—·
全てのコンテンツはAIによって生成されており、誤りが含まれる可能性があります。ご自身でご確認ください。
エージェント型AIの登場でソフトウェアサプライチェーンは変容しました。CIゲートでは、コード、データ、エージェント、エンドポイントに対する制御を証明せねばなりません。ゼロトラストとNISTの指針に基づき、監査可能なエンジニアリングの実装へと転換しましょう。
現代のセキュリティ侵害は、往々にして劇的な「攻撃」から始まるわけではありません。チームが既に信頼している制御をすり抜ける、静かな実行パスから始まります。今日のパイプラインにおいて、そうした実行パスの多くを占めるのがエージェント型AIです。オーケストレーションコード、ツールコネクタ、そしてデータの取得やAPI呼び出し、システム変更を行う公開エンドポイントなどです。これらを通常のアプリケーションコードと同様に扱うだけでは、もはや不十分です。本番環境に到達する前に、ゼロトラストを強制し、かつそれを「証明」するリリースゲートが不可欠です。
本稿では、エージェント時代におけるソフトウェアサプライチェーンのリスクを管理するため、NISTのゼロトラスト指針、ランサムウェアやエクスプロイトによる侵入パターンといった運用の現実を踏まえ、SDLCガバナンスを再設計します。パイプライン、変更管理、あるいはセキュリティアーキテクチャの担当者にとって、本稿はソフトウェアをリリースする前に通過すべき要件の青写真となるはずです。
エージェント型AIのワークフローは単なる「モデル」ではありません。次に何をすべきかを決定するコード、呼び出し可能なツール(内部API、チケットシステム、デプロイメントアクション)、そしてデータを提供するコネクタまでを含みます。ソフトウェアサプライチェーンの観点で見れば、これらの要素は「プログラム可能なインフラ」のように振る舞います。これらはコアアプリケーションから独立して更新され、自動化ジョブを通じて呼び出され、あるいはインターフェースを介して公開されます。
これは、依存関係のリスクに似ていますが、実行時(ランタイム)に動作するという点で、新たなサプライチェーンリスクを生み出します。
NISTはゼロトラストを、一回限りの信頼判断ではなく「継続的な検証」を求める運用モデルと定義しています。あらゆるリクエストは、アイデンティティ、デバイスの状態、リソースの機密性、観測された振る舞いといった文脈に基づいて評価されなければなりません。これにより、SDLCリリースゲートの構築方法も変わります。デプロイされたエージェント型ワークフローやオーケストレーション層を保護するために、「信頼されたネットワーク」という前提に頼ることはできません。ゼロトラストアーキテクチャは、静的な境界信頼ではなく、継続的な意思決定を重視します。(NIST Zero Trust Architecture)
結論は明白です。SDLCには、以下の3点を証明するゲートが必要です。(1) 自動化されたエージェント実行中に誰が何を行うことを許可されているか、(2) エージェントがどのデータにアクセスできるか、(3) 予期せぬ事態が発生した際にシステムがどのように監視・対応するか。もしライブラリの脆弱性スキャンだけでゲートを設けているならば、ガードする境界を間違えている可能性が高いでしょう。
ゼロトラストアーキテクチャは、「セキュリティツールを増やすこと」と短絡的に解釈されがちです。しかしNISTの記述はより構造的です。継続的な評価と強制を支えるアーキテクチャ上の構成要素を定義しており、SDLCゲートに組み込める実装の参照資料を提供しています。(NIST SP 800-207, NIST SP 800-207A)
SDLCにおける欠落ステップは、デプロイされたランタイム内に明示的な「意思決定ポイント」を構築し、リリース前にそれをテスト可能にすることです。エンジニアリング上の対策として、エージェント型ワークフローを強制的な認可境界の背後で実行すること(単なる「安全な環境」に置くのではない)、機密性の高いアクションには特定の検証を求めること、そしてエージェントが予期せぬ振る舞いをした場合に検知できるシステムにすることが求められます。NISTの資料は、暗黙の信頼ではなく、継続的な検証とポリシー駆動の意思決定を強調しています。(NIST Zero Trust Architecture, Volume A Introduction)
「環境の堅牢化(ハードニング)」のあり方も変化します。実行パスを制御するポリシー(ワークフローが呼び出せるツール)、ワークフローが満たすべき認証条件(サービスアイデンティティやデバイスポスチャ)、そして意思決定を監査可能にするロギング要件が含まれなければなりません。NISTの指針とNCCoEの実装視点は、抽象的なアーキテクチャを実用的なデプロイメントパターンへと結びつけます。(NCCoE Zero Trust, NIST Zero Trust Architecture pages)
