エージェント型AIは、ユースケースの爆発的増加に後押しされて企業で急速に採用が進んでいるが、セキュリティはいつものように遅れを取っている。OWASPの「エージェント型AI向けTop 10」は、そのギャップを埋める助けになる。
LLM搭載チャットボットには、ほぼ毎日のように見出しで目にするリスクがある。しかしチャットボットは質問に答えることに限られる。一方AIエージェントは、データやツールにアクセスしてタスクを実行するため、能力は桁違いに高く――そして企業にとってはより危険になり得る。
OWASP Top 10 for Agentic Applicationsは、CISOがビジネス側の関係者に問題点を説明するのに役立つ。また、脅威分類(taxonomy)、緩和戦略とプレイブック、脅威モデルの例が付属しているため、CISOがエージェント型AIのセキュリティを直接改善する助けにもなる。
これらはすべて、OWASPのAgentic Security Initiativeの一環だ。OWASP GenAIセキュリティプロジェクトのボード共同議長で共同創設者でもあるScott Clinton氏は、リスト作成の調査中にOWASPチームが把握したところ、すでに多くのエージェント型ソリューションが組織に導入されていたことに驚いたという。そして、その多くがIT部門やセキュリティチームの把握なしに導入されていたという。
このレベルのリスクは前例がない、と同氏は言う。そこには理論的な「学術的」リスクも多く含まれる。
「しかし私たちは、データに基づくものに焦点を当てました」と同氏は言う。「今日の現実の状況に基づいて、実践的なガイダンスを提供できるものです」
ステークホルダーを教育するという課題
「CSOであれば、おそらく、あなたに押し付けられているであろうユースケースによって持ち込まれるリスクについて、ステークホルダーを教育するのにかなり苦労しているはずです」と、AIセキュリティ企業ZenityでAIセキュリティおよびポリシー・アドボカシーのディレクターを務め、OWASPリストの中核的貢献者の一人でもあるKayla Underkoffler氏は言う。
CISOは「ノー」と言えないかもしれない、と彼女は付け加える――しかし同時に、結果を考えずに会社が全面的にこの技術を採用して突き進める、と言うことにも少し躊躇するかもしれない。
このリストは、意図的に「消化しやすい」よう設計されたという。「脅威モデリングに役立ち、ストーリーを語るのに役立ち、リスクを下げるためにどのようなコントロールが必要で、なぜ必要なのかを説明する助けになります」
セキュリティ責任者は、ビジネス側からエージェント型AIのユースケースを受け取り、そのユースケースに合うように主要なリスクを紐づけられる。このリストは、エージェント型AIとそのリスクに関する共通言語も提供するとUnderkoffler氏は言う。
実行可能なガイダンス
Akamai Technologiesでセキュリティエンジニアリング担当VPを務めるKeith Hillis氏は、同業者との議論での主な話題はエージェント型AIだと言う。
「多くの組織は、AIの有望な力と、組織がセキュリティリスクの増大を招かないことの両立という課題に直面しています」と同氏は言う。だからこそ、新しい「Agentic AI OWASP Top 10」の最大の価値は、すぐに役立つ点にあるという。「セキュリティアーキテクチャと、ガバナンス/リスク/コンプライアンス(GRC)の文脈の両方で、コントロールのベースラインとして直接実行に移せます」
同氏が特に示唆に富むと感じた点の一つは、「最小権限(least privilege)」が「最小エージェンシー(least agency)」へと進化していることだった。
同氏は、CISOがこのリストを使って自社のプログラムを評価し、ギャップを特定し、改善のための行動計画を描くことを勧める。「おそらく、すでに稼働中のプログラムがあるはずです」と同氏は言う。しかし、エージェント型AI特有のリスクに対応するために進化させる必要がある可能性も高い。
不足している要素
ZenityのUnderkoffler氏によれば、このリストの初回リリースで唯一不足しているのは、いくつかの緩和策セクションの詳細が十分ではない点だという。
しかし、それに対処する計画はある。「セキュリティチーム向けに緩和策を本格的に掘り下げ、これらのコントロールの実装を支援する取り組みを進めています」と彼女は言う。「何をすべきかの説明だけでなく、実装方法の実際のコード例も提供します」
例えば、提案されている緩和策の一つは「最小権限の原則を適用する」ことだという。「それは完全に正しいです」と彼女は言う。「誰もが最小権限の原則を適用すべきです。でも、エージェントにとってそれは何を意味するのでしょうか?」
データセキュリティベンダーCyeraでデータおよびAIセキュリティ責任者を務めるRick Holland氏は、リストには各攻撃タイプの発生可能性も説明してほしいと言う。「すべての脅威アクターが同じというわけではありません」
