル実行環境と、すでに敵対的である可能性のあるテレメトリやデバイス経路をどのように隔離するかを計画することです。

NISTサイバーセキュリティフレームワーク（CSF）2.0は、特定、保護、検知、対応、復旧といった機能に基づき、工学的な制御へと落とし込める有用な指針となります。（csrc.nist.gov）CSFはAIのアクセスモデルを自動的に設計してくれるものではありませんが、ダッシュボード上の指標ではなく、セキュリティ工学と具体的な成果を整合させることを強制します。

デバイス、モデル、ログを連鎖する脅威

機密環境は通常、ネットワーク境界が厳格ですが、エスカレーションは依然として「侵害されたエンドポイント」「認証情報の窃取」「悪意のあるテレメトリ」といった、従来の想定を無効化する経路から発生します。CISAの「Secure by Design（設計によるセキュリティ）」および「Secure by Demand（要求によるセキュリティ）」ガイダンスは、事後のパッチ適用ではなく、システムのデフォルトとしてセキュリティを組み込むことの重要性を強調しています。（cisa.gov）（cisa.gov）

「設計によるセキュリティ」が重要なのは、AIツールのアクセスや統合（チケットシステム、ファイルシステム、内部API、モデルオーケストレーション）が、利便性を優先して「高権限」に設定されがちだからです。ここが転換点となります。エンドポイントが密かに侵害されていれば、正当な要求に見せかけてAIツールのインターフェースを操作することが可能です。したがって防御側は、ツール要求を開始する人間やプロセスのアイデンティティが、悪意あるものであるか、あるいは悪用されている可能性があると仮定しなければなりません。

次にログについてです。監査ログは単なるコンプライアンス上の義務ではありません。インシデント対応において、ログは因果関係を再構成するための鍵です。どのプロンプトがどのツールアクションを導き、どのリソースが書き換えられ、どのテレメトリがその活動を観測したのかを特定します。NIST SP 800-218「セキュアソフトウェア開発フレームワーク（SSDF）」は、セキュリティをライフサイクル全体を通じた規律として定義し、明示的な検証を求めています。（nvlpubs.nist.gov）端的に言えば、セキュリティ成果は開発および展開の最終段階ではなく、その過程で構築・検証しなければなりません。

ゼロトラストの考え方は、これらすべての点をつなぎます。CISAのゼロトラスト成熟度モデルは、ネットワーク上の場所を信頼の根拠とせず、継続的な検証、セグメンテーション、ポリシー駆動型のアクセスを強調しています。（cisa.gov）ゼロトラストがAIリスクを自動的に解決するわけではありませんが、AIツールがシステムの状態を変更できる状況下では、すべてのアクセス判断に対してより強力な証明を求めるという指針を与えてくれます。

最後に、CISAの「Secure by Demand」ガイドは、組織がサプライヤーに対してどのようなセキュリティ特性を要求すべきかを実務的に定義しています。（cisa.gov）これは、サードパーティの統合やクロスドメインのテレメトリに依存する機密AI運用において不可欠です。

攻撃者がすでにエンドポイントに足場を築いていることを前提に計画を立ててください。防御側は、AIツールへのアクセス要求と監査ログこそが、攻撃者が偽造、隠蔽、悪用を試みる「連鎖の要」であることを認識しなければなりません。

AIツールアクセスをアイデンティティの境界として再設計する

「AIツールアクセス」とは、AIシステムが内部API、ワークフロー、文書検索、チケット作成などの外部アクションを呼び出すための権限とメカニズムを指します。広範なツール実行権限は、実質的にAI環境に対してシステムに副作用をもたらす能力を与えることと同義です。能力ベースのシステムには厳格なアイデンティティ境界が必要です。「誰がこのアクションを承認したのか」という問いが、セキュリティ上の核心となるからです。