エージェント型AIのための現代的なSDLCガバナンスモデルには、多層的なエビデンスが必要です。依存関係のリスクは依然として重要ですが、エージェント型ワークフローは「オーケストレーションアーティファクトとその権限モデル」という第二の依存関係カテゴリを追加します。つまり、「セキュリティチェック」はライブラリの既知の脆弱性を超え、ワークフローがデプロイされた後にどのように振る舞うかをカバーしなければなりません。
NISTはゼロトラスト内での継続的な評価と意思決定を強調しています。これをSDLCガバナンスに変換し、以下の3種類のゲート出力を義務付けましょう。
NCCoEの実装指針やゼロトラストアーキテクチャの参照資料は、これらを単なる形式的なコンプライアンス書類ではなく、アーキテクチャの継続的検証という概念へマッピングすることを支援します。(NIST SP 1800-35 IPD, NIST SP 800-207)
アーティファクトのタイプに応じて、レビュー責任を設計してください。
・コードと依存関係のアーティファクト:SBOM生成と脆弱性スキャンを必須とする。 ・エージェント型ワークフローのアーティファクト:権限マニフェスト、ツール許可リスト、アクションスキーマのバージョン管理を行う。 ・統合ポイント:コネクタやエンドポイントに対して、明示的なアクセス制約とテスト計画を設ける。
これは「エージェント型AIの爆発半径(影響範囲)は、何を参照し、何を読み書きできるかによって決まる」というサプライチェーンの考え方に適合します。バージョン管理された制約とテスト済みの振る舞いなしでは、パイプラインはリスクを制御できていないのと同じです。
あらゆるエージェント型ワークフローは、プロンプト、取得したコンテンツ、ユーザーリクエスト、メッセージキュー、Webhookペイロード、取得したドキュメントといった入力に依存しています。入力バリデーションは従来、アプリケーションセキュリティとして扱われてきましたが、エージェント型AIにおいては、不正な入力が実行計画を変更し得るため、リリースゲートの要件となります。
このリスクはWebページへのインジェクションに留まりません。ツール選択の操作、データ流出パスの悪用、未承認アクションの実行などが含まれます。
ゼロトラストの「継続的な意思決定」という考え方は、入力バリデーションを認可と監視を支える制御として再定義します。システムが入力内容を確実に分類・制約できなければ、そのアクションリクエストを許可すべきか判断できません。NISTのゼロトラストアーキテクチャは、静的な信頼ではなく文脈に基づいたアクセス判断を行うための概念的根拠を提供します。(NIST SP 800-207, Zero Trust Architecture overview)
敵対的な状況下でのワークフローの振る舞いを証明する入力バリデーションゲートを実装してください。最低限、以下のテストが必要です。
・スキーマバリデーション:あらゆるオーケストレーション入力(Webhook、キューメッセージ、ツールパラメータを含むプロンプトテンプレート)に対して実施。 ・アクションのセマンティック許可リスト:エージェントが特定のツールエンドポイントのみを、制約されたパラメータ範囲で呼び出せるようにする。 ・データ分類チェック:ワークフローが高機密リソースを読み取る前に実施。 ・出力フィルタリング:ポリシーと連携し、機密情報や認証情報がログやダウンストリームシステムへ流出するのを防止する。
これらの制御は、リリース前に自動化された敵対的テストスイートで検証すべきです。エビデンスは単純明快です。無効または未承認の入力に対して、ワークフローは確実に「失敗して停止(Fail closed)」し、検知可能なテレメトリを生成しなければなりません。
環境の堅牢化において、チームはしばしば後退します。CI環境、ステージング環境、本番環境がそれぞれ異なるためです。エージェント型AIワークフローでは、堅牢化には実行アイデンティティとツール権限が含まれなければなりません。
「最小権限」とは、各コンポーネントに必要なアクセスのみを許可することを意味します。エージェントによるオーケストレーションでは、以下に最小権限を適用してください。
・ワークフローが使用するサービスアイデンティティ ・外部呼び出しのためのネットワーク出口経路 ・内部APIおよびデータストアへのアクセス ・状態を変更するアクションをトリガーする権限
