ランタイム: AI エージェントセキュリティの新たなフロンティア

AI エージェントはすでにエンタープライズネットワーク内で動作しており、従業員がかつて自分たちで行っていた作業—コード作成、メールドラフト作成、ファイル取得、内部システムへの接続—の一部を静かに実行しています。

時には、彼らは多額の損失をもたらす誤りを犯すこともあります。

メタでは、ある従業員がAI アシスタントに対してメール受信箱の管理を支援するよう依頼しました。代わりにそれを削除してしまいました。アマゾンでは、内部エージェントが自律的にデプロイメント環境を破棄して再構築することを決定し、AWS サービスを 13 時間オフラインにしました。

これらのインシデントは、セキュリティリーダーが直面している大きな変化をうかがわせています。自律型ソフトウェアは現在、実際の権限と実際の結果を伴って企業環境内で動作しています。

「エージェントはティーンエイジャーのようなものです」と、ウーバー、Cloudflare、フェイスブックの前最高セキュリティ責任者で、現在はジョー・サリバン・セキュリティのトップであるジョー・サリバンは CSO に語ります。「彼らはすべてのアクセス権を持っており、判断力がありません。」

長年にわたり、AI セキュリティの確保への取り組みのほとんどは予防に焦点を当ててきました—モデルのスキャン、プロンプトのフィルタリング、本番環境に到達する前の AI 生成コードの分析。しかし、企業が内部システムと直接やり取りする自律型エージェントをデプロイするにつれ、一部のセキュリティリーダーは、実際のリスクがそれらのエージェントが稼働開始した後でのみ始まると述べています。

「セキュリティでは、常に予防は失敗すると想定しています」とサリバンは述べています。「だからこそ、検出と監視が同等に重要なのです。」

AI エージェントの速度と自律性は、誤りや予期しない動作がシステム全体で急速にカスケードする可能性があることを意味します。このダイナミクスが、セキュリティリーダーの増加する数が、少なくとも概念的には、サリバンがランタイムセキュリティと呼ぶもの、つまりエンタープライズ環境内で操作しながらエージェントを継続的に監視することを支持している理由です。

簡単に言えば、ランタイムセキュリティは、デプロイ前にのみ評価するのではなく、実行中にソフトウェアが何をするかに焦点を当てています。

エージェントがセキュリティモデルを変える理由

CISO は、エンタープライズネットワーク内の人間の行動を統治するのに長年を費やしてきました。彼らはアイデンティティ管理、役割ベースのアクセス制御、ユーザー行動分析、およびエンドポイント検出ツールを持っています。

問題は、これらの同じフレームワーク—従業員を追跡するための同じツール—がAI エージェントに拡張できるかどうかということです。この問題を研究しているセキュリティリーダーは、答えは「部分的には」であると述べています。従来のフレームワークは概念的には依然として適用されますが、エージェント動作を観察するために必要なメカニズムは根本的に異なっています。

「何は新しくない—どうやるかは新しいです」と、ジオーディ AI の共同創業者兼最高 AI 責任者であるハナ・マリー・ダーレイは述べています。「実際にこのデータをどのように取得するか、実際にエージェントの行動情報をほとんどログを通じて取得する場所、そしてすべての AI エージェントプラットフォームが最初にログを持っているという意味ではありません。」

従来のセキュリティツールは、従業員がインターネットにアクセスしたり、システムにログインしたり、境界を越えてデータを移動させたりする周囲チェックポイントで人間の行動をインターセプトするために構築されました。エージェントは頻繁にこれらのチェックポイント全体をバイパスします。彼らは API 呼び出しとMCP 接続を通じて動作し、これらは通常は異常な動作にフラグを立てるセキュリティツールを通過することはありません。

また、彼らはドラマティックにより多くのアクティビティを生成します。典型的な従業員が 2 時間の期間で 50 から 100 のログイベントを生成する可能性があるところで、エージェントは同じウィンドウで 10 から 20 倍のボリュームを生成できます。そして—重要に—彼らはしばしばログを生成しません。

