ランサムウェア攻撃下の「通信遮断」とEU AI法：AIエージェントの運用設計を再考する

インシデント発生時の「コンプライアンスの罠」

ランサムウェア被害の最中、現場はチェックリスト通りには動かない。ログのバックエンドは停止し、認証システムは機能不全に陥り、複数のチームが同時に火消しに追われる。そのような極限状況において、「AIガバナンス」がさらなる緊急事態を招くことがある。システムがダウンし、刻一刻と時間が過ぎ去る中で、生成AIの透明性確保や監査レベルの証拠作成を強いられるからだ。

本稿は、サイバーセキュリティ運用のためにAIエージェントのガバナンスを構築するオペレーター、エンジニア、およびセキュリティマネージャーを対象としている。EU AI法の包括的な実装が実際の侵害対応と衝突した際に生じる、3つの重要な実装課題に焦点を当てる。すなわち、（1）出力・プロンプト・検索コンテキストを維持する「生成コンテンツの透明性ワークフロー」、（2）環境の一部が侵害されても信頼性を保つ「監査証跡パイプライン」、そして（3）社内外の報告チャネルが遮断された「通信制限下」を想定したインシデント対応計画である。

我々の視点は、あくまで運用の境界線内にある。脅威、侵害、ランサムウェア、ゼロデイ攻撃、そして企業意思決定に対する国家のサイバー政策の影響、さらにはデジタルインフラを守る組織と人々に焦点を当てる。中心となるテーマはシンプルだ。「コンプライアンスの期限が、セキュリティの欠陥になってはならない」ということである。

システム崩壊を見越した「Secure by Design」

米国のCISA（サイバーセキュリティ・インフラセキュリティ庁）が提唱する「Secure by Design（設計による安全）」は、セキュリティを後付けするのではなく、システムの構築段階から組み込むことを重視している。これは単なる製品の姿勢ではない。インシデント発生時には、プロセス上の要件となる。なぜなら、インシデント対応のプレイブック（手順書）の信頼性は、設計段階での選択に依存するからだ。CISAのガイドラインは、セキュリティの成果を設計し、チームやライフサイクル全体で運用することを強調している。(Source)

実務において、「設計」はインシデント時の挙動そのものとなる。AIエージェントのテキスト生成が透明性コントロールに依存している場合、監視機能が低下してもそのコントロールが維持されなければならない。もし監査証跡のパイプラインが、攻撃者が早期に無効化・改ざんできるコンポーネントに依存しているなら、最も証拠が必要な瞬間に監査アーティファクトは信頼できなくなる。

NIST（米国国立標準技術研究所）のサイバーセキュリティフレームワーク（CSF）は、この現実を管理するための共通言語を提供している。「特定、防御、検知、対応、復旧」という5つの機能だ。CSFはAIの透かし（ウォーターマーク）の実装方法までは規定しないが、ガバナンスの成果物をライフサイクル全体でどう管理すべきか、そして対応判断をリスク管理や測定可能な成果とどう結びつけるべきかの枠組みを示す。(Source) AIエージェントの運用に置き換えれば、要件は明確だ。透明性と証拠は、検知や対応と同じ工学的経路を辿らなければならない。

安全なデフォルト設定による実行時の透明性維持

「Secure by Design」には、デフォルト設定の適正化や、予防可能な誤用の防止も含まれる。CISAの資料では、より安全なデフォルト設定と工学的な選択を通じてリスクを低減することが強調されている。(Source)

インシデント対応におけるAIエージェントにとって、「安全なデフォルト」とは、実行時に透明性がオプションであってはならないことを意味する。「ウォーターマーク」やその他の透明性メカニズムが利用不能なサービスに依存している場合でも、エージェントは脆弱な依存関係を排除した代替手段を用いて、明示的かつ追跡可能な出力を生成すべきである。この設計により、ランサムウェア発生時に「コンプライアンスのギャップ」が「運用のギャップ」へと拡大するのを防げる。

結論： AIの透明性コントロールと監査ログは、インシデント対応システム設計の一部として扱うこと。攻撃を受けて障害が発生しやすいコンポーネントに依存している場合、それは「侵入」ではなく「監査」のための設計になってしまっている。

