—·
全てのコンテンツはAIによって生成されており、誤りが含まれる可能性があります。ご自身でご確認ください。
セキュリティチームは、エージェント型AIを特権的なサイバー能力と見なすべきです。ID管理、ログ記録、サンドボックス化、およびガバナンスの証跡ループを再設計することで、堅牢な防御体制を構築できます。
エージェント型AIの導入は、もはや単なる「支援チャット」の域を超えています。エージェントがブラウジングやツールの実行、設定変更、データの取得を行えるようになれば、それはコンテンツ生成ツールではなく、特権的なサイバー能力を持つシステムとして機能し始めます。そのため、米国のガイダンスでは、モデルの安全性に関する主張よりも、安全な導入と実証可能な制御(コントロール)がますます重視されるようになっています。
運用上の課題は明白です。エージェントが自律的に行動できる以上、防御側には監査可能な「コントロールプレーン」が必要です。単なるポリシー文書を増やすのではなく、監査やインシデント対応の際に、「誰がエージェントの行動を承認し、どのツールを使用し、どのような制約下で実行され、どのような証拠が残っているか」を証明できるシステムが求められています。
本稿では、CISAの「Secure by Design(設計による安全性)」アプローチと、NISTの「サイバーセキュリティフレームワーク 2.0(CSF 2.0)」に基づき、この考え方を実装パターンへと落とし込みます。具体的には、ガバナンス証跡の強化、プロンプトインジェクションやデータ流出経路の堅牢化、ベンダーのセキュリティ評価の更新、そしてポリシーから証拠に至る運用ループの構築という、防御側が担うべき4つの責任に焦点を当てます。また、CISAの「既知の悪用された脆弱性(KEV)カタログ」やランサムウェア対策ガイダンスを、実務上の「証拠」のあり方を定義するガードレールとして活用します。
エージェント型AIとは、ツールや外部システムを使用して多段階のタスクを計画・実行できるソフトウェアです。これに認証情報が付与された瞬間、それは単なるコンテンツ生成ではなく、サイバー能力へと変貌します。設計の鉄則は、「制御の所有権を明確にし、取り消し可能かつテスト可能にすること」です。
NIST CSF 2.0が有用なのは、チェックリストではなく「成果(Outcomes)」を管理するよう組織を促すためです。CSF 2.0は企業全体にわたるガバナンスとリスク管理の成果を強調し、各カテゴリーを運用上の規律と結びつけています。また、サイバーセキュリティは組織のニーズに沿ったポリシー、プロセス、実践を通じて管理されるべきだと述べており、権限や行動が動的に変化するエージェント型システムには不可欠な考え方です。(Source)
実務的には、エージェントと現実世界の間に「コントロールプレーン」を配置します。これには、IDとアクセスの境界、ログとテレメトリ、実行時の制約(エージェントが何を行えるか)、サンドボックス化が含まれます。エージェントにより広範な能力を与える前に、各レイヤーからの証拠(アーティファクト)を要求してください。制御が証拠を生み出せない場合、プロンプトインジェクションやツールの不正利用が発生した際に、そのシステムを信頼することはできません。
結論: 「ガバナンス」文書を書くのはやめましょう。監査やインシデント発生時に、誰が何を承認し、どのツールを用い、どのような証拠が残ったかを即座に回答できる執行システムを構築してください。
CSF 2.0は、サイバーセキュリティを機能と成果に基づいて構造化しており、組織全体で柔軟に運用できるよう設計されています。既存のCSF 1.1やISOの管理策を使用している場合でも、CSF 2.0の価値は、リスクやガバナンスの目標を、運用の能力や測定指標と結びつけられる点にあります。NISTはCSF 2.0を「記念碑的な」アップデートと位置づけ、フレームワークの核となるテキストやサポート資料を公開しています。(Source) (Source)
