_Kiattisak_Lamchan_Alamy.jpg?width=1280&auto=webp&quality=80&format=jpg&disable=upscale "青いシャツを着た男性の胴体。彼の手がカメラに向かっており、「AI AGENTS」というフレーズが手の上に浮かんでいる")
出典:Kiattisak Lamchan(Alamy Stock Photo経由)
論説
AIエージェントは、私たちがAIモデルに行動を取らせる(つまりエージェント化する)ようになったことで、過去1年で劇的に人気と認知度が高まりました。そして、非人間アイデンティティ(NHI)は、ここ数年で急速に増加しています。CyberArkの最新のアイデンティティレポートによれば、機械アイデンティティは人間アイデンティティの82倍にのぼります。NHIは自動化プロジェクトの主要な構成要素となっており、企業がマイクロサービス、コンテナ化、サーバーレスクラウドコンピューティングを含むアーキテクチャのモダナイズを進める中で重要性を増しています。自動化が増えるほど、機械アイデンティティも増加します。さらにエージェント型AIを導入すると、必要なアイデンティティの数は指数関数的に増加します。
最近、私はニューヨークのセキュリティカンファレンスで、非常に長い間初めて、私たちは実際に攻撃を受ける前に、その可能性や発生が予想される攻撃について知っていると指摘しました。特に、急速に拡大しているエージェント型AIインフラストラクチャ(エージェント、チャットボット、大規模言語モデル(LLM)など、すべてNHIに依存)に対してですが、この猶予期間も急速に終わりつつあります。
エージェントは自律性と驚異的なアクセス/スケールを持つため、明確かつ一貫した監視や管理がない場合、意図しない有害な行動という独自の課題をもたらします。敵対的攻撃は間違いなくエージェント自体に対しても起こるでしょう。もしあなたのAIエージェントがジェイルブレイクされるなら、それはあなたのシステムを守っているのでしょうか?それとも誰かのためにスパイしているのでしょうか?攻撃者がもはやネットワークに侵入する必要がなく、防御側のロジックだけを突破すればよいとしたらどうでしょうか?
NHI管理の増大する課題
これらの問題だけでも十分に重大ですが、私の同僚Zach Whiteと私は最近、非人間アイデンティティ管理とセキュリティの増大する課題について執筆しました。そして私たちは、OWASPの「非人間アイデンティティ(NHI)—機械アカウント、サービスアイデンティティ、エージェントベースのAPIキーなど—はエージェント型AIセキュリティにおいて重要な役割を果たす」という主張に強く同意します。むしろ、それでもやや控えめな表現だと感じています。
私たちのツールやデータを守るための機会の窓は閉じつつあるように見えます。Hushconでこの点を強調するため、私は(Johann Rehbergerと協力して)比較的基本的な攻撃例、例えばLLMへのデータポイズニング、エージェントのジェイルブレイク、エージェントへのプロンプトインジェクションなどを実演しました。
しかし、これらはエージェントに対する増加し続ける脅威や攻撃ベクトルのほんの一例に過ぎません。5月には、Cloud Security Alliance(CSA)の「Agentic AI Red Teaming Guide」で調査すべき12の攻撃ベクトルがリストアップされ、OWASPとCSAの共同論文では5つの新たな脅威が追加されました。
7月中旬、AstraSyncのCEOであるTim Williamsは、放置されたエージェントのリスクについてブログを書きました。これらは依然として稼働中で、オープンWeb上に公開され、企業に忘れ去られています。彼は、作成者に忘れられたまま当初の目的通りに動作し続ける「孤児エージェント」や、停止されるはずが有害な形で誤作動している「ゾンビエージェント」について説明しています。放置されたエージェントは深刻な(そしておそらく大幅に過小評価された)懸念をもたらします。
出典:DayBlink Consulting
