生成AIの業務活用が広がる中、IBMはAIエージェントに対してゼロトラストセキュリティを適用する重要性を提唱する。そこで、5つの具体的な対策を紹介している。
業務における生成AIの活用が広がっている。一方、AIエージェントの自律性が高まるほど、攻撃対象領域(アタックサーフェス)は指数関数的に拡大する。
こうした中、IBMでディスティングイッシュトエンジニアを務めるジェフ・クルム氏は、全てのアクセスを信頼せず常に検証する「ゼロトラストセキュリティ」の原則をAIエージェントに適用すべきだと指摘する。
従来の「境界型セキュリティ」では、社内ネットワークの外側を固める“硬い外壁”を作る考え方が中心だった。だがAIエージェント時代には、その考え方だけでは不十分になる。なぜなら、AIエージェント自身がAPI、SaaS、クラウド、データベースを横断して行動するため、“内部”そのものが攻撃面になり得るからだ。
クルム氏は、マーケティング的なバズワードではない、“本質的な”ゼロトラストの原則を4つ紹介する。
ゼロトラストでは、「Trust but Verify」(基本は信頼するが、重要なところは確認する)ではなく、「Verify, then Trust」(まず検証してから信頼する)という順序を重視する。つまり、ユーザー、API、AIエージェント、ツール、通信経路など、あらゆる要素を常時検証する。
従来のシステムでは、「後で必要になるかもしれない」という理由で、広い権限を長期間付与するケースがある。ゼロトラストでは、「万が一に備えて」(Just in case)過剰な権限をあらかじめ与えるのではなく、「最小権限の原則」を徹底し、「必要な瞬間だけ」(Just in Time)権限を付与する。
従来型の“外は硬いが中は柔らかい”境界防御ではなく、ネットワーク、データ、API、認証、AIモデルなど、あらゆるレイヤーへ制御を埋め込む。
「すでに悪意ある攻撃者がシステム、ネットワーク、データベース、アプリケーションに侵入しており、盗んだ認証情報で高い特権すら得ている」という前提から逆算してセキュリティを設計する。
従来のIT環境では、“人間”が脅威の主体だった。だがAIエージェント環境では、“ソフトウェアそのもの”が主体になる。AIエージェントは、独自の認証情報、いわゆる「非人間アイデンティティー」(NHI:Non-Human Identity)を使いながら、自律的に行動する。その結果、攻撃者にとっての侵入口も急増する。クルム氏は、4つの攻撃対象を紹介する。
直接的なプロンプトインジェクションなどによってシステムのコンテキストを破壊し、人間のユーザーが本来意図していない行動を取らせる。
AIエージェントの行動指針となる「ポリシー」や「ユーザーの好み」(Preference)を汚染(ポイズニング)したり、学習データを改ざんしたりする。
APIやMCP(Model Context Protocol)といったAIエージェントが外部ツールを呼び出すインタフェース間の通信に攻撃者が割り込み、制御を乗っ取る。
AIエージェントに付与されたアカウント情報をコピーしたり、特権昇格を狙ったりする。
クルム氏は、拡大する脅威からAIエージェントを守るためには、アーキテクチャ全体で取り組むべき5つの施策があると説明する。
AIエージェント環境では、パスワードやAPIキーをコードへ埋め込むのは「絶対に避けるべき」だとクルム氏は話す。
代わりに、全ての認証情報を「Vault」(秘密情報保管庫)で一元管理し、必要時だけ発行する動的な運用へ移行することを同氏は薦める。
さらに、AIエージェントだけでなく、AIが生成したサブエージェントにも固有の認証情報を付与し、厳格に追跡する。
AIエージェントが自由に外部ツールを探し始めると、攻撃対象は無制限に広がる。そこで重要になるのが、「検証済みツールだけを許可する」仕組みだ。
安全性が確認されたAPI、データベース、ツールのみを登録した「Tool Registry」(ツールレジストリ)を作成し、レジストリに登録されたツールのみをAIエージェントに利用させる重要性をクルム氏は説明する。
AIエージェント環境では、従来型のWAF(Webアプリケーションファイアウォール)だけでは不十分になる可能性がある。
そのため、AI向けの監視・執行レイヤーとして、「AI Gateway」や「AI Firewall」が必要になるという。これらは、プロンプトインジェクションや不正なAPIの呼び出し、情報漏えい、不適切なツール利用などをリアルタイムに検知・遮断する役割を担う。
AIエージェントから外部ツールに対する出力においても、不正なリクエストが送られていないか、機密情報の漏えいがないかを監視し、不適切なコールをブロックする執行レイヤーとして機能する。
AIエージェントが「なぜその行動をとったのか」の根拠となる推論プロセスを後から監査できるよう、攻撃者が侵入しても書き換えることができない、変更不可(イミュータブル)なログを強制的に記録するようにする。
さらに、ネットワークスキャンやエンドポイント監視だけでなく、AIモデル自体の脆弱性を検査する専用スキャンツールも必要になるという。
完全自律型AIへの期待が高まる一方、クルム氏は、人間が介在、確認する「Human in the Loop」を組み込む重要性を強調する。Human in the Loopを組み込むための仕組みとして同氏は以下を紹介する。
クルム氏は、AIエージェントに対しても「自分が誰であるかを証明し、何を望んでいるかを正当化し、継続的に信頼を勝ち取らなければならない」と強調する。
本稿は、IBMが2026年2月10日に公開した動画「Securing AI Agents with Zero Trust」を基に作成しました。
Copyright © ITmedia, Inc. All Rights Reserved.
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
