Microsoft、AIエージェント向けにWindowsプラットフォームのセキュリティ制御を追加

Microsoftは、企業システムや消費者向けシステム全体で自律性を高めつつあるAIエージェントを制御するため、Windows向けの新しいセキュリティ基盤を導入しました。

Build 2026で発表されたこの更新の中心となるのは、Microsoft Execution Containers(MXC)SDKです。これは、機能性を損なうことなくエージェントの動作をサンドボックス化するために設計された、ポリシー駆動型の実行レイヤーです。

AIエージェントは、単純な質問応答型のツールという枠を超えて進化しています。現在では、人間による監視をほとんど介さずに、ファイルの読み取りやサービスの呼び出し、複数システムをまたいだ操作の連鎖を行うようになっています。

エージェントは実行時に動的にコードを生成することが多いため、その動作は非決定的になり、従来のアプリケーションセキュリティモデルでは不十分になっています。

Microsoftが打ち出した解決策は、アプリレベルやモデルレベルの保護策だけに依存するのではなく、コンテインメント(封じ込め)、ID管理、および管理性をWindows OSレイヤーに直接組み込むというものです。

GitHub上で早期プレビュー版として公開されたMXC SDKは、Windowsの分離プリミティブに対する抽象化レイヤーを開発者に提供します。低レベルのサンドボックス化を手動で管理する代わりに、開発者は制約条件を定義するだけで済み、Windowsがランタイム時にそれを一貫して適用します。

この「構成可能なサンドボックス」というアプローチにより、異なるワークロードをリスクに応じて異なる封じ込めレベルに割り当てることができます。そのため、コーディングエージェントとエンタープライズのデータ処理エージェントは、単一の一貫した信頼モデルを共有しながら、それぞれのニーズに合った防護策を得ることができます。

今回の初期プレビューでは、2つの分離モデルが提供されます。プロセス分離は、モデルが生成したコードを制限されたプロセス境界内で実行するようなシナリオに対して、軽量かつ高速な封じ込めを提供するもので、応答性が最も重視されるコーディングエージェントに最適です。

GitHub Copilot CLIは既にこのアプローチを採用し、動的に実行されるコードを制約しています。セッション分離は、エージェントの実行環境を人間のユーザーのデスクトップ、クリップボード、入力デバイスから分離するもので、UIスプーフィングや入力インジェクションを緩和します。

セッションは、ローカルIDまたはEntraに紐づくクラウドIDのいずれかの、それぞれ異なるIDのもとで実行されるため、人間とエージェントの活動を明確に区別できるようになり、完全な監査可能性が確保されます。

Microsoftはまた、今後追加予定のMXC機能もプレビューとして公開しています。ハイパーバイザーによるハードウェア分離を用いるマイクロVMは、LLMがサンドボックス脱出の手法を開発しているという新たな研究動向を踏まえ、より高リスクなワークロードを対象としています。

Linuxファーストのエージェントツールチェーン向けには、WSLを介したLinuxコンテナのサポートが計画されています。また、現在一般提供されているWindows 365 for AgentsとのMXC統合により、封じ込め機能がIntune管理の使い捨てクラウドPCにも拡張され、侵害が発生してもローカルデバイスから分離できるようになります。

これらの封じ込め用プリミティブは、Microsoft EntraとIntuneを通じてポリシーベースの制御を適用するMicrosoft Agent 365と連携します。ITチームは、既存のIntuneポリシー基盤を通じて、ファイルシステムアクセスルールなどのMXC分離要件を適用でき、Windows上でローカルに動作するエージェントに対する可視性とガバナンスを拡張できます。

Microsoftは、OpenClaw、OpenShellフレームワークを通じたNVIDIA、Hermes Agent、OpenAI、Manusと提携し、実際のエージェントワークロードに対してこの封じ込めモデルの検証を進めています。

OpenClawは現在、そのノードとゲートウェイをMXC経由でWindows上で稼働させており、一方NVIDIAのOpenShellは、自律的かつ常時稼働のエージェントにMXCベースの展開をもたらしています。

MicrosoftはMXCを、自社のSecure Future Initiativeの延長線上にある取り組みと位置づけており、パスキー認証、Rustベースのドライバー、耐量子暗号、セキュアブートといった既存の保護機能の上に、エージェント固有の制御機能を重ねる形になります。

Windows Defenderは現在、コンシューマー向けシステムを含むすべてのWindowsエディションにおいて、プロンプトインジェクション攻撃をリアルタイムで検知する機能も提供しています。これらのシステムでは、Defenderが主要なウイルス対策ソフトとして使われています。

翻訳元: https://cyberpress.org/microsoft-windows-platform-security-controls/

ソース: cyberpress.org