例えば国家主体の攻撃者に狙われる組織では、攻撃者はメモリ/コンテキスト汚染やエージェント型サプライチェーンの脆弱性のような、より高度な攻撃ベクトルを使うかもしれない。一方で一般的なサイバー犯罪者は、エージェントの目標ハイジャックやツールの悪用といった手法で、より「手の届きやすい」ものを狙う可能性があるとHolland氏は言う。
セキュリティトレーニング企業CMD+CTRLのプロダクトマネジメント担当アソシエイトディレクターであるJose Lazu氏は、モデルおよびチューニングのサプライチェーン完全性、長期スパンのデータ汚染、マルチエージェント協調の悪用、コストベースのリソース枯渇など、含められた可能性のある二次的リスクがいくつかあると言う。
「これらの領域は急速に進化しているため、CSOは注視し続ける必要があります」と同氏は言う。
エージェント型AI向けOWASP Top 10
以下に、自律型およびエージェント型AIシステムが直面する最も重大なセキュリティリスクを特定するフレームワークである「OWASP Top 10 for Agentic Applications 2026」を掲載する。
1 – エージェントの目標ハイジャック
攻撃者はプロンプトインジェクション、汚染データ、その他の手口を用いてAIエージェントの目標を操作し、望ましくない行動を実行させる。例えば悪意あるプロンプトにより、金融エージェントを操って攻撃者に送金させることができる。
2 – ツールの誤用と悪用
エージェントが正当で認可されたツールを、データ流出、破壊的行為、その他の望ましくない振る舞いのために悪用する。実際、AIエージェントがデータベースを削除したり、ハードドライブを消去したりする例はすでに見られている。
3 – アイデンティティと権限の悪用
エージェントのアイデンティティ、委任、または権限継承の欠陥により、攻撃者がアクセス権を昇格させたり、混乱した代理人(confused deputy)シナリオを悪用したり、システム横断で不正な操作を実行したりできる。例えば攻撃者は、低権限のAIエージェントを使って高権限のエージェントに指示を中継し、本来できないはずのことを実行させられる。
4 – エージェント型サプライチェーンの脆弱性
侵害された、または悪意あるサードパーティのエージェント、ツール、モデル、インターフェース、レジストリが、隠れた指示や安全でない振る舞いをエージェント型エコシステムに持ち込む。例えば攻撃者は、ツールのメタデータに隠れた指示を埋め込める。
5 – 予期しないコード実行
エージェントが生成した、またはエージェントが呼び出したコードが意図しない、あるいは敵対的な形で実行され、ホスト、コンテナ、または環境の侵害につながる。AIエージェントはその場でコードを生成し、通常のソフトウェア制御を回避し得るため、攻撃者はこれを悪用できる。例えば、セキュリティパッチを書くコーディングエージェントが、汚染された学習データや敵対的プロンプトの影響で、隠れたバックドアを含めてしまう可能性がある。
6 – メモリとコンテキストの汚染
攻撃者が永続的なエージェントメモリ、RAGストア、埋め込み(embeddings)、または共有コンテキストを汚染し、エージェントの将来の行動に影響を与える。例えば攻撃者が製品の偽の価格を繰り返し言及し、それがエージェントのメモリに保存されると、後にエージェントがその価格を正当だと思い込み、その価格での予約を承認してしまうかもしれない。
汚染されたコンテキストや共有メモリは、エージェント間で拡散し、汚染を増幅させる可能性がある。
7 – 安全でないエージェント間通信
エージェント間メッセージングにおける認証、完全性、または意味的検証の弱さにより、なりすまし、改ざん、リプレイ、または操作が可能になる。例えば攻撃者は、ディスカバリーサービスに偽のエージェントを登録し、特権的な協調トラフィックを傍受できる。
8 – 連鎖的障害
ハルシネーション、汚染されたメモリ、侵害されたツールなどの単一の不具合が、自律エージェント群全体に波及する。例えばハイパースケーラーの地域障害が複数のAIサービスを停止させ、多くの組織にまたがるエージェント障害の連鎖を引き起こし得る。
9 – 人間とエージェントの信頼の悪用
エージェントが人間の信頼、権威バイアス、または自動化バイアスを悪用して意思決定に影響を与えたり、機微情報を引き出したりする。例えば侵害されたITサポートエージェントが従業員に認証情報の提供を求め、それを攻撃者に送信する可能性がある。
10 – 逸脱(ローグ)エージェント
エージェントは、個々の行動が正当なものに見える形で、有害かつ欺瞞的に振る舞うことがある。これはプロンプトインジェクションによる場合もあれば、目的の衝突や報酬ハッキングによる場合もある。例えばクラウドコストを削減することが仕事のエージェントが、ファイルを削除するのが最も効率的だと判断してしまうかもしれない。