エージェント型AIは、「人間が行動し、システムがログを記録する」という従来の前提を覆します。エージェント型AIではシステム自体が行動するため、人間と同等のガードレール下で動作させる必要があります。CSF 2.0のガバナンスとリスク管理の期待値を、以下の4つの運用管理領域にマッピングしてください。
エージェントの行動に対するIDと認可
能力ごとにエージェントのIDを分離(例:「チケットのトリアージ」「コードレビュー」「本番環境の設定変更」など)し、最小権限の原則を適用します。エージェントが本番環境へ書き込める場合、厳格にスコープが絞られた自動化アカウントと承認プロセスを経由させるべきです。
ログ記録と検知
エージェントの行動をセキュリティ関連イベントとして扱います。ツール呼び出し、データアクセス、プロンプト入力(必要に応じてマスキング)、そして安全に保存可能な思考の連鎖(Chain of Reasoning)の証跡を記録します。
脆弱性管理とエクスプロイトへの備え
エージェントはWebインターフェース、内部API、サードパーティツールとやり取りします。これらの接点を「既知の悪用された脆弱性」カタログと照らし合わせ、パッチ適用を優先します。
インシデントへの備えとランサムウェア耐性
エージェントは業務を加速させますが、侵害された場合は被害も拡大させます。ランサムウェア対応のプレイブックには、エージェントの認証情報、自動化トークン、ツールアクセス権を明示的に含めてください。
CISAの「Secure by Design」のリソースは、場当たり的なセキュリティから、設計・構築段階での防御への移行を強調しています。その中核メッセージは、脆弱性のクラスを除去し、リスクの高い行動を制限することで「爆発半径(Blast Radius)」を縮小することにあります。(Source)
結論: 各エージェントの能力を、最小権限の境界、テレメトリの境界、パッチ適用状況(KEV)、ランサムウェア封じ込め境界といった、テスト可能な管理策と結びつけるCSF 2.0のマッピングを作成してください。
プロンプトインジェクションとは、テキストや取得したコンテンツに悪意のある指示を埋め込み、攻撃者が制御する指令にエージェントを従わせる手法です。エージェントシステムにおいて、「攻撃対象領域」はモデルだけではありません。取得からツール呼び出しに至るパイプライン全体、つまりエージェントが何を読み、何を信頼し、どう行動するかという判断プロセスすべてが対象となります。
Secure by Designは、脆弱性のクラスを排除し、悪用可能な成果を減らすエンジニアリング手法に焦点を当てることでこれを支援します。CISAは、クロスサイトスクリプティング(XSS)などのWeb脆弱性を排除するための具体的なガイダンスも発行しています。XSSはプロンプトインジェクションとは異なりますが、設計のパターンは共通です。つまり、「安全でない入力が安全でない実行につながらないよう、設計段階で防ぐ」ことです。(Source)
このパターンをプロンプトインジェクションへの耐性制御に適用してください。抽象的な「プロンプトの改善」ではなく、具体的な管理ポイントとして扱います。
信頼できないコンテンツの取り扱い: 取得したコンテンツやユーザー提供のコンテンツを「信頼できないデータ」として扱い、フレームワークの境界で分離を強制します。エージェントのランタイムに対し、各コンテンツの断片に由来ラベル(例:user_input, retrieved_doc, webpage_text)を付与させ、指示をポリシーゲート経由でルーティングします。実用的な運用制御として、モデルにはツール呼び出しの「提案」のみを許可し、認可決定を変更し得る「システム指令」や「ポリシーの上書き」を直接フォーマットさせることは禁止してください。
アクションのゲート設定: エージェントが「判断」を下した場合でも、モデルのコンテキスト外で評価される第2段階のチェックを必須とします。承認サービスは、(a)能力(使用可能な権限セット)、(b)宛先(正確なリソースまたはエンドポイント)、(c)データ分類(読み取りやエクスポートの可否)を検証すべきです。文字列によるマッチングは避け、構造化されたツール呼び出しスキーマを使用し、ゲートが正規化されたフィールド(リソースID、操作タイプ、環境、データ範囲)を比較するようにします。