一部のエージェントプラットフォームはデフォルトで堅牢な監査証跡を生成します。他のものはそうではありません。コードエージェントは、前のセッションが再生されるときに独自のセッションログを上書きできるため、インシデントを調査しているセキュリティチームが何が起こったかの記録が消去されているかもしれません。

「ログを最初に持つことは、すべてのエージェントがネイティブにログを持っているわけではないため、人々が実現するより大きなステップであることが多いです」とダーレイは CSO に述べています。

インベントリの問題

CISO がエージェントが何をしているかを監視する前に、彼らは、より基本的な課題に直面しています。どのエージェントが存在するかを知ることです。

この簡単なアイデアは、思ったより難しいです。多くの大規模企業では、エージェントは中央インベントリが取得できるより速く増殖しています。マーケティング チームは AI アシスタントを展開します。HR 部門はレジメスクリーニング用にエージェントを使用しています。エンジニアは広いファイルシステムアクセスを持つコーディングエージェントを実行しています。技術者以外の従業員は、AI 生産性ツールを接続します。ノート-テーカー、メールマネージャー、およびスケジューリング アシスタントなどの、企業アカウントに接続します。多くの場合、正式な IT 承認なしに。

「CISO は現在、彼らの取締役会と CEO から難しい質問を受けています」とサリバンは述べています。「現在、会社内で何の AI が実行されていますか？その質問に答える必要があります。何の AI が実行されており、それは何をしていますか？」

ダーレイは、構造化されたインベントリ取り組みで始めることをお勧めしています。理想的には、一般的な用途のアプリケーション管理システムがしばしばクラウド内、コードリポジトリ内、またはサードパーティの SaaS プラットフォーム内に存在するエージェントを見ることができないため、エージェント発見用に特別に構築されたツールを使用します。

「少なくとも 1 つのシステムで開始してください」と彼女は勧めています。「それはあなたに規模の感覚を与え、所有者が誰であるかを理解するのに役立ち、あなたが実際に必要とするツールの種類についてあなたを教育し始めるでしょう。」

インベントリがなければ、動作監視には、それが錨付けできるものがありません。セキュリティチームは、彼らが知っているエージェントのログを見ることができます。しかし、彼らが逃したエージェントは、正確には不快な結果を届ける可能性が最も高いエージェントです。

ランタイム監視がどのように見えるか

組織がエージェントの場所を知ったら、問題は何を見守るか—そしてどのように、です。

エリア・ザイツェフ、CrowdStrike の CTO は、既存のエンドポイント検出と応答 (EDR) ツールは既に AI エージェント追跡に必要な行動の種類をキャプチャしていると、CSO に述べています。彼らは、飛行データレコーダーのようにオペレーティング システムをインストルメント化し、実行されるすべてのアプリケーション、それが触れるすべてのファイル、作成するすべてのネットワーク接続、およびそれが生成するすべてのコマンドを記録します。

例えば、CrowdStrike の EDR は脅威グラフを構築します。行動とその上流の原因の接続されたマップです。疑わしいネットワーク接続が発生する場合、脅威グラフはそれを多くの度合いの分離を通じてトレースして、チェーンを開始したアプリケーションまたはエージェントに戻すことができます。

「EDR テクノロジーは、この最終的な行動を、それが最終的にエージェント型システムによって駆動されているアプリケーションから来たという事実に関連付けることができます」とザイツェフは説明しています。「ファイアウォールは、このコンピュータ上の何かがクラウド内の AI モデルと通信しようとしていることを提示するだけです。EDR を使用すると、この特定のアプリケーションがこの特定のモデルと通信しているということができます。」

AI エージェント具体的には、これは制御の新しいセットを作成します。既知のエージェントアプリケーション—Claude Code、OpenAI の Codex、OpenHands—を認識するシステムは、そのアプリケーションに異なるポリシーを適用できます。それは人間の制御下で実行されるのと同じアプリケーションよりもです。「人間が責任を負っている場合は良性である可能性のある活動がある」とザイツェフは述べています。「しかし、それが私が必ずしも信頼しない AI エージェントであれば、その場で異なるポリシーを適用したいかもしれません。」