6月17日、Noma Securityチームは、悪意のあるプロキシ設定がプロンプトに追加され、LangChain Hubにアップロードされ、ユーザーによってダウンロードされることで、極めて機密性の高いデータの流出や他の壊滅的な障害が発生しうるという研究を発表しました。Nomaは、悪意のあるプロキシが「被害者に気付かれることなく、APIキー(OpenAI APIキーを含む)、ユーザープロンプト、ドキュメント、画像、音声入力など、すべてのユーザー通信を密かに傍受した」と主張しています。
また6月には、Aim LabsがMicrosoftのCopilotに対するEchoLeakゼロクリック脆弱性、CVE-2025-32711を発見しました。
今後も同様のニュースが続くと予想されます。
AIエージェントリスクを軽減する10のステップ
現時点で単一の対策やアプローチだけでは十分とは言えませんが、NHIに関連する多くの手順を踏むことで、こうしたリスクの一部を軽減し、多層防御を構築することができます。私の推奨する10項目を紹介します:
-
エージェントをフィンガープリントし、責任者(ビルダー/作成者ではなく、現在の行動に責任を持つ人物)に紐付いた一意で検証可能なNHIを持たせることを徹底してください。
-
NHIをAIエージェント関連としてタグ付けしてください(管理者またはユーザーによる)。AGNTCYアイデンティティは良い出発点です。すべてのエージェントに検証可能な資格情報を持つユニバーサル一意識別子を割り当て、MCPやA2A標準を利用することで、エコシステムの可視性が向上します。
-
NHIにはAIエージェントに関連し、かつ特定の適切な権限のみを付与し、再利用は認めないこと(IP制限を維持)。エージェントの指示にはスコープ外の命令を禁止するガードレールを設けてください。
-
NHIアクセスの管理(確立、運用保守、廃止、孤児への対応手順)を通じて、エージェントのライフサイクル全体にわたる明確な所有権移転プロトコルを確立してください。
-
孤児化・ゾンビ化したエージェントの特定、通知、隔離、終了、監査ができるようにしてください(NHIの可観測性が大いに役立ちます)。
-
エージェントに紐付くすべてのPAT(NHIのサブセット)を慎重かつ安全に管理してください。
-
実行時にプロンプトインジェクションの試みを検出・ブロックするためにコンテンツをフィルタリングしてください。
-
すべてのツール入力をサニタイズし、厳格なアクセス制御を適用し、定期的に静的・動的・構成セキュリティテストを実施してください。
-
ネットワーク制限、システムコールフィルタリング、最小権限のコンテナ設定による強力なサンドボックス化を徹底してください(ユーザーは「最大」権限を好む傾向がありますが)。
-
データ損失防止(DLP)ソリューション、監査ログ、秘密管理サービスを利用して機密情報を保護してください。
従来のITインフラの多くとは異なり、AIエージェントは予測可能ではありません。同じタスクを2回与えても、異なる結果を出すことがあります。エージェントへのアクセス権付与の一般的な方法はNHI経由ですが(従来はアルゴリズムがNHIを使うため非常に予測可能でした)、今や予測不能なLLMが行動を起こしています。さらに問題を複雑にするのは、LLMが機能の中で一見ランダムなNHIを選択することが多い点です。
過去10年間、私たちは機密権限の拡散を防止(または少なくとも特定)するためのツールを使ってきましたが、NHIを活用するエージェントはしばしば権限を私たちの直接管理外に持ち出してしまいます(例:個人用アクセストークンの詰め込み)。パーソナルアシスタントNHIが一般的になるにつれ、それらは少なくとも人間と同等の権限を必要としますが、LLMを完全に予測できないため、NHIはしばしばさらに大きな権限を必要とする場合があります。
エージェント、チャットボット、サービスアカウント、APIキー、機械認証情報など、人間ユーザーを桁違いに上回るエコシステムの急速な拡大は、十分に理解されていないものの、潜在的に重大なセキュリティ問題を生み出しています。組織の成熟サイクルの早い段階でセキュリティを導入する方が、侵害後よりもはるかに容易です。今の積極的な取り組みが、将来のリスクと労力を確実に減らします。