マイクロソフトは、Windows 11の最新開発者プレビュー版で実験的なエージェンティックAI機能を展開しており、ユーザーが日常的な作業を自動化できるようにしていますが、不適切なセキュリティ管理は利点よりも大きなリスクを生む可能性があると警告しています。
この実験的機能「エージェントワークスペース」は、ユーザーがAIエージェントにアプリケーションやデータへのアクセスを許可し、バックグラウンドでタスクを完了させるためのWindows上の独立したスペースを作成します。
エージェントはユーザーアカウントとは別の独自アカウントを使用して動作し、権限の範囲を限定し実行時の分離を実現します。フォルダーへのアクセスも制限されており、ユーザーが個別に追加の権限を与えない限りアクセスできません。
エージェントワークスペースは、マイクロソフトが説明しているように、ユーザーセッションとは別のWindowsセッションで並行して実行され、セキュリティの分離とユーザーコントロールを確保します。また、この機能はユーザーが実験的なエージェンティック機能設定をオンにした場合のみ有効化されます。
この機能はデフォルトでオフになっていますが、同社は有効化するとリスクが生じるため、セキュリティ上の影響を理解しているユーザーのみが有効にすべきだと警告しています。
「この設定はデバイスの管理者ユーザーのみが有効にでき、一度有効化すると、他の管理者や標準ユーザーを含むすべてのユーザーに対して有効になります」と同社は述べています。
有効化されると、エージェントアカウントとエージェントワークスペースが作成され、Copilotなどのエージェンティックアプリケーションがユーザーのフォルダーへのアクセスを要求できるようになります。
全体として、エージェンティックAIを有効にするとOSがパーソナルアシスタントのように動作する一方で、マイクロソフトは、幻覚(誤動作)や巧妙に作成されたプロンプトによる悪意ある行動などのリスクにもシステムがさらされると警告しています。
「エージェンティックAIアプリケーションは、クロスプロンプトインジェクション(XPIA)などの新たなセキュリティリスクをもたらします。これは、UI要素やドキュメントに埋め込まれた悪意あるコンテンツがエージェントの指示を上書きし、データの流出やマルウェアのインストールなど意図しない行動を引き起こす可能性があります」と同社は述べています。
同社によれば、エージェントも他のユーザーやソフトウェアと同様に攻撃の対象となり得るため、その行動は制御可能でなければなりません。ユーザーは常にこれらの行動を監視し、Windowsは改ざん検知可能な監査ログでそれらを検証できる必要があります。
マイクロソフトによれば、エージェントは常に最小権限の原則に従って動作し、起動したユーザーより高い権限を持つべきではなく、その所有者以外のシステム上の他のエンティティからアクセスされるべきではありません。
一方で、同社はユーザーのセキュリティとプライバシーを確保するためのガードレールを実装しており、タスクバーのAsk Copilot機能、エクスプローラー内のCopilot、OutlookでのAI生成要約など、エージェンティック機能をWindows 11全体に段階的に展開していくとしています。
「AIエージェントのセキュリティ課題に対応するには、エージェントがユーザーの意図に沿って行動し、機密情報を保護するための強力なセキュリティ原則を順守する必要があります。Windowsで新しいエージェンティック機能を利用するために満たすべき、耐久性のあるセキュリティとプライバシーの原則を確立しています」とマイクロソフトは述べています。