ビルドタイムセキュリティは依然として極めて重要な役割を果たしています

すべての企業が単に既成の AI エージェントを導入しているわけではありません。多くはそのようなシステムを自分たちで構築するでしょう。

このため、ランタイム監視は、ビルドタイム セキュリティ—コード のスキャン、デプロイ前のモデル評価、およびプロンプトチェック—が昨日の問題であることを意味していません。Endor Labs の CEO であるヴァルン・バドワールは、そのような枠組みに対して異議を唱えています。

「ランタイムが重要でないとは決して言わないでしょう」とバドワールは CSO に述べています。「しかし、あなたは早期にできるだけ多くを修正したいのです。ランタイム セキュリティ検出の平均コストは $4,000 であり、ビルドタイムでは $40 です。つまり、推測できます？あなたはそれがそこに到達する前に、できるだけ多くを修正したいのです。」

開発者がまだコードを書いている間にキャッチされた脆弱性は、修正に数分かかります。同じ脆弱性は、一度コンテナにデプロイされ、QA を通じて実行され、本番環境に押された、それを対処する前に、その旅のすべてのステップをトレースし直す必要があります—およそ 100 倍のコストで。バドワールは車の製造ラインのアナロジーを使用しています。アセンブリラインの品質管理は常に街から 70,000 台の車をリコールするより安い。

彼のフレームワークは簡単です。左にシフト、右に盾。セキュリティ制御がいくつか開発プロセスに可能な限り左にシフトさせます—エージェントが実行されていない後ではなく、構築されている間に問題をキャッチします。その後、実行時監視で右に盾を装備してください、最後一マイルのセーティネットとして。いくつかのことは常にスリップしてしまいますので、ゼロデイ脆弱性は定義によってビルドタイムで予測することはできません。

CISO が今すべきこと

CISO の場合、シフトは単一の新しいツール以上であり、AI リスクについて考える新しい方法についてです。セキュリティリーダーは、エージェントがどのように構築されているかだけに焦点を当てるのではなく、エンタープライズシステム内で動作を開始したら、どのように動作するかへのより多くの可視性が必要です。

したがって、CISO の前進の道は、単一の新しい製品またはセキュリティインフラの全体的な取り替えではありません。エンタープライズ内の新しいアクター カテゴリへのセキュリティ規律の方法論的な拡張です。

ザイツェフはセキュリティ深度モデルを使用してそれをフレーミングします。ランタイム監視が利用可能であるためだけにビルドタイムでエージェントを保護するのを停止しません。あなたは両方を構築します。「EDR とランタイムセキュリティは、その最後レベルのセーティネット」と彼は述べています。「あなたは依然としてすべてのそれらの他のレイヤーが望まれます。」

しかし、専門家は以下の開始点が、ほとんどの CISO のためのランタイムセキュリティの実装に向けて実用的な最初のステップになるかもしれないと言います。

最初にインベントリを構築してください。 1 つのシステム—主要な SaaS プラットフォーム、コード リポジトリ、エンドポイント フロート—を選択し、その中で動作しているエージェントをマップしてください。所有者、権限、およびプロトコルを特定してください。可視性がなければ、他に何も不可能です。

動作監視をエージェントに拡張してください。 EDR、専用エージェント セキュリティツール、またはその組み合わせを通じて、標準がどのように見えるかを確立してください。各エージェントはどのシステムに接触する必要がありますか？どのデータを処理する必要がありますか？誰と通信する必要がありますか？そのベースラインからの逸脱があなたの信号です。

エージェント固有のポリシーを適用してください。 従業員に使用する同じコントロール でエージェントを統治しないでください。彼らは異なるアクセスパターン、異なるリスクプロファイル、および異なる失敗モードを持っています。エージェント対応のツールは、アプリケーションが AI 駆動であるかどうかに基づいてポリシーを区別できます。