ゼロトラストアーキテクチャは、信頼の代用としてのネットワーク位置への依存を減らすことを目指しています。堅牢化において「本番サーバーなら十分に安全」という前提は置けません。代わりに、継続的な検証と強制をサポートするアーキテクチャを採用すべきです。(NIST Zero Trust Architecture, NIST SP 800-207A)
NISTのNCCoEは、アーキテクチャの概念を実装可能なパターンに変換するのに役立ちます。成熟度が初期段階であっても、デバイスとアイデンティティの検証、一貫したポリシー強制、中央集中型のテレメトリといったエンジニアリング要件を正当化するために活用してください。(NCCoE Zero Trust)
エビデンスゲートは、構成ドリフト(設定の乖離)の制御もカバーすべきです。例えば:
・デプロイ時の自動ポリシーチェック(権限マニフェストがランタイムポリシーと一致しているか) ・構成の証明(デプロイされたポリシーがレビュー済みのポリシーと等しいか) ・ロールバックの準備(ゲートの失敗やインシデント発生時に、既知のポリシー状態へ復元できるか)
堅牢化をリリースゲートのアーティファクトとして組み込みましょう。デプロイメントジョブは、最小権限構成とポリシーの正当性を自動的に検証し、以前に検証済みのポリシー状態へロールバックできる安全性を確保すべきです。
プロセスの再設計は遅く感じられるかもしれません。しかし、インシデントの動態が時間を圧縮する様子を目の当たりにすれば、その必要性が理解できるはずです。ランサムウェア攻撃は、多くの場合、初期アクセスから始まり、アクセス権を拡大して迅速に業務を妨害しようとします。HHS(米国保健福祉省)のCONFIランサムウェア増幅アラートは、迅速なエクスプロイトと昇格の動態を強調し、防御準備に関連する指針を参照しています。これは完全な事後分析ではありませんが、対応と予防の優先順位を明確にするためのものです。(HHS CONFI ransomware amplification alert)
ENISA(欧州ネットワーク・情報セキュリティ機関)などの業界調査によれば、現代の脅威は既知のパターンと進化するエクスプロイト技術の両方を含んでおり、予測可能で自動化された制御を持つことの運用上の価値が高まっています。(ENISA Threat Landscape 2025, ENISA 2025 booklet, ENISA threats for 2030)
SDLCにおける帰結は直接的です。迅速なロールバック、隔離、補完的な制御の強制ができなければ、パイプラインの小さなミスが急速なインシデントへと発展します。ゼロトラストは、継続的な評価と強制に焦点を当て、ポリシーから逸脱した際に厳格な封じ込めをサポートできるため、この問題の解決に寄与します。(NIST SP 800-207, NIST Zero Trust Architecture)
リリースゲートには「インシデントモードへの準備」を含める必要があります。アプリケーション全体を再デプロイすることなく、認可ポリシーやテレメトリ設定を迅速に強化(およびロールバック)できるようにし、ランサムウェアのような横方向への影響が加速する前にエージェント型ワークフローを封じ込められるようにしてください。
多くのランサムウェアシナリオにおいて、弱点は防御が存在するかどうかではありません。CI/CDサイクルを待つことなく、正しい制御プレーン(アイデンティティと認可)で、どれだけ迅速に防御を切り替えられるかです。
優れたSDLCゲートは、測定可能な「応答ウィンドウのエビデンス」を生み出すべきです。CONFIアラートをプロンプトとして使い、プレッシャーの下で何をすべきかをモデル化してください。認可の強化、ツール実行の中止、そして封じ込めを確認できる十分なテレメトリの維持です。
各エージェント型ワークフローのリリースプロセスに、3つのタイムチェックを組み込みましょう。
これにより、ランサムウェア対策の指針がエンジニアリングの証明へと変わります。単に「準備ができている」だけでなく、敵が攻撃をエスカレートさせる前に、認可と監視の制御プレーンが応答して爆発半径を制限できることを示せるのです。
エージェント型AIワークフローは、クラウドオーケストレーション上で実行されることが一般的です。Cloud Security Alliance (CSA) は、SDPアーキテクチャガイドv2を含むアーキテクチャ指針を公開しており、サービス提供やクラウド環境におけるセキュリティ制御の運用を支援しています。エージェント型ワークフローはクラウドのアイデンティティ、セグメンテーション、制御されたサービスアクセスパターンに依存するため、これらの資料は重要です。(CSA SDP Architecture Guide v2)
