Nomaは「Noma Agent Access Control」の提供開始を発表しました。このソリューションは、企業全体でAIエージェントとModel Context Protocol(MCP)サーバーのアクセスポリシーを検出・管理・適用するうえで、セキュリティチームを支援します。
AIエージェントとMCPサーバーは、既存のガバナンスフレームワークが想定していた以上の速さで開発者環境に普及しています。わずか12か月足らずの間に、企業は少数のエージェントを試験的に利用する段階から、数十、場合によっては数百ものエージェントを稼働させる段階へと移行しており、それぞれが機密データに接続してユーザーの代わりにアクションを実行しています。このカオスを収拾するには、何が稼働しているかを検出し、アイデンティティを確立し、ポリシーを自動的に適用できるツールが必要です。
「各エージェントが何を許可されているかを把握することが、ガバナンスの基盤となります」と、NomaのCEOであるNiv Braunは述べています。「しかし、エージェントは実行時に受け取るプロンプト、呼び出すツール、取得するデータなど、あらゆる要素の影響を受けます。悪意ある入力が一つあるだけで、どのアクセスポリシーも想定していない形でエージェントの動作を誘導し、正当に付与された権限を悪用させることが可能です。完全なガバナンスとは、ルールを定義し、そのルールが守られているかを継続的に検証することを意味します。Noma Agent Access Controlが最初のレイヤーを提供し、AI Detection and Responseが2番目のレイヤーを担います。」
セキュリティチームは、把握できていないものをガバナンスすることはできません。Noma Agent Access Controlは、組織内のすべてのエージェントとMCPサーバーの完全なインベントリを自動的に構築し、それぞれがアクセスできる内容を制御し、初日からその状態を常に最新に保ちます。これにより、数週間にわたる手動作業は不要となり、見落としも生じません。
エージェントのガバナンスには2つのレイヤーが必要です。アクセス制御が境界を定義し、ランタイムの適用がその境界を維持しているかを検証します。
レイヤー1:レジストリとアクセス制御
主な機能は以下のとおりです:
エンタープライズ・エージェント型レジストリ。 すべてのエージェント、接続されたMCPサーバー、ツールが、コンテキストを付帯した状態でダイナミックなレジストリに集約されます。各サーバーが公開している内容、どのエージェントが接続しているか、現在のセキュリティポリシーに照らした状態が一覧で確認できます。レジストリはリアルタイムで継続的に更新されます。
エージェントアイデンティティ。 Noma Agent Access Controlは、各自律エージェントがMCPサーバーやツールに接続する際に、明確で追跡可能なアイデンティティを付与します。共有認証情報や過剰な権限を持つサービスアカウントで運用するのではなく、すべてのエージェントのアクションが特定のアイデンティティに紐付けられます。
柔軟なガバナンスモデル。 セキュリティチームは、各エージェントとMCP接続を「承認済み」「レビュー必要」「ブロック済み」の3つの状態のいずれかに設定できます。承認済みのリソースはフリクションなしで接続できます。レビューが必要なアイテムはリスクコンテキストとともにキューに表示されます。ブロックされたリソースは、都度の手動介入なしに自動で接続が遮断されます。
ツールレベルの制御。 同一のMCPサーバー内のすべてのツールが同等のリスクを持つわけではありません。一つのサーバーが、安全な読み取り専用ファイルツールと、レコードを削除したりメールを送信したりできるツールを同時に提供している場合があります。Noma Agent Access Controlを使えば、システム全体ではなく個々のツールを承認またはブロックでき、ツール・エージェントタイプ・ユーザー・チーム・環境という細かい粒度でポリシーを適用できます。
レイヤー2:ランタイムの適用
エージェントに何を許可するかを定義することでポリシーのベースラインが確立されますが、実際にそれを適用するにはさらなる対策が必要です。エージェントは実行時に外部ソースからの入力を取り込みます。ユーザーのプロンプト、ツールのレスポンス、接続されたシステムから取得したデータなどがその例です。これらの入力はいずれも操作される可能性があります。プロンプトインジェクション攻撃、侵害されたツールレスポンス、複数のリスク要因の組み合わせによって、エージェントの動作をセッション途中で誘導し、ポリシー上は許可されているものの、実際のタスクには不要なアクションを実行させることが可能です。
脅威が単一のアクションとして現れることはほとんどありません。ある手順で顧客レコードを取得し、3手順後にその概要を外部アドレスに送信するエージェントは、技術的にはその両方を許可されていた可能性があります。リスクが明らかになるのは、一連のアクションをまとめて把握したときです。
NomaのAI Detection and Response(AI-DR)を活用することで、組織はすべてのエージェントセッションの完全な動作チェーン(プロンプト、ツール呼び出し、データアクセス、実行されたアクション)を監視できます。プロンプトインジェクション、データ漏洩、スコープ違反をリアルタイムで検出します。AI-DRはAgent Access Controlとコンテキストを直接共有しているため、プラットフォームは各エージェントが何を許可されているかと、実際に何をしているかの両方を把握できます。この2つのレイヤーが連携することで検出精度が向上し、誤検知が減少します。
