出典:Alamy Stock Photo経由のKittipong Jirasukhanont
AI部品表(AI BOM)は、非常にシンプルな質問に答えるために設計されています。このAIテクノロジーには何が含まれているのか?ソフトウェア部品表(SBOM)と同様に、システムの構築に使用されたすべての要素を文書化します。これには、モデル、データセット、フレームワーク、およびAIが構築される依存関係が含まれます。サプライチェーンリスクを追跡し、コンポーネントが侵害された場合に迅速に対応するには、これらを認識することが重要です。
しかし、AIエージェントは異なります。なぜなら、リスク追跡にはコンポーネントを超えた新しい側面が追加されるからです。エージェント対応AI BOMは、コンポーネントを文書化するだけでなく、自律的なアクションを説明する属性も文書化する必要があります。
「委任されたエージェンシーでは、セキュリティ上最も重要な依存関係はモデルとデータではなく、アクションパスウェイになります」と、Kamiwaza AIのAI副社長であり、NISTのAIリスク管理フレームワークに貢献するKriti Tallamは述べています。「それが意味することは、行動アーティファクトです。ツールスキル、プロンプト、ポリシー、ワークフロー定義です。」
このように、AI BOM文書化は、より難しい質問のセットに答えるのに役立つ必要があります。エージェントはどこで運用されているのか、何をしているのか、そしてそうすべきなのか?
アーティファクト対権限の問題
CycloneDXとSPDXなどの現在の標準はアーティファクト系統ツールです。AIシステムの構築に使用されたすべての入力のストーリーを示します。これは従来のソフトウェアには価値がありますが、エージェント型AIが実行の要素を追加する際に重大なギャップが残ります。[規制当局と標準団体がAI BOMを現実にするもので行っていることについて詳しく読む]
Tallamが指摘するように、これはサプライチェーンがモデルとデータを超えてランタイム動作に拡張されることを意味します。OWASP AIBOM Generatorの指導者の一人であるHelen Oakleyは、文書化が現在アーティファクト系統と権限系統の2つの主な領域をカバーしていることを意味していると述べています。最初のものはどのコンポーネントが存在し、どこから来たのか、そして既知の脆弱性が含まれているかどうかを尋ねています。これらの属性は、AI BOMsの最初の標準によって既にカバーされているものです。2番目のものは、実行されたら決定権がシステムを通じてどのように移動するかを尋ねています。これらは、エージェント型AI BOMsが対処し始める必要があるものです。
「自律型システムでは、サプライチェーンは動的ランタイム側面を含むように進化します」と、彼女は最近書きました。「AIシステムがランタイムで決定を生成および構成する際、サプライチェーンは、実行中に権限がどのように委任、伝播、および制限されるかについても説明する必要があります。」
追加フィールドとランタイムインストルメンテーションがなければ、AI BOMsは現在、マルチエージェントチェーン全体で意思決定権限がどのように伝播されるかを文書化できません。この種の可視性がなければ、どのエージェントがどのツールを呼び出したのか、委任された権限は何か、そしてそのチェーンが元々意図された境界内に留まったかどうかを判断することはほぼ不可能です。Oakleyが言うように:「アーティファクト整合性は、自動的に制限された権限伝播を意味しません。」
エージェント型デプロイメントは、組織がチェックされないエージェントが非常に費用のかかる間違いを起こすことにつながるリスクをより適切に管理できるように、権限化をキャプチャする文書化が必要です。その危険性の一つの明白な例は、PocketOSで起こったばかりです。そこでは、AIコーディングエージェントが本番データベース全体とすべてのボリュームレベルバックアップを1つのAPIコールで削除しました。このような障害は、より良いアーティファクト文書化またはフロー修復によって予見することはできませんでした。
「エージェントは正当なRailway APIキーを持っていて、認証情報の不一致として読む必要があるもの、未使用のリソースをクリーンアップすることにしました。ソフト削除を完全にバイパスしました。確認ステップもなく、環境チェックもなく、何もありません」と、セキュリティアドバイザーのAndrew Stormsは最近の記事でエージェント型セキュリティ境界について書いています。「認可モデルが失敗しました。」