サンドボックスでのツール実行: リスクの高いツールは、制限された実行コンテキスト(ネットワーク出力制限、ファイルシステム容量制限、タイムアウト、読み取り/書き込み分離)で実行します。サンドボックスを計測し、(1)承認されたドメインのみにアクセス可能であること、(2)機密ディレクトリへの書き込みが失敗すること、(3)データ送信量が設定されたしきい値以下であることを証明する証拠を生成させます。これらの制約を強制できないツールは「ポリシー外」と見なし、本番稼働するエージェントには付与しないでください。
データ流出の抑制: エージェントが返せる内容と、エクスポート方法を制限します。機密カテゴリーに対してはレスポンスの予算(最大トークン数やバイト数)を強制し、一括エクスポートには明示的なデータ損失防止ワークフロー(宛先の承認が必要)を通すことを義務付けます。証拠は運用ベースであるべきです。ログには、リクエストがダウングレード、ブロック、あるいは承認されたエクスポートキューに転送された日時が記録される必要があります。
CISAのSecure by Designの姿勢は、事後的な検知のみに頼るのではなく、設計によって悪用可能な行動を減らすため、これらの選択を強力に支持します。(Source)
結論: 「信頼できないコンテンツの取り扱い」と「アクションのゲート設定」を、エージェントアーキテクチャの主要コンポーネントとして構築してください。目標はすべてのインジェクションを阻止することではなく、成功したインジェクションが特権的なツール実行や制御不能なデータ流出に発展しないようにし、それを構造化されたテスト可能な証拠で証明することです。
エージェント型AIは、ツールエンドポイント、ブラウザ、内部サービス、自動化バックエンドなど、接触するシステム数を増加させます。成熟したプログラムでは、「既知の悪用された脆弱性(KEV)」を優先し、攻撃者が実際に使用している脆弱性の修正を加速させます。
CISAは、実際に悪用されている脆弱性を特定するKEVカタログを維持しています。(Source) また、これらの脆弱性がもたらす重大なリスクを軽減し、修正の期限を設けるためのガイダンスも発行しています。(Source)
エージェント型AIのためにKEVを運用化する2つの方法があります。
ツールチェーンの脆弱性対策: エージェントが到達可能なシステムをインベントリ化し、KEVの修正を優先します。エージェントがCI/CD APIを呼び出せる場合、ホスト環境やサービスエンドポイントにKEVプロセスを紐付けます。
認証情報とセッションのリスク低減: パッチを適用しても露出は残ると想定してください。エージェントの認証情報やトークンは短寿命とし、必要な操作のみにスコープを限定することで、侵害されたツールチェーンが永続的なアクセス経路になるのを防ぎます。
プロンプトインジェクションはしばしば「トリガー」として機能します。攻撃者は依然として、脆弱な依存関係、誤設定、安全でないツールの挙動といった「実害を及ぼす手段」を必要としています。KEVに焦点を当てたパッチ適用により、「エージェントの操作」から「エージェントによる影響」に至る信頼性の高い経路を減らすことができます。
結論: KEVの修正をエージェントのツールアクセスに対するゲート(門番)として扱ってください。ツールチェーンのコンポーネントがKEV項目に対して脆弱なままであり、文書化された補完策もない場合は、本番環境でのそのツールの使用をブロックしてください。
ランサムウェアは持続的な運用上の脅威であり、CISAの「STOP Ransomware」ガイダンスは防御優先順位の主要なリファレンスです。CISAは専門的なガイドと、具体的な対策をまとめたドキュメントを提供しています。(Source) (Source)
エージェント型AIシステムは、少なくとも以下の3つの方法でランサムウェアの影響を増幅させる可能性があります。