CISAの原則に従い、セキュリティ要件を「オプトイン機能」ではなく「デフォルト」として採用してください。実践的には、AIが生成するツール呼び出しを最小権限の原則で制限し、コンテキストに基づいて検証するポリシーモデルを設計します。最小権限とは、各アイデンティティ（サービスアカウント、エージェントロール、ワークフロートークン）が必要最小限のことしかできないようにすることです。

機密ネットワークでは、「モデル実行アイデンティティ」を別途追加してください。多くのチームがユーザー認証のみを行い、その後はモデルにツール利用を許可してしまいますが、これでは不十分です。以下のアイデンティティを分離すべきです。

・要求を送信するユーザーまたはオペレーター ・要求をルーティングするAIオーケストレーター ・副作用を伴うアクションを実行するツール実行エージェント ・入力を取得するデータアクセスコンポーネント

インシデント発生時、この分離が運用上の証拠となります。どのアイデンティティがどのアクションを実行し、なぜポリシー評価がそれを許可したのかを証明する必要があります。NIST CSF 2.0の構造を活用し、アイデンティティ制御を「保護」および「検知」の成果にマッピングしてください。

また、ツールの境界をセキュア開発の検証と結びつけます。NIST SSDFが強調するように、承認チェック、ポリシー決定のログ記録、ツール許可リストの運用、およびポリシーやコンテキストが欠落している場合の「デフォルト拒否」の動作を実装し、テストしてください。

「どのアイデンティティが、どのポリシー評価の下で、どのツールアクションを実行したのか」を即座に答えられないのであれば、それはAIのセキュリティ制御ではなく、単なるAI機能に過ぎません。

攻撃者の圧力に耐えうる監査ログ

監査ログとは、セキュリティ上重要なイベントをタイムスタンプ付きで記録することです。AIツール環境における重要なイベントには、ツール呼び出し要求、ポリシー決定、取得されたデータ参照、モデル出力のアーティファクト、システム状態の変化（書き込み、削除、チケット作成）が含まれます。

機密ネットワークでは、エンドポイントを制御している攻撃者が、証拠となる記録を削除、改ざん、あるいは誤導しようと試みます。これに対する答えは単に「ログを増やす」ことではありません。「攻撃者が容易に改ざんできない方法で記録し、フォレンジック調査による再構成を可能にする方法で記録する」ことです。

CISAの「Secure by Demand」は、ログの整合性と保持期間を単なる願望ではなく、契約上の測定可能なプロパティにすべきだと説いています。具体的には、アクセス制御を伴う集中型ログ収集、改ざん防止ストレージ、イベント生成システムと保存システムの厳格な分離、およびAIとエンドポイントイベントを相関させるための厳密な時刻同期が設計要件となります。

さらに、成功時だけでなく「拒否」されたパスについても監査イベントが生成されるよう自動テストを行ってください。攻撃者は、拒否ログの隙間を突いて探索を行うためです。

Verizonの「2025年データ侵害調査報告書（DBIR）」は、侵害がどのように発生し、調査でどのようなパターンが見られるかを定量的に示しています。（verizon.com）監査ログは、事後報告のためではなく、調査のために設計しなければなりません。

侵害されたエンドポイントに対する封じ込め（コンテインメント）

封じ込めとは、検知後の被害範囲（ブラスト半径）を限定することです。AI環境においては、AIモデルのホストだけでなく、攻撃者がすでに影響を与えている可能性のある実行面についても封じ込めを計画する必要があります。

CISAのゼロトラスト成熟度モデルは、セグメンテーションとアクセス制御の構造化に役立ちます。「信頼できない場所では侵害を前提とする」という原則に基づき、入力の出所（プロベナンス）をカバーしなければなりません。ツール呼び出しが既知の正常な経路から発生したか、入力が期待される整合性制約に適合しているかを判断する必要があります。

デバイスの整合性監視も不可欠です。NIST CSF 2.0に基づき、エンドポイントの侵害や疑わしいツール利用の兆候（ツール実行トークンの停止、オーケストレーションジョブの凍結、特定テレメトリソースの無効化、高リスク統合の読み取り専用モードへの切り替えなど）が検知された際、何を隔離するかを事前に定義してください。