ランサムウェアとゼロデイが変える「証拠の連鎖」

ランサムウェアは単にファイルを暗号化するだけではない。テレメトリ（遠隔測定データ）のあり方を変えてしまう。攻撃者は、認証、ログパイプライン、バックアップ経路を遮断する。それも、最も避けたい順序でだ。認証情報の窃取、コントロールプレーンの改ざん、そしてローカルログバッファの削除や上書き、エージェントの無効化、タイムソースの破壊といった「復旧を困難にする」行為が続く。

Verizonの「2025年データ侵害調査報告書（DBIR）」は、ランサムウェアを含む侵害パターンの定量的背景を提供している。侵害が運用上の混乱を招く頻度や、攻撃経路の多様性を示す同レポートは、インシデントにはソーシャルエンジニアリングと技術的な悪用が混在していることを予見する上で有用なリファレンスだ。(Source)

オペレーターが学ぶべきは、カテゴリー分けよりも「証拠の失敗モード」である。通信が遮断されたランサムウェア下では、認証情報を盗み、封じ込めを阻害する攻撃者の努力が、AIエージェントのガバナンスにおける「信頼の連鎖」を標的にする。「エージェントが何を見て、なぜそう判断したか」の追跡経路が単一のSIEM（セキュリティ情報イベント管理）取り込み経路に依存している場合、パラドックスが生じる。AIの出力は画面に表示されていても、それを検証するために必要な証拠が消失、あるいは事後的に証明不能となってしまうのだ。

ゼロデイ攻撃は、さらに「迅速な適応」という制約を加える。CISAの「既知の悪用された脆弱性（KEV）カタログ」が重要なのは、脆弱性が武器化された瞬間に悪用がいかに急速に変化するかを示しているからだ。つまり、AIエージェントの脅威インテリジェンス、検知チューニング、インシデントガイダンスは、新しい悪用情報を迅速かつ安全に取り込む必要がある。(Source)

ガバナンスチームにとって、証拠の問題は「時系列」に集約される。

・インジケーター取り込みのタイミング： エージェントが推奨事項を更新した時だけでなく、KEVなどの高信頼性インジケーターを取り込み、検証したタイムスタンプを記録する。 ・ルールや手順変更のタイミング： 挙動を変更した特定の検知ルールやプレイブックの差分を、改ざん不可能な記録として残す。 ・通信遮断下の行動タイミング： 攻撃者が無効化できるインフラから独立した、オペレーターの行動証拠をキャプチャする。

再設計の要件は明確だ。中央ログがオフラインになり、認証やポリシー強制サービスが部分的に侵害されても、「新しい悪用インジケーターの受信」→「エージェントのガイダンス更新」→「オペレーターの行動」という証拠の連鎖を再構築できるようにパイプラインを設計すること。これがなければ、ガバナンスの記録は山ほどあっても、法的・実務的に認められる証拠にはならない。

整合性を維持する「ローカル環境での証拠キャプチャ」

監査証跡パイプラインは、敵対的かつ劣悪な条件下で機能するように構築すべきである。「コンプライアンス用のアーティファクト生成」と「理想的なログ環境」を切り離す必要がある。もし証拠が中央ログアグリゲーターにのみ保存されているなら、そこが攻撃を受けた時点で、検知も事後の再構築も不可能になる。

NIST SP 1308.2は、測定とプロセスを考慮した安全な工学的実践とサイバーセキュリティ政策の実行に焦点を当てており、この設計姿勢の根拠となる。何を測定すべきかを定義し、出力の整合性を保つプロセスを構築せよ。(Source)

実務的には、生成時やエージェントの重要な判断ポイントにおいて、改ざん検知が可能な形で証拠をローカルにキャプチャする。その後、システムが安定した段階で非同期的に証拠を照合する。ランサムウェアは即時の隔離と、その後の復旧を強制するため、この非同期照合アプローチが不可欠となる。

結論： 監査証跡パイプラインを、リモートログや認証サービスが損なわれても整合性を保つアーティファクトを生成し続けられるように構築せよ。目標は「インシデント時の完璧な可用性」ではなく、「証拠の継続性」と、侵害されたシステムを信頼せずに事後照合することである。

システムダウン時の透明性とウォーターマーク

生成AIの透明性は、多くの組織が「オンラインサービスは常に利用可能である」という前提に甘んじている領域だ。障害に強い透明性は、エンジニアリング上の選択である。それは（a）接続性の低下、（b）認証とポリシー強制の低下、（c）生成されたテキストが改ざんや誤認される可能性への懸念、という3つの条件に耐えなければならない。