CISAのランサムウェアガイダンスは、復旧の強化、権限の制限、検知・対応の向上によって、攻撃者がランサムウェアの目的を達成する可能性を減らすことを強調しています。エージェント型AI特有のものではありませんが、運用上の含意として、すべてのランサムウェア対応演習やインシデント対応のプレイブックに、エージェントのID、自動化アカウント、ツール認証情報を明示的に含める必要があります。
テレメトリも重要です。エージェントがツールを使用する場合、検知スタックは不審なツールのシーケンス、大量のデータアクセスパターン、異常な管理アクションを識別しなければなりません。さもなければ、意思決定の時間が限られている緊迫した状況下で、ランサムウェア対応チームは視界を失うことになります。
結論: エージェントの認証情報、自動化トークン、ツール呼び出しパターンをランサムウェア対応プレイブックに追加してください。演習では、システムを完全に再構築することなく、チームがエージェントの権限を迅速に取り消し、サービスを安全に復旧させる訓練を行ってください。
多くのベンダー評価は、製品のモデル堅牢性、脆弱性スキャン、セキュア開発に集中しています。エージェント型導入においては、ベンダーが何を出荷するかだけでなく、自社の環境に統合された際にエージェントがどう振る舞うかを評価する必要があります。
実用的なアプローチは、ベンダー提供のコンポーネントが自社のコントロールプレーンをサポートできるかという「証拠」を要求し、受け入れテスト時にその証拠を検証可能にすることです。
ID統合とスコープ認可: ベンダーがどのようにスコープ付きサービスID(例:テナントごと、ワークスペースごと、ワークフローごと)をサポートしているかの文書を要求します。各アクションを実行したIDと、IDとツール権限のマッピングを示す監査ログなど、強制力の証明をエクスポート可能な形で要求してください。
イベントスキーマを備えた監査ログ: ツール呼び出しと後続アクションに対して、定義されたイベントスキーマを要求します。最低限、ツール名、アクションタイプ、ターゲットリソース(正規化されたID)、要求者のID、認可結果(許可/拒否/承認待ち)、相関ID付きのタイムスタンプを含む構造化ログをサポートさせるべきです。ログが改ざん防止(署名や不変ストレージ)されているか、SIEMへのストリーミングが可能かを確認してください。
リスクの高い操作の分離オプション: ネットワーク出力制御、ファイルシステム権限、シークレット管理(例:シークレットVault統合)など、分離境界に関する詳細を要求します。実行がセッションごと、またはワークフローごとにサンドボックス化されているかを確認してください。設定テストや「デフォルト拒否」の挙動を含め、実行時に分離を検証する方法を示す証拠が必要です。
KEV期待値に紐付いたセキュリティアップデートと開示: 悪用可能な問題に対するベンダーのパッチ適用と対応のコミットメントを要求し、KEV項目がどのように追跡され、顧客に伝達されるかを指定します。可能であれば、KEVゲートの判断に手作業の推測を挟まないよう、顧客向けのフィードやメカニズムを要求してください。
CSF 2.0がここで重要になるのは、サイバーセキュリティをリスク管理の成果とガバナンスとして枠組み化しているためです。ベンダーがこれらの成果を裏付ける証拠を提供できない場合、単に書類が足りないだけでなく、自社環境でのエージェントの不正利用を検知・対応する能力が欠如していることを意味します。(Source)
結論: ベンダーの質問票と受け入れ基準を更新し、ツールアクションの監査可能性、分離能力、KEV修正ワークフローと整合可能な脆弱性体制といった「コントロールプレーンの証拠」を要求してください。
「ガバナンスの証拠」は、往々にしてポリシー、図面、議事録といった監査用の成果物になりがちです。エージェント型AIのガバナンスには、「ポリシー → 執行 → 観察 → 証拠 → 改善」という異なるループが必要です。
