AIエージェントはもう内側にいる、ファイブアイズが警鐘
米英豪加NZの5カ国サイバー機関がエージェンティックAIを核心的な脅威と位置付けるガイダンスを共同公表した。技術はすでに重要インフラで稼働しており、組織が監視・制御できる範囲を超えて権限を渡しているという。
米英豪加NZの5カ国サイバー機関がエージェンティックAIを核心的な脅威と位置付けるガイダンスを共同公表した。技術はすでに重要インフラで稼働しており、組織が監視・制御できる範囲を超えて権限を渡しているという。
「これから来る脅威」ではなく、もう内側にいる
ガイダンスの主語は未来形ではない。エージェンティックAIは既に重要インフラに入り込んでおり、しかも組織の防衛体制が追いついていない。ファイブアイズ(米英豪加NZの機密情報共有枠組み)の主要サイバー機関が4月30日に共同で公表した「Careful Adoption of Agentic AI Services」(エージェンティックAIサービスの慎重な採用)は、この前提から書き始められている。
文書を主導したのはオーストラリアのASD(Australian Signals Directorate)傘下のACSC(Australian Cyber Security Centre)。共著者には米CISA(サイバーセキュリティ・インフラセキュリティ庁)、NSA(国家安全保障局)、カナダのCyber Centre、ニュージーランドのNCSC-NZ、英国のNCSC-UKが名を連ねる。同盟5カ国が足並みを揃えてAIエージェントの危険性を「既に進行中の問題」として扱った点に意味がある。
技術が先行し、ガバナンスが後追いになっている。多くの組織は安全に監視できる範囲を超えてAIに権限を渡しているとガイダンスは指摘する。5カ国の情報機関が公式文書の形でこの現状を認めた事実は重い。
エージェンティックAIとは「自分で動くAI」
エージェンティックAI(agentic AI)は、大規模言語モデル(LLM)を中核に、外部のツール、データベース、メモリストア、自動化されたワークフローと接続することで、人間が各段階で確認しなくても複数ステップのタスクを自律的にこなすソフトウェアだ。
従来のチャットボットが「質問に答える」存在だったのに対し、エージェンティックAIは自ら動いて目標を達成する存在へと役割を変えている。ガイダンスの定義によれば、ユーザーの指示から測定可能なゴールを抽出し、ツールやシステムへの操作権限を持ち、長期的な計画を立てて実行する。設計者やユーザーの介入なしに副タスクを生成する、いわば「子エージェント」を自律的に作り出すケースもあるという。
問題は、自律性の度合いが上がるほど、一度の侵害で破壊できる範囲も広がる構造にある。LLM由来の脆弱性をそのまま継承しながら、攻撃者にとっての対象面積(attack surface)が桁違いに拡大していく。
5つのリスク領域
ガイダンスは、エージェンティックAI固有のリスクを5つに整理している。
第1は権限リスク。エージェントに過剰な権限を与えると、たった1つの侵害から従来のソフトウェア脆弱性とは比べ物にならない規模の被害が広がる。第2は設計・構成上の不備で、稼働前の段階でセキュリティの穴ができてしまうケースを指す。
第3は行動リスク。エージェントが、設計者が想定も予測もしなかった経路でゴールを追い求めてしまう問題だ。仕様の隙を突く挙動、欺瞞的な振る舞い、想定外の創発的能力などが含まれる。第4が構造リスクで、相互接続されたエージェント群が連鎖的に障害を引き起こす可能性を扱う。
第5は説明責任リスクだ。エージェンティックAIの意思決定プロセスは検証が難しく、生成されるログも人間が解析しづらい。何がどこで間違ったのか、誰が責任を負うのかが曖昧になる。そして失敗したときの結果は具体的だ。ファイルが書き換えられ、アクセス権が変更され、監査証跡そのものが消される。
5つのリスクをこう整理した上で、ガイダンスは「対応策は既存の枠組みの中にある」と続ける。
各機関の中心メッセージは、エージェンティックAIに対して全く新しいセキュリティ分野を立ち上げる必要はない、というものだ。組織は既存のサイバーセキュリティフレームワークとガバナンス構造の中にこの技術を組み込み、ゼロトラスト、多層防御、最小権限アクセスといった確立済みの原則を適用すべきである。
プロンプトインジェクションは「解決できないかもしれない」