エージェント対応AI BOMに必要なもの
エージェント型リスク管理の核心に到達するには、エージェントが何をすることが認可されているかを追跡するだけでなく、それが操作する身元と決定を統治する制約も追跡する必要があります。研究コミュニティと実践者コミュニティは、エージェント型AI BOMがこれを現実にするために何をキャプチャする必要があるかをまだ絞り込んでいます。
2026年3月の論文は、オックスフォード大学とシスコの研究者による、エージェント型AI BOMsに正しい要素を統合するための実用的な出発点を提供しています。彼らは、実行コンテキストとエージェント型意思決定をキャプチャするように設計されたCycloneDXおよびSPDXへのスキーマ拡張を提案しました。既存の部品表標準と調整された方法で、既存のツールに折り込むことができます。これはエージェント型観測性にとって勝利であるだけでなく、彼らの評価は、静的依存関係データにランタイム証拠を追加することが再現性と脆弱性評価精度の両方を改善することを発見しました。
しかし、彼らのスキーマはエージェントが何をしたかをキャプチャしますが、必ずしもそれが何をすることが許可されたのか、またはこれら2つのことがどのように分岐するかを知る方法ではありません。Stormsは、エージェント型セキュリティ境界は5つのことの結合であると述べています。身元スコープ、ツール権限、ネットワーク出口ポリシー、アクションレベルの認可、および監査。彼は具体的にAI BOMsについて話していなかったが、彼の内訳は実際に、彼らの文書化が拡張する必要がある追加エリアのための良いスケッチを提供することができます。
最終的に、目標はAI/ML、インフラストラクチャ、セキュリティチームがすべて同じページから機能するのを支援することです。これにより、システムの脅威モデリングを開始し、自律的なアクションを適切に文書化して制御する制御された環境を構築できます。
「これを実行しているリーダーのための有用なリトマステストは、あなたのチームに、「最も使用されている内部エージェントが明日、技術的に対応できる最も破壊的なことをすることに決めたら、何が起こるか」と尋ねることです」と、Stormsは言います。「答えは、到達できるシステムとそれが取ることができるアクションの特定の短いリストであるべきです。誰かが意図的にスコープを設定したため短いです。」
CISOが今できること
今日のAI BOM標準には、能力スコープ、アクションレベルの認可、または行動ベースラインのフィールドがありません。しかし、CISOsは、エージェント型対応AI BOMsを支える文書化慣行の構築を開始するために、完璧なフレームワークを待つ必要はありません。
Tallamは基本から始めることを推奨しており、AIシステムを実験ではなく製品として扱うことです。[AI BOMsを最新のセキュリティプログラムで使用可能にするために必要な5つのことを読むおよび2026年はAI部品表が本物になる年か?セキュリティリーダーが現在の可視性の課題にどのように対処しているかを確認するために。]
「シンプルなレジスターを作成すると、どこでモデルを使用したのか、どのデータが接続し、どのツールコールがあるのか、誰がそれらを所有しているのか。それ自体がポリシーです」と彼女は言います。
権限とテレメトリを超えて、組織はデプロイされたAIシステムの承認された行動ベースラインを文書化し、ドリフトがどのようなものかを定義する必要があります。非決定論的なシステムからのすべての出力を予測することはできませんが、予想される行動範囲を定義し、エージェントがそれから逸脱するときにフラグを立てることができます。良いニュースは、Tallamが述べているように、非決定論はコントロール不可能を意味する必要がないということです。
「非決定論的推論は、アクション空間が決定論的で制約されていれば問題ありません」と彼女は言います。「すべてのトークンを予測しようとしないでください。すべてのアクションを予測可能、許可、属性可能、および監査可能にしてください。」
最終的に、CISOsが現在行う仕事は行動ベースラインを文書化し、エージェント身元コントロールを確立し、認可境界をキャプチャすることで、彼らはエージェント対応標準が到着したときに先を行くことができます。
Oakleyが書いたように:「我々が観察することを選択することは、我々が統治することができるものを定義します。」
翻訳元: https://www.darkreading.com/cyber-risk/how-cisos-should-prep-for-agentic-ready-ai-boms