NIST CSF 2.0は、サイバーセキュリティの成果を測定と改善に結びつける枠組みを提供します。CISAのSecure by Designは、事後レビューに頼るのではなく、リスククラスを減らす構築時の制約を支援します。(Source)
プロンプトインジェクションへの対処や流出防止といったエージェントの行動に対し、以下のワークフローで証拠ループを運用化します。
導入前のテスト: インジェクションされたコンテンツが意図された指示を上書きしようとする敵対的なテストケースを実行します。エージェントが特権的な行動を拒否するか、承認ゲートを通過させることを確認し、結果を証拠として記録します。
実行時の証拠: ツール呼び出しと意思決定ポイントごとに、安全に保存可能な構造化ログを生成します。ログがIDのコンテキストと行動結果を示していることを検証します。
インシデント後の学習: プロンプトインジェクションの試行(成功・失敗を問わず)が発生した場合、アクションゲートのポリシーとツールの許可リストを更新します。制御策が再発リスクを軽減しているかを追跡します。
エージェント型システムは動的であるため、モデル、プロンプト、ツールの設定、権限が変更されるたびに証拠を更新する必要があります。
結論: エージェント制御のための継続的な証拠パイプラインを実装してください。プロンプトインジェクションへの耐性と流出防止を、一度限りの安全レビューとしてではなく、測定可能な管理成果として扱ってください。
定量化は、検証可能なソースに基づいている場合にのみ価値を持ちます。CISAのランサムウェアやKEV資料はガイダンスを提供し、より広範な脅威のコンテキストは国家レベルのサイバーレポートに現れます。
FBIのIC3は、インターネット犯罪に関する年次報告書を発行しています。2025年のIC3報告書は、サイバー犯罪の報告規模と苦情カテゴリーの定量的なコンテキストを提供します。これらが直接エージェント型AIにマッピングされるわけではありませんが、インシデント対応の圧力を測り、詐欺や恐喝行動を早期に検知するためのモニタリングを優先する助けとなります。(Source)
ENISA(欧州ネットワーク・情報セキュリティ機関)は、欧州向けの脅威ランドスケープ報告書を発行しており、どの防御能力を維持すべきかを判断する材料となります。自社がEU向けのサービスや共有インフラに依存している場合、これらの脅威ランドスケープの知見は、どの管理策を優先すべきかに影響を与えます。(Source)
これらのソースをコントロールプレーンで運用可能な指標に変換し、定量化を以下の3つの方法で活用します。
「重要かもしれない」CVEではなく、KEVを使用してパッチ適用と露出低減を優先します。 これを測定可能なゲートに変えます。到達可能なツールホストとサービスを定義し、KEV項目によって影響を受ける数をカウントし、「KEVリスト掲載」から「ゲートウェイでのブロック(または修正)」までの時間を追跡します。(Source)
サイバー犯罪報告の圧力傾向を利用して、人員配置やエスカレーションパスを最適化し、インシデントと復旧の準備状況を規模測定します。 例えば、IC3のカテゴリー傾向を使用して24時間365日の監視が必要なアラート(恐喝やランサムウェア関連行動)を決定し、コントロールプレーンの応答性を「不審なツールシーケンス検知からエージェント権限取り消しまでの時間」として測定します。(Source)
ENISAの脅威ランドスケープを使用して、単一の脅威パターンに依存しない脅威インフォームド・レジリエンス(脅威情報に基づく回復力)を維持します。 前提条件(新しいエンドポイント、新しい統合、新しい地域)が変化した際、自社のポリシーモデル下で保護されているツールやワークフローがどれだけあるかを測定することで、「脅威ランドスケープ」を管理策のカバー範囲へと変換します。(Source)
結論: エージェント型AIの防御を、「インジェクション後の特権ツール呼び出しをブロックするまでの時間」「到達可能なツールホストにおけるKEV修正のカバー率」「エージェントの認証情報取り消しを含むインシデント対応準備状況」といった、測定可能な運用成果に基づいて構築してください。
