マイクロソフトは、Windows上で自律型AIエージェントを保護する新しいセキュリティアーキテクチャを発表しました。Build 2026において、Microsoft Execution Containers(MXC)SDKを披露しています。
この動きは、業界全体で高まりつつある懸念を反映したものです。AIエージェントは受動的なアシスタントから、コードの実行やファイルへのアクセス、ワークフローの統制まで担う自律型システムへと進化を遂げつつあり、それに伴って重大なセキュリティおよび信頼性の課題が生じています。
マイクロソフトの最新の取り組みは、Windowsを「エージェントにとって信頼できるOS」と位置づけ、封じ込め・ID管理・ガバナンスをOSレベルに組み込むものです。
AIエージェントを保護するMicrosoft Execution Containers
AIエージェントは、動的かつ非決定的な挙動で稼働するケースが増えており、実行時にコードを生成・実行することも珍しくありません。この変化は、アプリケーションが予測可能な境界内で動作するという従来のセキュリティ上の前提を崩すものです。
これに対し、現代のエージェントは複数のシステムにまたがってアクションを連鎖させ、環境を操作し、機密性の高い企業データともやり取りを行います。マイクロソフトは、こうした能力に組み込みの安全策がなければ、組織は制御不能なリスクに大規模にさらされかねないと強調しています。
この課題に対応するため、マイクロソフトはAgent 365とMXCを通じてポリシー主導の制御を統合し、組織がAIエージェントにアクセス・実行を許可する範囲を厳密に定義できるようにしています。
これらの制御は実行時に強制されるため、動的に生成されたエージェントの挙動であっても、事前に定義されたセキュリティポリシーに確実に準拠します。このアプローチは、どのプロセスも検証や制約なしに本質的に信頼されることはないとするゼロトラストの原則に沿ったものです。
このモデルの中核にあるのがMXC SDKです。これは複雑な分離メカニズムを抽象化するクロスプラットフォームの実行レイヤーです。開発者が低レベルなサンドボックス技術を管理する必要はなく、MXCを使えば制約を宣言的に定義するだけで、Windowsがそれを一貫して強制します。これにより、パフォーマンスと使いやすさを維持しながら、セキュアなAI駆動型アプリケーションの構築にかかる複雑さを大幅に軽減できます。
MXCの主な機能
- プロセス分離:エージェントによるファイル、システムリソース、ネットワークドメインへのアクセスを制限する軽量な封じ込め機能で、コーディングエージェントなどの開発者向けツールに適しています。
- セッション分離:エージェントの実行をユーザー環境から分離し、UIなりすまし、入力インジェクション、セッション間でのデータ漏えいといったリスクを軽減します。
- ID属性の付与: Microsoft Entraを通じてローカルまたはクラウドに紐づく固有のIDを割り当て、エージェントの動作を正確に追跡・監査できるようにします。
- ポリシー適用:Microsoft Intuneとの統合により、管理者がきめ細かなセキュリティポリシーとライフサイクル管理を適用できます。
- クロスプラットフォーム対応:Windows Subsystem for Linux(WSL)にも対応し、Linuxベースのワークロードを安全に実行できます。
GitHub Copilot CLIはすでにMXCのプロセス分離モデルを採用しており、動的に生成されたコードを制約するこうした制御の実用例を示しています。これは、広く使われている開発者向けツールにセキュリティを組み込み、採用を後押しするというマイクロソフトの戦略を浮き彫りにしています。
封じ込めモデルの概要
| 封じ込めの種類 | セキュリティレベル | 用途 | 主なメリット |
|---|---|---|---|
| プロセス分離 | 中程度 | コーディングエージェント、高速実行タスク | オーバーヘッドが少なく高速 |
| セッション分離 | 高 | 長時間実行のワークフロー、自動化処理 | ユーザー環境からの強力な分離 |
| マイクロVM(計画中) | 非常に高 | 機密データ処理、信頼できないコード | ハードウェアによる分離 |
| Linuxコンテナ(WSL) | 柔軟 | ML用ワークロード、Linuxベースのエージェント | エコシステムとの互換性 |
| クラウド分離(Windows 365) | 最大 | エンタープライズ規模でのエージェント展開 | クラウドPCによる完全な分離 |
マイクロソフトは、ハイパーバイザーベースの分離を活用してサンドボックス脱出のリスクを軽減するマイクロVMなど、将来の封じ込めモデルの開発も進めています。大規模言語モデルが脆弱なサンドボックス機構を回避しうることが研究で示されつつある中、この分野は注目を集めています。
さらに、Windows 365 for Agentsとの統合により、使い捨て可能なクラウド環境内での実行が可能になり、たとえエージェントが侵害された場合でもローカルシステムに影響が及ばないようにしています。
セキュリティ強化は封じ込めにとどまりません。Windows Defenderには現在、プロンプトインジェクション攻撃への対策も組み込まれており、パスキーやセキュアブート、Rustベースのドライバー、耐量子暗号といったプラットフォームレベルの機能によって攻撃対象領域をさらに縮小しています。これらの組み込み型の防御機能により、追加設定を行わなくてもエージェントは強化されたセキュリティの基盤を継承できます。
マイクロソフトは、NVIDIA、OpenAI、Nous Researchなどのエコシステムパートナーと協力し、セキュアなエージェント実行の標準化に取り組んでいます。
OpenShellやHermes Agentといったツールはすでにmxcと統合しており、ガードレールを強制しながら常時稼働する自律型エージェントを実現しています。このエコシステム主導のアプローチにより、実際の開発者ワークフローとの互換性を保ちながら、エンタープライズ級のセキュリティを維持しています。
MXCとAgent 365によって、マイクロソフトはAI時代におけるエンドポイントセキュリティを事実上再定義しつつあります。封じ込め、ID管理、ガバナンスをWindowsに直接組み込むことで、同社は組織が制御や信頼性を損なうことなくAI導入を拡大できるようにすることを目指しています。
AIエージェントが企業活動に不可欠な存在になるにつれ、こうしたOSレベルのセキュリティ革新は、任意の追加機能ではなく基盤的な要件になっていくとみられます。
Interact with Cyber Threats in Windows, Linux, macOS VMs to Trigger Full Attack Chain - Analyse Malware & Phishing with ANY RUN
翻訳元: https://gbhackers.com/microsoft-introduces-execution-containers-to-secure-ai-agents/