CSAのクラウドコンピューティングにおけるトップ脅威に関するプレスリリースは、クラウドセキュリティのステークホルダーがどの脅威カテゴリを優先すべきかという業界の枠組みを提供しています。これを用いてSDLCゲートをストレステストしてください。クラウドの脅威がアイデンティティ、誤設定、サービスの露出を強調しているなら、リリースゲートもそれらのリスク経路をカバーしなければなりません。(CSA press release, deep dive 2025)
これらの資料は2025年に特化したものであり、静的なチェックリストに頼るのではなく、その時期に強調される脅威カテゴリに合わせてゲートの更新と制御の成熟計画を策定するのに役立ちます。クラウドインフラ上でオーケストレーションを行う際は、SDLCリリースゲートをクラウドセキュリティアーキテクチャのパターン(アイデンティティ、セグメンテーション、サービスアクセスの制約)に整合させ、その整合性をオプションのレビューメモではなく、エンジニアリングのエビデンスとして扱ってください。
CISA KEV(既知の悪用脆弱性カタログ)は、運用上具体的である場合に最も有用です。「既知の悪用」を、ビルドアーティファクトのデプロイ可能性に関する決定論的な判断へと変換し、どのようにギャップを埋めたかを示すエビデンスの道筋とすべきです。
エージェント型ワークフローにとって重要なアーティファクトとKEVを紐付けるデータモデルから始めましょう。
・コネクタとツールアダプタ:各ツールエンドポイント(またはコネクタモジュール)を、呼び出すバージョンおよびトランスポート/認証ロジックを実装するライブラリとマッピングする。 ・オーケストレーションランタイム:ワークフローエンジンのバージョンやプロンプト/ツールスキーマを、デプロイされるパッケージやポリシー決定コンポーネントとマッピングする。 ・外部依存関係:呼び出すサービス(チケットAPI、ドキュメントストアなど)を、クライアントライブラリ/SDKおよび悪用される可能性のあるランタイム設定とマッピングする。
その上で、明確な成果を伴うリリースゲートを実装してください。
この決定を最上位のアーティファクトとして記録してください。KEVゲート記録には、(a) KEVエントリーID、(b) 一致したSBOMコンポーネント、(c) ゲート決定(ブロックまたは正当な理由付き許可)、(d) 修正または補完的制御のエビデンス参照、(e) 暫定許可が恒久的なリスクにならないよう、例外の有効期限を含めるべきです。
エージェント型ワークフローに対してKEVを意識したゲート制御を決定論的なものにしてください。KEVをコネクタやオーケストレーション実行パスにマッピングし、検証済みの修正やポリシーによる補完的制御がない限りブロックし、監査人がCI出力まで追跡可能な機械可読な決定レコードを生成しましょう。
ソフトウェアサプライチェーンのリスクは、依存関係、推移的パッケージ、ビルド時のサプライチェーン攻撃といったおなじみの形状をしています。エージェント型AIへのシフトは、第二のサプライチェーン層を追加します。それは、ワークフローと、それが制御可能なシステムとの間の「権限とツール使用の契約」です。モデルの更新よりも、コネクタの変更、新しいエンドポイントの追加、あるいはワークフローができることを密かに拡大する許可リストの拡張の方が、重要である可能性があります。
NISTのゼロトラスト資料は、権限の範囲をセキュリティアーキテクチャの一部として扱うことを正当化するのに役立ちます。アーキテクチャは、システム全体にわたるポリシーの強制と検証をサポートするように構成されているからです。したがって、SDLCゲートは権限設定をセキュリティクリティカルなアーティファクトとして扱い、バージョン管理、レビュー、テストの対象とすべきです。(NIST Zero Trust Architecture, NIST SP 800-207A)
クラウド環境におけるエージェント型ワークフローはサービス提供パターンやアイデンティティ制御に依存するため、CSAの指針も依然として重要です。SDPアーキテクチャガイドv2は、抽象的なセキュリティ制御を実装可能な設計や運用上の期待値に変換するための参照として機能します。
依存関係ガバナンスを更新し、ライブラリのSBOMだけでなく「エージェント権限SBOM」を含めるようにしてください。権限範囲が変更されたにもかかわらず、適切なセキュリティレビューやランタイムテレメトリ計画が伴わない場合、ゲートは失敗すべきです。
以下に、SDLCを全面的に書き換えることなく実装できるゲートのセットを示します。既存のパイプラインステージを維持しつつ、「合格」の定義を再定義してください。