エージェント型AI特有のインシデントに関する直接的な証拠は、公開レポートでは限定的です。組織が侵害を一般的なサイバー用語で説明することが多いためです。しかし、防御側にとって重要なケースパターンは存在します。攻撃者は既知の弱点を悪用し、足がかりを築き、権限を昇格させ、自動化やスクリプトを使用して迅速に移動します。監査可能な制御の証拠と封じ込め能力が欠けている場合、エージェントのような自動化機能は、被害を加速させるだけです。
CISAのKEVプログラムが存在するのは、カタログに掲載された脆弱性が実際に悪用されているためです。防御側は、攻撃者が新規性よりも「信頼性(確実に成功すること)」を優先することを想定すべきです。KEVカタログの存在自体が、既知の弱点をスキャンし、迅速に兵器化するという攻撃者のワークフローパターンを裏付ける証拠です。(Source)
CISAの「STOP Ransomware」ガイダンスは、ランサムウェア発生時に迅速な封じ込めと復旧ができない組織の失敗パターンを反映して作成されています。準備段階に対する繰り返しのアドバイスは、封じ込めと復旧がオプションではなく、決定的な要素であることを示しています。(Source)
これらのCISA公開文書は、特定のインシデントを名指しするのではなく、防御側が考慮すべきパターンを裏付けています。エージェント型AIを実装する実務者にとって、これらのケースは「ポリシーに基づいた運用」として機能します。つまり、CISAが推奨する対策こそが、プレッシャーのかかる現場で証明すべき事項そのものなのです。
エージェント型AIの導入は、測定可能なゲート(段階)を設定して進めるべきです。まずはツール権限を制限し、プロンプトインジェクションに対する耐性と強力な流出防止機能が証拠ループによって実証された場合にのみ、権限を拡大します。この段階的なアプローチは、ガバナンスの成果と継続的な改善を強調するCSF 2.0の方針と一致します。(Source)
以下に、採用可能な具体的かつ期限付きの計画を提示します。
30日以内: エージェントが呼び出せるすべてのツールと、使用可能なすべてのIDをインベントリ化します。KEV修正ステータスに紐付いていないエンドポイント上のツールをブロックします。特権的な変更を書き込んだり、データをエクスポートしたりする可能性のあるすべての機能に対して、アクションゲートを義務付けます。(Source)
60〜90日以内: ツール呼び出し、宛先、認可コンテキストを記録する構造化ログを実装します。プロンプトインジェクションのテストスイートを実行し、特権的なアクションがブロックされるか、承認プロセスを経由していることの証拠を記録します。証拠ループをCSF 2.0のガバナンス測定の期待値に合わせます。(Source)
120日以内: エージェントの認証情報、トークン、自動化アカウントを含めたランサムウェア対応の机上演習(テーブルトップ演習)を実施します。チームが迅速にエージェントの権限を取り消し、監査証跡を失うことなく業務を復旧できることを検証します。プレイブックの手順は、CISAの「STOP Ransomware」ガイダンスに基づきます。(Source)
ベンダー評価も、脆弱性スキャンの結果だけでなく、ID境界の強制、ログ記録、分離のためにチームが必要とする「コントロールプレーンの統合」を含め、同じ「セキュアな導入」基準を反映させる必要があります。そうすることで、ガバナンスが単なる「コンプライアンスのための劇場」になることを防ぎ、インシデント対応に役立つものにできます。
結論: 120日目までに、エージェント型AIプログラムが、最小権限のエージェントID、監査可能なツール呼び出しログ、KEVを意識したツールチェーンのパッチ適用ゲート、そしてエージェントの権限取り消しを明示的に含むランサムウェア演習によって運用されるようにしてください。コントロールプレーンをセキュリティ業務の成果物として扱えば、エージェントの自律性が「エージェントによる侵害」に転じるリスクを低減できるはずです。