Infosecurity Europe：OWASPがエージェント型AIセキュリティ成熟度フレームワークを発表

Open Worldwide Application Security Project（OWASP）は、組織がエージェント型AIシステムの運用とそのガバナンスとの間にあるギャップを埋めるための新しいセキュリティ成熟度フレームワークを公開しました。

このフレームワークは、OWASPのGenAI Security Projectが6月3日に発表した最新ペーパー「State of Agentic AI Security and Governance」に収録されており、増え続けるルール集ではなく、実践的な意思決定ツールとして位置づけられています。

Pillar SecurityのCTOオフィスに所属するAIセキュリティ研究者であり、本レポートの共同リードを務めるAriel Fogel氏は、6月4日にInfosecurity Europe 2026で開催されたOWASP GenAI Security Summitにてこの新フレームワークを紹介しました。

この新しいガイダンスは「Enterprise Adoption Maturity Model（エンタープライズ採用成熟度モデル）」と名付けられています。

「多くの組織では、エージェントをガバナンスが追いつかないスピードで導入しています。ガバナンスはいまだにAIコパイロット向けに設計された成熟度レベルで運用されているのに、チームはカスタムのマルチエージェントシステムを構築・運用しています」とFogel氏は述べています。

OWASPのエージェント型AIセキュリティ成熟度モデルの仕組み

このフレームワークは、ガバナンスの課題を2つの連動した軸で整理しています。一方の軸は「何を導入しているか」を示し、シャドーAIや単一ベンダーツールから始まり、カスタムエージェント、さらにはマルチエージェント・フェデレーテッドシステムまでを段階的にカバーしています。

エージェント型AI採用のレベルは、以下の6段階で定義されています。

• AT0 – シャドーAI：組織としての認識や承認なし。ユーザーがガバナンスの外でAIツールを自己導入
• AT1 – ベンダー組み込みアシスタント：完全にベンダーが管理。構築ではなく利用するもの
• AT2 – プラットフォーム統合型：自組織のデータを使うAIネイティブプラットフォーム。任意コードの実行は不可
• AT3 – シチズンデベロッパー型エージェント：ローコード／ノーコードプラットフォーム。ユーザーがフローとプロンプトを設定し、コードは不要。実際の組織データに対してアクションを実行
• AT4 – コード実行型エージェント：ローカル／クラウドの権限でコードを生成・実行
• AT5 – カスタム内製エージェント：自社で構築し、アイデンティティ・ツール・境界を自社で管理

もう一方の軸はガバナンスの成熟度を測るもので、場当たり的なプロセスから継続的なモニタリングと適応型自動適用まで段階的に定義されています。

成熟度のレベルは、以下の4段階で定義されています。

• レベル0 – 無認識・場当たり対応：従来のAIを超えるエージェント型AIのガバナンス／セキュリティリスクを正式に認識していない。シャドーITでの実験にはポリシー、AIソフトウェア部品表（SBOM）、ガードレールがなく、ログも最小限でインシデント対応も一般的なIT対応にとどまる
• レベル1 – ガードレールなしの実験：単一エージェント／小規模ワークフローのパイロットプロジェクトに、自律性の限界・意思決定の範囲・エスカレーション基準が未定義。汎用AIポリシーと散発的なレッドチーミングによるガバナンスで、継続的モニタリングやリスク分類がなく責任の所在も曖昧
• レベル2 – ポリシー定義・人間参加型：ユースケースをEU AI ActやGDPRなどの規制にマッピングした正式ポリシーを整備。影響度の高い意思決定には人間の関与を義務付け。CAIO等の担当責任者を明確にしたクロスファンクショナルなガバナンスを構築。ログ・バージョン管理・AI-SBOMを整備しているが、モニタリングは定期実施
• レベル3 – 統合型・継続的監視：エージェント型AIを重要インフラとして位置づけ、規制対象領域全体にリスク層別ワークフローと自律性ラダーを適用。リアルタイムダッシュボードでドリフト／異常を追跡し、キルスイッチで自律性の一時停止が可能。ガバナンスをコードとして実装し、AIライフサイクル全体で機械可読なポリシーを適用

エージェント型AI採用と成熟度のマッチ・ミスマッチの評価

この2つの軸を組み合わせることで、各エージェント型AIワークフローについて、ガバナンスが導入実態に見合っているか、あるいはエージェントの動作をガバナンスが把握できていないかを組織が判断できます。

Fogel氏はこれを表形式で示し、ガバナンスが導入状況に見合っている「グリーン」ゾーン、セキュリティ・ガバナンスチームが完全な監視を持てない可能性がある「イエロー」ゾーン、適切なガバナンスレベルを欠いたまま導入が進んでいる「レッド」ゾーンとして説明しました。

「レッドのセルでは運用しないでください」とFogel氏は警告しています。

このフレームワークの運用ロジックは明快です。組織はエージェントを導入軸上に配置し、ガバナンスの成熟度がそれに対応しているかを確認します。

ガバナンスが不十分な場合、フレームワークは2つの実践的な対応策を示します。エージェント型システム専用のコントロールへの投資か、既存のコントロールで対応できる水準まで当該エージェントの権限と自律性を縮小するかのいずれかです。

本ペーパーでは、必要なコントロールは従来のセキュリティ対策を単に強化したものではないことが強調されています。

Fogel氏の言葉を借りれば、エージェントはマシンのスピードとスケールで動作するため、チームにはエージェントのワークロードと同等のスピードで動作できる監視インフラが必要だということです。

具体的には、ライブ行動ベースライン、リアルタイムの封じ込め・停止機構、安全チームとセキュリティチームをまたいだインシデントレスポンスの連携、そして各アクションのトレースと制限を可能にするアイデンティティ衛生の向上（エフェメラルクレデンシャルや暗号的証明など）が求められます。

エージェント型AIガイダンスを実際に行動につなげる方法

OWASPのGenAI Security ProjectおよびAgentic Security Initiativeの共同リードかつボードメンバーであるJohn Sotiropoulos氏は、この新フレームワークが人的・組織的な摩擦を軽減することも目指していると強調しました。

「次から次へと情報を提供することで、私たちはある種の認知的な負担を課しています」と述べ、大量かつ頻繁に更新されるガイダンスは多忙なチームには使いこなせなくなると警鐘を鳴らしました。

同氏はフレームワークのシンプルな意思決定スタンスを推進し、使用中の最も高度なエージェントを把握し、最もリスクの高いワークロードを優先し、より迅速で異なるコントロールへの投資か導入の制限かを判断するよう訴えました。

Sotiropoulos氏はガバナンスの強化をより広いビジネス目標とも結びつけ、「実際にどうすればイノベーションを加速できるのか。AIを隠れて使わないことが脆弱性だと思います」と語りました。

適切なガバナンスは単にAI導入をブロックするものではなく、安全な採用を可能にするものだと同氏は主張しています。

最後にFogel氏は、AIの安全性とセキュリティが導入レイヤーで収束しつつある点を強調しました。安全上の問題を生むアーキテクチャ上の選択は、多くの場合セキュリティ上の問題も引き起こします。この成熟度フレームワークは、実際のインシデント時の誤診を防ぐため、テレメトリとインシデントプレイブックの整合を促しています。