CISAの「Secure Design Pledge（設計による安全の誓約）」は、セキュリティを単なる一過性のコンプライアンスではなく、運用上の規律として扱う方針を示している。(Source) AIの透明性ワークフローにおいても、この哲学を運用要件として採用すべきだ。透明性を確保するためのメタデータは、後から付加するのではなく、エージェントの実行契約の一部として生成される必要がある。

通信遮断下のランサムウェアモードにおける、生成コンテンツの透明性確保のための再設計パターンを以下に示す。

1. エージェント出力のパッケージ契約： 生成されたすべての回答に、機械可読なメタデータを付与する。これには生成タイムスタンプ（信頼できるクロックソースまたは単調増加カウンタを使用）、モデル/バージョンID、入力の来歴ハッシュ（プロンプトと取得コンテキスト）、および透明性マーカーを含める。
2. オフラインで可視化可能な透明性： 透明性マーカーはログ内だけでなく、出力テキスト自体の中に人間が判読可能な形で含める。インシデント対応チャネルがダウンしていても、何が生成され、どのような証拠がそれを支持しているかをオペレーターが認識できるようにするためだ。
3. 証拠優先の検索ログ： 文書や脅威インテリジェンス、ナレッジベースの断片など、コンテキストを組み立てる際の選択情報をその瞬間にキャプチャする。そうでなければ、「透明性」は追跡可能性を欠いた単なるナラティブ（物語）になってしまう。

EU AI法は法的な文書だが、そのオペレーターへの影響は工学的な作業として現れる。出力がどのように生成され、どのような来歴に基づいているかを説明できなければならない。ワークフローは、インシデントの制約下でもその説明を可能にするものでなければならない。

実務上の重要ポイント： 「ウォーターマーク」と「来歴の透明性」は別物である。通信遮断下の侵害において、信頼性の核心はウォーターマークが検出可能かどうかではない。オフラインでアクセス可能なメタデータと来歴ハッシュを使用して、オペレーターがどの入力とポリシーコンテキストがその回答を生成したかを検証できるかどうかが鍵となる。

EU AI法が求める「安全なデフォルト」

CISAの「Secure by Design」原則は、前述の要件を工学的な決定へと翻訳する。デフォルト状態の概念が重要だ。エージェントが実行契約に透明性メタデータを含めずにデプロイされている場合、侵害発生後に信頼できる証拠を後付けすることは不可能に近い。(Source)

インシデント対応のためにAIエージェントのガバナンスを設計するチームは、モデルの安全性やコンテンツポリシーに集中しがちだ。しかし、より一般的な運用上の失敗モードは、来歴の欠如、生成メタデータの不足、あるいはログの利用不能である。ワークフローがインシデントに対して本質的に強靭でない限り、EU AI法への準拠はセキュリティの失敗を招くことになる。

結論： インシデント対応チャネルやリモートログが遮断されても、透明性と監査可能性が維持されるよう、ワークフローをAIエージェントの出力契約に組み込むこと。

監査証跡パイプラインをランサムウェアから守る

「監査証跡パイプライン」は単一のデータベースではない。AIエージェントが何を見たか、何を判断したか、何を生成したか、そして人間が次に何をしたかをキャプチャする一連の工学的ステップである。実務上、このパイプラインは部分的な侵害を許容できなければならない。

まず、NIST CSFのライフサイクル視点から始めること。証拠パイプラインは「特定と防御」（使用する資産とモデル）、「検知」（何をトリガーに行動したか）、「対応」（生成・実行されたガイダンス）、「復旧」（どのような変更を加えたか）をサポートする必要がある。(Source)

次に、脅威インテリジェンスと悪用タイムラインの現実を組み込む。CISAのKEVカタログは、AIエージェントが防御運用をサポートする場合、証拠が「KEV更新の取り込み」、「検知ルールやプレイブックの変更」、「オペレーターの行動」の連鎖をキャプチャしなければならないことを示している。この再構築ができなければ、インシデント後のガバナンス判断を正当化することはできない。(Source)

VerizonのDBIRが加えるもう一つの要件は、侵害が技術的要素と人間的要素を混在させるという点だ。したがって、証拠パイプラインにはシステム証拠（ログ、アラート、タイムスタンプ）とオペレーター証拠（何を検討し、どのような行動をとったか）の両方が必要となる。システムログのみに頼ると、AIエージェントの出力とオペレーターが実際にとった行動との間に乖離が生じるリスクがある。(Source)

