開発者向けクラウドネイティブセキュリティの基礎(アプリケーションセキュリティ編)(1)

コメントをどうぞ

CSAジャパン関西支部では、「海外に学ぶSMBのクラウドセキュリティ基礎(AIセキュリティ編)(1)」(https://cloudsecurityalliance.jp/newblog/2025/07/14/smb_aisec_1/)および「海外に学ぶSMBのクラウドセキュリティ基礎(AIセキュリティ編)(2)」(https://cloudsecurityalliance.jp/newblog/2025/09/16/smb_aisec_2/)で、シンガポールサイバーセキュリティ庁のサイバーエッセンシャルズおよびサイバートラストマークに基づいて開発された人工知能(AI)セキュリティ固有のガイドを紹介したが、今回は、エージェンティックAIのガバナンスについて取り上げる。

シンガポール政府が世界初のエージェンティックAIガバナンス文書を発行

2026年1月19日、シンガポール情報通信メディア開発庁(IMDA)は、「エージェンティックAI向けモデルAIガバナンスフレームワーク」(https://www.imda.gov.sg/-/media/imda/files/about/emerging-tech-and-research/artificial-intelligence/mgf-for-agentic-ai.pdf)を公開している。現時点で、エージェンティックAIに特化した包括的なガバナンス文書を発行したケースとしては、本書が世界初となる。

本文書は、エージェンティックAIの導入に伴う新たなリスクに対して、組織が信頼性と安全性を確保しながら活用できるように支援することを目的としており、以下のような構成になっている。

エグゼクティブ・サマリー

  1. エージェンティックAIの紹介
    1.1 エージェンティックAIとは?
     1.1.1 エージェントの中核構成要素
     1.1.2 マルチエージェント構成
     1.1.3 エージェント設計がその限界と能力に与える影響
    1.2 エージェンティックAIのリスク
     1.2.1 リスクの発生源
     1.2.2 リスクの種類
  2. エージェンティックAI向けモデルAIガバナンスフレームワーク
    2.1 リスクを事前に評価し、制限する
     2.1.1 エージェント導入に適したユースケースの特定
     2.1.2 エージェントの限界と権限を定義することで設計段階からリスクを制限
    2.2 人間の意味ある責任を確保する
     2.2.1 組織内外における責任の明確な割り当て
     2.2.2 意味ある人間による監督を設計に組み込む
    2.3 技術的な制御とプロセスを実装する
     2.3.1 設計・開発段階における技術的制御の活用
     2.3.2 導入前のエージェントのテスト
     2.3.3 導入時の継続的な監視とテスト
    2.4 エンドユーザーの責任を可能にする
     2.4.1 ユーザーの多様性とニーズの違い
     2.4.2 エージェントと直接やり取りするユーザー
     2.4.3 エージェントを業務プロセスに統合するユーザー
    附表A:参考資料 .
    附表B:フィードバックと事例の募集

エージェンティックAIを構成する6つのコアコンポーネント

本フレームワークにおいて、エージェンティックAIシステムとは、AIエージェントを用いて、特定の目的を達成するために複数のステップにわたる計画を立てて実行できるシステムを指す。一般的に、エージェントは、ユーザーが定めた目標を達成するために、ある程度自律的に計画を立て、行動を実行する能力(例:ウェブ検索やファイルの作成など)を備えていることが多い。