ガイダンスはプロンプトインジェクション(prompt injection)にも具体的な警告を発している。データの中に埋め込まれた命令がエージェントの動作を乗っ取り、悪意あるタスクを実行させる攻撃だ。
LLMの登場以来、この問題は根深く残り続けている。一部の企業は「解決できないかもしれない」という見立てを既に表明しており、エージェンティックAIではその脅威がさらに増幅される。チャットボットなら誤った返答で済んだ攻撃が、エージェントの場合は実際の操作として実行されてしまうからだ。
文書はメール監視エージェントの例を挙げている。フィッシングメールに悪意あるプロンプトを仕込めば、攻撃者はそのエージェントをだましてマルウェアをダウンロードさせることができる。既存のサイバー攻撃手法とAI固有の手法が組み合わさることで、防御の境界線は曖昧になる一方だ。
鍵を握るのはアイデンティティ管理
ガイダンスが繰り返し強調しているのが、エージェントのアイデンティティ管理(identity management)だ。各エージェントに検証済みかつ暗号学的に保護されたアイデンティティを持たせ、短命のクレデンシャルを使い、他のエージェントやサービスとの通信は全て暗号化する。これが推奨ラインとなる。
そして影響の大きい操作については人間の承認を必須とする。注目すべきは、ガイダンスが「どの操作に承認を要するか」を決めるのはシステム設計者であってエージェント自身ではない、と明示している点だ。文書はこの分担を1行ではっきり書いている。
どの操作に人間の承認を要するかを決めるのは、エージェントではなくシステム設計者の責務である。
AIが自分で判断する仕組みは、その判断自体が攻撃対象になり得る以上、信頼の起点に置けない。組織内で人間が果たすべき役割は、AIの自律性が拡大するほど狭まるどころか、むしろ重みを増す。判断の境界線を引き続けるという、最も高度な仕事が残されているわけだ。
セキュリティ業界も追いついていない
文書の終盤には、ある種の自白に近い記述がある。
セキュリティ実践、評価手法、標準が成熟するまでの間、組織はエージェンティックAIシステムが予期せぬ動作をする可能性を前提とし、それに合わせて展開計画を立てるべきである。効率性向上よりも、復元性、可逆性、リスクの封じ込めを優先せよ。
5カ国の情報機関がここまで踏み込んで「現時点では完璧な防御策が存在しない」と書いた事実は重い。一部のリスクは既存のフレームワークではカバーされておらず、より多くの研究と協調が必要だとガイダンスは結論づけている。
導入を進めながら継続的にリスクモデルを更新し、強固なガバナンスと明示的な説明責任、厳格な監視、そして人間による監督を維持する。これがガイダンスの示す現実的な処方箋だ。技術が先行している局面で、防御に回る組織が選べる選択肢はそう多くない。
効率と安全の天秤
エージェンティックAIは、これまでのITシステムと根本的に違う性質を持っている。決まった命令を決まった通りに実行するのではなく、目標を達成するために自分で経路を選ぶ。ゆえに、システム設計者が想定した経路の外側に常に「未知の領域」が広がっている。
ガイダンスが効率性より封じ込めを優先せよと書いたとき、その背後にあるのは「速度を出したら戻せない」という認識だ。可逆性を担保しないまま深く統合すれば、何かが壊れたときの修復コストは指数関数的に膨らむ。重要インフラや防衛分野でこれを誤れば、影響は組織内に閉じない。
「assume agentic AI systems may behave unexpectedly」(エージェンティックAIシステムは予期しない動作をすると仮定せよ)。5カ国の機関がこう書いた事実そのものが、いま手元に置いておくべき判断材料だ。
参照元
他参照
関連記事
- GPT-5.5、Mythos並のサイバー攻撃能力を英国AISIが確認
- AIエージェントが9秒で本番DBを消した、Cursor+Railwayの構造問題
- Mythos神話の崩壊、オープンソースで同等のバグ発見
- Claude Mythosが越えた一線、サイバー攻防の新段階
- 米CISA長官候補のプランキー、13カ月の審議停滞を経て辞退
- 「危険すぎて公開できない」AIが発表当日に不正アクセスされていた
- OpenAIがCodexに「クロニクル」——Windows Recallの轍を踏むか
- MCPに設計レベルの欠陥、AI各社が揃って「仕様通り」と回答
- トランプ「誰それ?」会談、西棟で進むアモデイ和解路線
- 改変版Mythosを連邦機関へ、OMBの解禁と国防排除の併走