封じ込めはリハーサルが必要です。侵害されたエンドポイント、ツール呼び出しの悪用、ログ整合性の欠如、および証拠を保持した状態でのサービス復旧といったシナリオを用いた机上演習や技術訓練を定期的におこなってください。

機密AIにおける封じ込めとは、単に「モデルを止める」ことではありません。ツール実行アイデンティティを隔離し、副作用機能をブロックし、テレメトリやエンドポイントの経路を「敵対者が制御している可能性がある」前提で扱うことです。

ランサムウェアとゼロデイ攻撃への備え：証拠維持モード

ランサムウェアは通常、データ暗号化と恐喝として語られますが、機密AI運用者にとって重要なのは、攻撃者がオーケストレーション経路を悪用して証拠収集やシステム調整を妨害してくるという点です。

ゼロデイ攻撃に対しては、パッチ適用が間に合わないことを前提とし、アーキテクチャレベルでのリスク軽減と堅牢なログ記録が必要です。NIST CSF 2.0の構造を使い、以下のモードを定義してください。

1. エンドポイント侵害の疑い：トリガー：呼び出し側のアイデンティティの整合性低下。モード：セッションに関連する実行アイデンティティを回転・無効化し、AI推論のみ提供。
2. 疑わしいツール実行：トリガー：ポリシー違反。モード：副作用を伴うツールをデフォルト拒否し、読み取り専用モードへ移行。
3. エクスプロイト行動の検知：トリガー：制御プレーンの不整合。モード：オーケストレーションジョブの凍結と隔離経路への切り替え。
4. ログパイプラインの劣化：トリガー：ログ収集の遅延。モード：証拠が確保できない場合、副作用を伴う実行を停止し、局所的な証拠バンドルのエクスポートを優先。

重要な問いは「復旧できるか？」ではなく、「ツール・アクション・ポリシーの因果関係をタイムラインで再構成できるか？」です。

測定可能な再設計ロードマップ

このロードマップは、提供されたフレームワークに基づき、実務的な段階に分けて実装可能です。

フェーズ1：アイデンティティとポリシー適用

ユーザー、AIオーケストレーター、ツール実行、データアクセスのアイデンティティを分離し、最小権限とデフォルト拒否を徹底します。

フェーズ2：再構成のための監査ログ

すべてのAIツール呼び出しを、呼び出し元、アクション、ポリシー判断、結果の状態変化とともに記録します。「拒否」パスも漏らさず記録し、改ざん防止ストレージに保存します。

フェーズ3：封じ込めと復旧モード

ツール実行とテレメトリ経路をセグメント化し、侵害時の読み取り専用モードやツール停止モードを自動化します。NIST SSDFに基づき、セキュリティゲートを開発ライフサイクルに組み込みます。

フェーズ4：継続的評価

ゼロトラストの成熟度モデルを用い、信頼シグナルを継続的に評価・更新します。

結論：攻撃を予測せず、レジリエンスを定量化せよ

攻撃の確率を予測するのではなく、制御の網羅性と証拠の生存可能性を定量化してください。以下の4項目を測定します。

1. ポリシー網羅性：ツール呼び出しのうち、ポリシー判断イベントとAuthorization結果が正しく紐づいている割合。
2. 証拠の完全性：状態変化が発生した際の記録率と、拒否パスの監査記録の整合性。
3. 証拠の生存性：故障注入時（テレメトリ損失や遅延）でも、タイムラインが再構成できるか。
4. 封じ込め対応時間：検知から封じ込めアクション発動までの時間。

これらの指標は、インシデント対応がストレス下でも証拠に基づいたものになるかを決定づけます。

AIツールアクセスと監査証拠の保持を、システム稼働の「譲れない要件」としてください。そうすることで、セキュリティは事後対応から制御可能な運用へと進化し、機密AIは攻撃者の侵入を許した環境下でも、証拠を保持しながら機能し続けることが可能になります。