エージェントは言語モデルの上に構築されており、以下のような6つの中核的要素により構成される。

  1. モデル(Model):
    • SLM(小規模言語モデル)、LLM(大規模言語モデル)、またはMLLM(マルチモーダル大規模言語モデル)で構成され、エージェントの中核となる推論・計画エンジンとして機能する。指示を処理し、ユーザーの入力を解釈し、文脈に応じた応答を生成する。
  2. 指示(Instructions):
    • エージェントの役割、能力、行動上の制約を定義する自然言語によるコマンド。たとえば、LLMに与えるシステムプロンプトなどが該当する。
  3. 3メモリ(Memory):
    • LLMがアクセス可能な情報で、短期記憶または長期記憶として保存されるデータ。過去のユーザーとのやり取りや外部知識ソースからの情報を取得できるようにするために追加されることがある。
  4. 計画と推論(Planning and Reasoning):
    • モデルは通常、推論と計画を行うように訓練されており、タスクを達成するために必要な一連のステップを出力できる。
  5. ツール(Tools):
    • エージェントがファイルやデータベースへの書き込み、デバイスの制御、取引の実行など、他のシステムとやり取りしながら行動を実行するための手段です。モデルはタスクを完了するためにツールを呼び出す。
  6. プロトコル(Protocols):
    • エージェントがツールや他のエージェントと通信するための標準化された方法。たとえば、Model Context Protocol(MCP)はエージェントがツールと通信するためのプロトコルであり、Agent2Agent Protocol(A2A)はエージェント同士が通信するための標準を定義している。

エージェンティック AI向けモデルAIガバナンス・フレームワーク(MGF)は、エージェント型AIに関するリスクと、それらのリスクを管理するための新たなベストプラクティスを、組織が体系的に把握できるようにするための枠組みである。リスクが適切に管理されれば、組織はより安心してエージェンティックAIを導入することができるとしている。

エージェンティックAI実装に際して考慮すべき4つの領域

このMGFは、自社でAIエージェントを開発する場合でも、外部のエージェントソリューションを利用する場合でも、エージェンティックAIの導入を検討している組織を対象としている。これまでのモデルガバナンス・フレームワークを基盤として、エージェントに関して組織が考慮すべき4つの主要な領域を以下のように整理している。

  1. リスクを事前に評価し、制限する
    ・組織は、エージェントによって新たに生じるリスクを考慮し、内部の構造やプロセスを適応させる必要がある。その第一歩は、エージェントの行動によってもたらされるリスクを理解することであり、エージェントが取り得る行動の範囲、行動の可逆性、エージェントの自律性の度合いなどが関係する。
    ・リスクを早期に管理するために、組織は計画段階でエージェントの影響範囲を制限する設計(例:ツールや外部システムへのアクセス制限)を行うことが推奨される。また、エージェントの行動が追跡可能かつ制御可能であるように、堅牢なID管理やアクセス制御を導入することも重要である。
  2. 人間の意味ある責任を確保する
    ・エージェンティックAIの導入に「ゴーサイン」が出た後は、人間の責任を確保するための措置を講じる必要がある。ただし、エージェントの自律性が高まることにより、従来の静的なワークフローに基づく責任の割り当てが複雑化する可能性がある。さらに、エージェントのライフサイクルには複数のステークホルダーが関与するため、責任の所在が分散するリスクもある。
    ・組織内外の関係者の責任範囲を明確に定義し、技術の進化に応じて迅速に対応できるよう、適応的なガバナンス体制を整備することが重要である。特に、ヒューマン・イン・ザ・ループ(HITL:Human-in-the-Loop)の設計は、自動化バイアスへの対処を含めて再考する必要がある。たとえば、重大な判断や不可逆な行動には人間の承認を必須とするチェックポイントを設けることや、人間による監督が時間とともに有効に機能しているかを定期的に監査することが求められる。
  3. 技術的な制御とプロセスを実装する
    ・エージェントを安全かつ信頼性の高い形で運用するために、ライフサイクル全体にわたって技術的な対策を講じる必要がある。
    ・開発段階では、計画機能、ツール、成熟途上のプロトコルなど、エージェンティック AI特有の新しい構成要素に対して、技術的制御を組み込むことが重要である。これにより、新たな攻撃対象領域から生じるリスクに対応できる。
    ・導入前には、エージェントの基本的な安全性と信頼性(実行精度、ポリシー遵守、ツール使用の適切性など)を検証する必要がある。これには、従来とは異なる新しいテスト手法が求められる。
    ・導入時および導入後には、エージェントが環境と動的に相互作用するため、すべてのリスクを事前に予測することは困難である。そのため、段階的な導入と継続的なモニタリングが推奨される。
  4. エンドユーザーの責任を可能にする
    ・エージェントの信頼性ある導入は、開発者だけでなく、それを使用するエンドユーザーの責任ある利用にも依存する。
    ・責任ある利用を促すために、最低限として、ユーザーにはエージェントの行動範囲、アクセス可能なデータ、ユーザー自身の責任について明確に伝える必要がある。
    ・組織は、人間とエージェントの相互作用を適切に管理し、効果的な監督を行うための知識を従業員に提供するトレーニングを実施することも検討すべきである。これは、従業員が自身の専門性や基本的なスキルを維持しながら、エージェントと協働できるようにするためである。  シンガポールサイバーセキュリティ庁のサイバーセキュリティ認証プログラムに準拠したAIセキュリティガイドラインが、AIシステム全般(モデル、データ、インフラ)を対象とし、セキュリティ・バイ・デザイン、攻撃耐性、アクセス制御の観点から、技術的セキュリティ対策(設計・運用)に焦点を当てているのに対して、本フレームワークは、エージェンティックAIを対象とし、リスク評価、責任分担、技術制御、ヒューマン・イン・ザ・ループの観点から、ガバナンス、責任、リスク管理、ユーザー教育に焦点を当てている。

