RSAC 2026を控えて、NCC GroupのAI/MLセキュリティ責任者兼技術ディレクターであるDavid Brauchlerとの対話は、成長する懸念事項を明らかにしました。多くの組織はAI駆動型システムのセキュリティ確保に根本的に準備ができていないというものです。
企業が急速にエージェントAIを採用する中、従来のセキュリティ仮説は崩壊し、リスクがどのように理解・管理されているかの重大なギャップが露呈しています。
AIセキュリティスキルギャップと誤った優先順位
中心的な課題の1つは専門知識の不足です。サイバーセキュリティ業界自体がAI固有のリスクに深く精通した実践者をまだ十分に保有していません。
その結果、組織はしばしば表面的な管理(ガードレールなど)に焦点を当てながら、AI システムがデータとどのように相互作用するかに組み込まれた、より大きな脆弱性を見落としています。
Brauchlerは、この方向転換が「セキュリティの赤ニシン」を作成し、データ漏洩、権限昇格、およびシステム全体の侵害につながる可能性のある実際の脅威からの注意をそらしていると主張しています。
AIがリスクをデータレイヤーにシフト
この問題の核心は、リスクが存在する場所の根本的なシフトです。
従来のセキュリティモデルではアプリケーション、インフラストラクチャ、アクセス管理などのコンポーネントレイヤーが強調されています。
しかし、AIシステムはリスクをデータレイヤーに移すことで、このパラダイムを反転させています。
エージェントAIシステムでは、動作は静的コードで厳密に定義されるのではなく、入力データによって動的に影響されます。
Brauchlerが説明したように、「AIは入力の関数である」という意味で、悪意のあるまたは信頼できないデータはシステム動作を直接変更することができます。
これは信頼がもはや固定されていなく、流動的で、継続的に入信情報によって再形成される環境を作成します。
従来のセキュリティモデルがエージェントシステムで失敗する理由
このシフトは新しい複雑性をもたらします。古典的なシステムでは、権限はユーザーまたはサービスに関連付けられ、信頼レベルは相対的に一定のままです。
対照的に、エージェントシステムはデータ自体内の様々な信頼レベルを説明する必要があります。
ユーザー、サードパーティAPI、またはウェブコンテンツなどの複数のソースからの入力は、矛盾する信頼レベルを導入でき、攻撃の可能性と影響の両方を増加させます。
その結果、従来のアクセス制御モデルはAI駆動型ワークフローの動的な性質を説明しないため不十分です。
AIシステムへのゼロトラスト原則の適用
これらの課題に対処するため、Brauchlerと彼のチームはAI環境に合わせたゼロトラストアプローチを提唱しています。
重要な原則は入力の出所にAI動作をバインドすることです。言い換えれば、AIシステムは処理するデータの信頼レベルを継承する必要があります。
AIモデルが信頼できない入力に露出した場合、その機能は相応に制限される必要があります。
動的機能シフトとして知られるこの概念は、潜在的に悪意のあるデータが高権限アクションをトリガーできないことを保証します。
動的機能シフトとデータ出所
別の重要な戦略は、データ出所の認識を改善することを含みます。
すべてのデータを正確なオリジンまで追跡することが可能でないかもしれませんが、組織は実行コンテキストに相対的に信頼レベルを評価および割り当てるメカニズムを確立する必要があります。
これにより、AIシステムが実行を許可される必要があるアクションについてより情報に基づいた決定が可能になります。
モノリシックAIを超えて: ゲートされたエージェントアーキテクチャ
同様に重要なのは、モノリシックAIアーキテクチャからの移行です。多くの組織は、幅広いタスクを実行するために単一の高度に有能なエージェントに依存しています。
この「すべてを支配する1つのエージェント」モデルは、侵害がセンシティブなシステムへの幅広いアクセスを与える可能性があるため、リスクを大幅に増幅します。
代わりに、Brauchlerはゲートされたエージェントアーキテクチャを推奨しています。ここでは、タスクは権限が制限された複数の特化したエージェントに分散されます。
これらのエージェントはサンドボックス環境で動作し、それらの出力は安全で検証されたデータ型に変換されてから、より高い信頼コンポーネントに渡されます。
信頼セグメンテーションとセキュアデザインパターン
このアーキテクチャのシフトは、信頼セグメンテーションの広い原則と一致しています。
高い信頼エージェントは検証されていない、または汚染されたデータに決して露出されるべきではなく、低い信頼エージェントは権限関数へのアクセスを持つべきではありません。
厳密な境界を実装し、コンポーネント間を移動するデータを検証することで、組織はプロンプト インジェクションやデータ流出などのクロスコンテキスト攻撃のリスクを軽減できます。
エージェントAIセキュリティのサポートコントロール
これらのデザインパターンに加えて、複数のサポートコントロールが必要です。
入力マスキングは機密データが信頼できないコンテキストに露出することを防ぎ、I/O同期は1つのエージェントからの出力が他の場所で使用される前に適切に検証されることを保証します。
タスク最小化は、単一のエージェントが実行できるアクションの範囲を制限することで、さらにリスクを軽減します。
これらの測定値は共に、AIシステムの動的な性質を反映した階層化された防御モデルを作成します。
ユーザーアイデンティティの拡張としてのAIの再考
究極的には、エージェントAIのセキュリティ保護には、考え方のシフトが必要です。
組織はAIを単なる別のアプリケーションコンポーネントとして扱うのをやめ、代わりそれをユーザーアイデンティティと意思の拡張として認識する必要があります。
Brauchlerが強調したように、AIシステムはユーザーの代わりに機能し、同じセキュリティ原則によって統制されるべきです。
アクションがAIシステムから発生しているという理由だけでコントロール削除は、受け入れられないリスクをもたらします。
AIシステムをセキュア化するためのロードマップ
前進の道は技術的および組織的な変化を含みます。
短期的には、組織はAI統合のステークホルダーを特定し、AIリスク環境の脅威モデリングを開始する必要があります。
中期的には、セキュアな推論パイプラインを設計し、開発者をAI固有のセキュリティプラクティスについて訓練する必要があります。
長期的な成功は、これらのコントロールをすべてのアプリケーション環境に組み込み、将来の展開のための標準化されたアーキテクチャを確立することに依存しています。
エージェントAIの未来をセキュア化する
エージェントAIの成長は、サイバーセキュリティにおける信頼の再定義を要求しています。
データ中心のリスクに焦点を当て、動的権限コントロールを実装し、セグメント化されたアーキテクチャを採用することで、組織はイノベーションとセキュリティ間のギャップを埋め始めることができます。
課題は実在していますが、Brauchlerが指摘したように、セキュアなAIは達成可能です。組織が自分たちのアプローチを再考し、決定的に行動する意欲があるなら。