コミットからビルドアーティファクトまでの追跡、およびソフトウェアコンポーネントのSBOM生成を要求します。エージェント型ワークフローについては、バージョン管理された権限マニフェストとツール許可リストも必須とします。NISTのゼロトラストは継続的な検証を重視するため、エビデンスにはビルド時のアーティファクトと、それに関連付けられたセキュリティポリシーを含めるべきです。(NIST SP 800-207, NIST Zero Trust Architecture)
入力バリデーションのカバー範囲には、プロンプト/ツールパラメータのファジングや、ツール呼び出しのスキーマテストを含めます。テストが失敗した場合は「失敗して停止」させます。これは、システムが正常なパスだけでなく、異常な入力下でもポリシーを強制することを実証し、「継続的検証」の概念に適合させます。(NIST SP 800-207A)
このゲートを、単なる「テスト実行ログ」ではなく、合否指標で運用可能にしてください。
・ポリシー拒否率:無効または未承認のツール呼び出し試行スイートにおいて、ワークフローは99%以上(ワークフローのリスク階層ごとに目標を設定)を拒否し、ダウンストリームログに機密情報を出力してはならない。 ・制御表面のカバー範囲:どれだけのツールエンドポイント、パラメータスキーマ、認可コンテキストが検証されたかを記録し、そのワークフローの定義された最小値を下回った場合はリリースをブロックする。
デプロイ中、設定されたポリシーがレビュー済みの権限マニフェストと一致しているかを確認します。認可判断およびツール呼び出しのテレメトリ有効化を要求します。NISTのゼロトラストアーキテクチャは、継続的な評価と監視のための概念的根拠を提供します。(NIST Zero Trust Architecture, Volume A Introduction)
ゲートのエビデンスには以下を含めます。
・マニフェストハッシュの比較(承認済みマニフェストハッシュとデプロイ済みマニフェストハッシュが一致すること) ・強制ポイントが標準化された認可決定イベント(許可/拒否および理由コード)を送信することの検証 ・デプロイ後の「カナリア許可/拒否」テスト(少なくとも1つの良性アクションが許可され、1つの不許可アクションが拒否されることを確認するテスト)
依存関係やコネクタにKEV脆弱性が適用される場合、修正または補完的な制御がない限りリリースをブロックします。エビデンスログを使用して緩和状況とポリシー強化の状況を示してください。KEVの運用は、ゼロトラストの継続的強制と一貫性を持たせるため、セキュリティポリシー決定の運用方法に基づかなければなりません。(NIST SP 800-207)
まずは1つのワークフロータイプから始めてください。ゲート2とゲート3を先に実装し、テレメトリが未承認のアクションを検知できると証明された段階で、KEVを意識したブロッキングを追加します。これにより、すべてのソフトウェアデリバリを停滞させることなく、「サイレントな権限拡大」のリスクを低減できます。
この再設計を運用に乗せるには、所有権を明確にし、ゲートの変更を測定可能にすることです。最も効果的なポリシーは、セキュリティアーキテクチャチームとプラットフォームエンジニアリングチームが共同で、本番リリース前にエージェント型ワークフローのアーティファクト、権限マニフェスト、入力バリデーションテスト要件、ゼロトラストポリシー証明のエビデンスを含む単一のSDLCリリースポリシーを公開することです。NIST SP 800-207をアーキテクチャの根拠とし、NCCoEの実装視点を活用して実用的な制御へと変換してください。(NIST SP 800-207, NCCoE Zero Trust IPD)
現実的なタイムライン:
・次四半期末まで:主要なエージェント型ワークフロー上位2つにおいて、権限マニフェストのバージョン管理とツール呼び出しのランタイムテレメトリを実装し、CIでのスキーマバリデーションテストを強制する。制御不能な実行パスを防ぐため、これが最も迅速なリスク低減への道です。 ・6ヶ月以内:デプロイ時のポリシー証明を追加し、対象となるコネクタやオーケストレーションの依存関係において、KEVを意識したブロッキングをCIリリースゲートで強制可能にする。 ・9〜12ヶ月以内:すべてのエージェント型ワークフローへゲートを拡大し、ポリシー強化とロールバック準備を活用して、迅速な侵害封じ込めをシミュレーションする演習を実施する。
セキュリティはもはや、特定の部署だけの仕事ではありません。パイプラインにおいて「合格」が何を意味するのか、その定義そのものなのです。ゲートが強制を証明できる時のみ、出荷してください。