AIセキュリティ認証プログラムは、エージェンティックAIを含むAIシステム全般の技術的な安全性と堅牢性を担保するための基盤を提供する一方、エージェンティック AI向けモデルAIガバナンスフレームワークは、エージェンティックAIの設計・導入・運用におけるリスク管理と責任の明確化を通じて、信頼性ある社会実装を支援する。両者は、技術とガバナンスの両輪として、シンガポールにおけるAIの安全・信頼・倫理的な活用を支える枠組みとなっている。

エージェンティックAI固有のセキュリティ課題

 シンガポールのエージェンティックAI向けモデルAIガバナンスフレームワークは、クラウドセキュリティアライアンス(CSA)の公開情報の中で、「エージェンティックAI: その進化、リスク、セキュリティ課題の理解」(2025年5月12日公開、https://cloudsecurityalliance.org/blog/2025/05/12/agentic-ai-understanding-its-evolution-risks-and-security-challenges)と、「エージェンティックAIにおけるアイデンティティ/アクセス管理:新たなアプローチ」(2025年8月18日公開、https://cloudsecurityalliance.org/artifacts/agentic-ai-identity-and-access-management-a-new-approach)を参照している。

前者の「エージェンティックAI: その進化、リスク、セキュリティ課題の理解」では、エージェンティックAIのセキュリティ課題として、安全性(エージェントが有害な行動を取らないようにする)およびセキュリティ(悪意ある攻撃者による悪用を防ぐ)を挙げた上で、以下のような脅威例を挙げている。

・意図の破壊・目標の操作:プロンプトインジェクションなどにより、エージェントの目的を誤認させる。
・メモリポイズニング:履歴やデータストアを改ざんし、意思決定を誤らせる。
・連鎖的なハルシネーション:LLMが誤情報を生成し、それがシステム全体に波及する。

そして、エージェンティックAIのセキュリティが重要な理由として、以下のような点を挙げている。

・データやシステムの悪用リスク:アクセス権限を持つエージェントが乗っ取られると深刻な被害に遭う
・予期せぬ結果:モデルの非決定性により、意図しない行動が発生する可能性がある
・自律性のリスク:人間の関与が減ることで、過剰な自律性が暴走する恐れがある
・規制・コンプライアンス対応:将来的にはエージェンティックAIにも特有の法的要件が課される見込みである

エージェンティックAIは、自律性・適応性・複雑なタスク処理能力を備えた次世代AIとして期待される一方で、新たなセキュリティリスクやガバナンス課題をもたらす。これに対応するには、従来のサイバーセキュリティに加え、以下の通りAI特有のリスクに対応した新しいフレームワークとプロアクティブな対策が不可欠だとしている。

・新たなガバナンス基準やフレームワークが必要(例:OWASP Top 10 for LLM Apps、MITRE OCCULTなど)。
・設計段階からのセキュリティ重視、エージェントの認証・認可・監視の強化が求められる