通信遮断下での証拠アーキテクチャ

通信遮断下のインシデントでは、アウトバウンド接続、社内メッセージング、コラボレーションツールは信頼できない。証拠アーキテクチャはローカルで機能する必要がある。

実用的なアーキテクチャの要点： ・生成時のローカル証拠キャプチャ： 生成メタデータと来歴ハッシュを、中央SIEMよりも破壊されにくいホストや独立した証拠サービスに永続化する。 ・改ざん検知可能な連鎖： 各レコードが前のレコードのハッシュを参照するチェーン構造で証拠を保存する。目的は絶対的な完全性ではなく、整合性の検知である。 ・オペレーター行動のキャプチャ： インシデントチャネルがダウンしていても、エージェントのガイダンスを「受け入れる」「修正する」「無視する」といった決定を記録するワークフローを強制する。 ・非同期照合： システム復旧後、利用可能になった時点で中央ログとローカル証拠を照合する。

「保存」ではなく「検証可能」に： 改ざん検知チェーンにおいて、「改ざん」と「利用不能」を区別できるように定義すること。同様に、照合プロセスはローカル記録を上書きせず、信頼性レベル（ローカル整合性検証済み、中央照合済み、中央ログ欠損など）を付与して補完する形をとるべきである。これは「Secure by Design」の考え方に沿ったものであり、安定した環境を前提とせず、運用条件を想定して予測可能な失敗を防ぐ設計である。(Source)

結論： 監査証跡パイプラインを安全システムとして扱うこと。通信や中央ログが損なわれても、整合性を維持する事実をローカルで記録し続けなければならない。

通信遮断を見越したインシデント対応計画

インシデント対応計画は、しばしば接続性が信頼できることを前提に書かれている。しかし、ランサムウェアやゼロデイ攻撃の封じ込めにおいては、それが致命傷となる。「通信遮断下の計画」では、少なくとも以下の現実のいずれかを想定しておくべきだ。アイデンティティプロバイダー（IdP）が部分的に利用不能であること、コラボレーションツールを権威あるソースとして信頼できないこと、そして外部への開示チャネルが最初は到達不能であることである。

ENISA（欧州ネットワーク・情報セキュリティ機関）の脅威ランドスケープ報告は、脅威の進化を構造的に示しており、固定された手順ではなく、進化する脅威への備えを推奨している。(Source)

AIエージェントのガバナンスチームにとって、インシデント計画には「通信遮断下でAI出力をどう扱うか」を明記しなければならない。運用上の原則は単純だ。「通信障害時にAIエージェントを唯一の権威あるソースにしてはならない」。エージェントのガイダンスは、必ずオペレーターがローカルで検証可能な証拠とペアにすること。

運用を止めない「制限モード」のガバナンス

透明性と証拠パイプラインの要件を、具体的な「通信遮断下の再設計」に落とし込む。

1. ローカルのインシデント指揮手順： チャットシステムやチケット管理ツールが利用不能な場合、エージェントの行動を承認する権限が誰にあるかを定義する。
2. 証拠優先のコミュニケーション： オペレーターが状況を共有する際は、物語的な要約だけでなく、エージェント出力の証拠IDと来歴ハッシュを必ず含めることを義務付ける。
3. オフライン用開示テンプレート： 外部システムを使わず、かつ追跡可能性を失わずに使用できる社内開示用言語を事前に用意しておく。
4. エージェントの行動抑制（スロットル）： 通信遮断モードでは、証拠照合が完了するまで、エージェントの自律性を事前に定義された安全な行動（不可逆的な変更の実行ではなく、封じ込め手順の提案など）に制限する。

「エージェントの行動抑制」こそが、サイバーセキュリティとAIガバナンスが融合するポイントである。ランサムウェア発生時に無制限の自律性を与えれば被害範囲は拡大し、逆に完全に無効化すれば現場はAIの支援を失い過負荷に陥る。

結論： インシデント計画に「制限モード（Degraded Mode）」のガバナンスを明記せよ。誰がAIの行動を承認できるか、コミュニケーションにはどの証拠IDが必要か、システム障害時にどのような自律性の制限が適用されるかを定義すること。