エージェンティックAIで進化するアイデンティティ/アクセス管理

 次に、後者の「エージェンティックAIにおけるアイデンティティ/アクセス管理:新たなアプローチ」では、エージェンティックAIにおけるアイデンティティ/アクセス管理(IAM)が、従来のID管理システムとは根本的に異なるパラダイムシフトを示している点を強調している。従来のIAMプロトコルは、予測可能な人間のユーザーや静的なアプリケーションを対象に設計されていたが、エージェンティックAIシステムは自律的に動作し、動的な意思決定を行い、リアルタイムで適応可能なきめ細かなアクセス制御を必要とする。

しかしながら、OAuth 2.1やSAMLといった従来のプロトコルは、粗い粒度の静的な性質や、マシンレベルの高速な認証処理への非対応、そして自律的なAIの運用に必要な文脈認識の欠如といった理由から、エージェンティックAIには適していない。

この課題に対する解決策としては、以下の機能を統合した包括的なフレームワークが求められる。

・ゼロトラスト・アーキテクチャ
・分散型ID管理
・動的なポリシーベースのアクセス制御
・継続的な監視

これにより、安全性・説明責任・コンプライアンスを確保したAIエージェントの導入が可能になるとしている。

従来のIAMシステムは、主に人間のユーザーや静的なマシンIDを対象に、OAuth、OpenID Connect(OIDC)、SAMLなどのプロトコルを通じて設計されてきた。しかし、これらのシステムは、複数の知的エージェントが相互に連携して動作するマルチエージェントシステム(MAS)のような、動的・相互依存的・一時的な性質を持つAIエージェントのスケーラブルな運用には本質的に不十分である。

CSAは、以下の通り新たなエージェンティックAI向けアイデンティティ/アクセス管理(IAM)フレームワークの必要性を提唱している。

  1. 既存プロトコルの限界の分析:
    まず、マルチエージェントシステム(MAS)に既存のプロトコルを適用した際の限界を分解し、粗い粒度の制御、単一エンティティへの最適化、文脈認識の欠如がなぜ効果的でないのかを具体例を交えて説明する。
  2. 新たなIAMフレームワークの提案:
    エージェントの能力、出自、行動範囲、セキュリティ姿勢を包括的に表現できる、検証可能なリッチなエージェントアイデンティティ(ID)に基づいたフレームワークを提案する。これには、分散型識別子(DID)と検証可能な資格情報(VC)を活用する。

このフレームワークには以下の要素が含まれる。

・Agent Naming Service(ANS):
エージェントの安全かつ能力認識に基づく発見(ディスカバリ)を可能にする命名サービス。
・動的かつきめ細かなアクセス制御メカニズム:
属性ベースアクセス制御(ABAC)、ポリシーベースアクセス制御(PBAC)、ジャストインタイム(JIT)アクセスなどを活用する。
・統合されたグローバルセッション管理とポリシー強制レイヤー:
リアルタイム制御と一貫したアクセス権の取り消しを、異種のエージェント通信プロトコル間で実現する。

さらに、ゼロ知識証明(ZKP)を活用することにより、プライバシーを保護しながら属性情報を開示し、ポリシー準拠を検証可能にする方法についても検討するとしている。

CSAは、この新しいIAMパラダイムのアーキテクチャ、運用ライフサイクル、革新的な貢献点、セキュリティ上の考慮事項を概説し、エージェンティックAIとその複雑なエコシステムに必要な信頼性・説明責任・セキュリティの基盤構築を目指すとしている。

このようにみていくと、シンガポールは、エージェンティックAIの社会実装に向けたガバナンスとセキュリティの両面で世界をリードしている。シンガポールサイバーセキュリティ庁のAIセキュリティガイドラインとシンガポール情報通信メディア開発庁のエージェンティックAI向けフレームワークは、相互補完的に機能し、信頼性あるAI活用の基盤構築に寄与している。その中で、クラウドセキュリティアライアンスのクラウドセキュリティおよびAIセキュリティ関連文書も有効活用されている。

CSAジャパン関西支部メンバー
DevSecOps/サーバーレスWGリーダー
笹原英司

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA

*