公的文書から読み解く4つの防御シグナル

ランサムウェアや悪用に関する公開事例のドキュメントは一様ではないが、公式のガイダンスや権威ある情報源から得られる教訓は、エンジニアリング要件に直結する。

1. CISA KEVカタログへの反応： 脆弱性がカタログに追加された際、組織は修正を優先する。AIエージェントにとって、KEV主導の更新がいつ取り込まれ、それがインシデント中の防御推奨にどう影響したかを記録する証拠パイプラインが必要だ。(Source)
2. ENISA脅威ランドスケープ2025： 脅威の変化を想定した計画が必要である。AIエージェントがインテリジェンスの更新に基づいて推奨事項を変更した際、何がトリガーで、どのような影響があったかを記録すること。(Source)
3. Verizon DBIRのパターン： 侵害には技術的要素と人間的要素が混在する。証拠パイプラインは、自動化されたシグナルだけでなく、オペレーターの判断もキャプチャしなければならない。(Source)
4. Secure by Designの誓約： インシデント発生前に透明性と証拠の継続性を実装すること。危機に瀕してから後付けするよりも、設計段階で組み込む方が遥かに信頼性が高い。(Source)

結論： これらのシグナルを、設計段階でのエンジニアリング作業の正当な根拠とせよ。証拠の継続性、来歴のキャプチャ、通信遮断下のガバナンスは、インシデント前に実装しておくこと。事後の再構築は遅く、信頼性も低い。

再設計を運用に乗せるツール群

エキゾチックなツールチェーンは不要だ。必要なのは、規律あるデータキャプチャポイント、整合性コントロール、そして「Secure by Design」のガイダンスに準拠した承認ワークフローである。

以下のカテゴリーで再設計を運用化せよ：

1. Secure-by-Designのガバナンスワークフロー： CISAの資料を用い、AIエージェントのランタイムが透明性と証拠の挙動をサポートしていることを保証する。
2. NIST CSFへのマッピング： 証拠パイプラインのコントロールをCSF機能にマッピングし、証拠の存在意義と対応判断への寄与を説明できるようにする。
3. KEV追跡を伴うインテリジェンス取り込み： 悪用インテリジェンスの取り込みを証拠パイプラインに組み込み、ガイダンスを現実の脅威と紐付ける。
4. 監査証跡を伴う脅威ランドスケープへの対応： ENISA等の情報を入力として構成変更を行い、そのトリガーと影響を記録する。
5. 測定とプロセスの文書化： NIST SP 1308.2を参考に、AIガバナンスの証拠パイプラインの整合性を保つための測定 discipline（規律）を構築する。

結論： ツールによるサポートは、「出力の来歴パッケージング」「改ざん検知可能なローカル証拠キャプチャ」「制限モードでの承認フロー」という3つの重要ポイントのみに絞ること。

「コンプライアンスをリスク化」しないための計画

今後、AIガバナンスチームの負荷は増大し続けるだろう。リスクはコンプライアンスそのものではなく、透明性や証拠を「事後的な文書」として扱うことにある。最大の防御は、次の危機が訪れる前に、インシデントに耐えうる設計の中にコンプライアンスの挙動を組み込んでおくことだ。

実務者への提言： セキュリティアーキテクチャ委員会やAIガバナンス責任者に対し、サイバーセキュリティワークフローで使用するすべてのAIエージェントに「インシデント耐性のある透明性と証拠の契約」を義務付けるよう要求せよ。具体的には、オフラインでの透明性表示、ローカルでの改ざん検知可能な証拠キャプチャ、通信遮断時の承認・抑制手順という3つの検証可能なプロパティを本番利用の条件とする。

タイムラインの推奨： 60日以内に、集中ログやコラボレーションツールを意図的に遮断する通信遮断下の演習を行い、AIエージェントが依然として透明性マーカーと証拠IDを生成できるかをテストせよ。120日以内に、少なくとも1つの重要なワークフローで出力パッケージ契約とローカル証拠キャプチャを実装する。180日以内に、KEV追跡を統合し、悪用インテリジェンスによるすべての推奨変更を証拠とリンクさせること。

コンプライアンスを生き残らせよ。ネットワークがダウンし、攻撃者が依然として移動している最中であっても、透明性と監査証拠が機能し続けるように構築しておくことこそが、真のレジリエンスである。