従業員の3割が勝手に使うAI 暴走を止めるには？：「シャドーIT」から「シャドーエージェント」へ

Fortune 500企業の8割がAIエージェントを導入する一方、適切なセキュリティ制御ができている企業は半数に満たない。情シスに求められるのはAIの意思決定を保護する「推論レイヤー」の構築だ。ガバナンスを再構築する90日間の戦略的ロードマップを解説する。

[Eugina Jordan，TechTarget]

　企業のAI導入は急速に加速している。しかし大半のCIO（最高情報責任者）にとって、現在の状況は「列車が全速力で走行している最中に、安全柵を必死に設置している」ようなものだ。

　Microsoftが2026年2月に発表したレポート「Cyber Pulse」は、こうした実態を浮き彫りにした。Fortune 500企業の80％が既に自律型エージェントを稼働させている一方で、それらを管理する体制を整えている企業は半数に満たない。

　これはもはや、従業員がチャットボットで遊んでいるなどといったレベルの話ではない。最大のセキュリティリスクは「シャドーエージェント」だ。自律的なスクリプトを使い、ガバナンスを回避している従業員が既に29％に達している。これらのエージェントがSaaSも含めたワークフローを独自に計画し始めれば、従来のネットワーク境界は事実上消滅する。

　ITリーダーは戦略の転換が必要だ。単に優れたファイアウォールを導入するだけでは足りない。自然言語を具体的な行動へと変換する「推論の境界」を保護する必要がある。以下では、ガバナンスを再構築する90日間の戦略的ロードマップを解説する。

エグゼクティブサマリー

• ガバナンスのギャップ：Fortune 500企業の80％が自律型AIエージェントを導入しているが、正式なセキュリティ管理を実施している企業は47％にとどまる
• シャドーエージェントという新たなシャドーIT：従業員の約29％が未承認のAIエージェントを利用していると報告しており、正式なID・アクセス管理の及ばないガバナンス上のリスクが生じている
• ネットワークを超えた保護：ファイアウォールへの執着を捨てるべきである。2026年で真の境界線となるのは、AIモデルが企業のセキュリティを損なう決定を下す「推論の境界」だ
• 戦略の再構築：CIOはエージェントを特権IDとして扱う必要がある。MCP（Model Context Protocol）などのツールを活用し、静的な権限管理から「ジャストインタイム」型の権限モデルへ移行すべきだ

モデルレイヤーの保護：入力とコンテキストの制御

「シャドーAI」に関連する編集部お薦め記事

　エージェントによるワークフローにおいて、攻撃対象領域（アタックサーフェス）は言語そのものである。大規模言語モデル（LLM）は自然言語を実行命令として処理するため、コンテキストポイズニング（文脈汚染）の被害を受けやすい。もしエージェントが「ローカルの請求書をXに転送せよ」といった隠れた指示を含む信頼できないドキュメントを読み込んだ場合、その指示を主要な目的の一部として実行してしまう可能性がある。

　アーキテクチャ上の対策として、以下が挙げられる。

• システムプロンプトの隔離：推論ゲートウェイのレベルで指示を隔離し、ユーザーの入力によって上書きされないようにする
• 検索結果のサニタイズ：RAG（検索拡張生成）のパイプラインにファイアウォールを実装する。取得したコンテンツがモデルに届く前に、実行命令が含まれていないかを確認し、除去する
• 推論と実行の分離：LLMには行動案の提示のみを行わせる。実際の書き込み操作を完了する前に、独立した「非インテリジェント」なサービス、または人間による確認プロセスを介して、ユーザーセッションに対する権限を検証する

ガバナンスレイヤーの管理：確実な制御の実現

　LLMは設計上、出力が確率的に変動する「非決定的」な性質を持つ。これが従来のセキュリティやコンプライアンス対応を困難にしている。トークンサンプリングのわずかな変化が、昨日までは存在しなかったポリシー違反を引き起こす可能性がある。CIOは、確率的なモデルを決定論的な制御レイヤーで囲い込まなければならない。

　制御の枠組みとして、以下が挙げられる。

• 出力スキーマの検証：ワークフローで使用されるレスポンスを、JSONやPydanticなどの厳格なスキーマと照合する。検証に失敗した場合はすぐに実行を停止する
• 確信度によるトリガ：内部的な対数確率を利用し、確信度の低い判断は自動的に人間による確認キューへ回す
• フルスタックのトレイシング：「ユーザーがXと言った」という単純なログでは不十分だ。エージェントの推論チェーン全体を再構成できる詳細なログを保持する必要がある。これにはプロンプトのバージョンや、検索された特定のベクトルチャンクも含まれる

インフラレイヤーの要塞化：エージェントの自律性とアイデンティティー

　従来のAPIセキュリティは、静的な権限付与を前提としていた。しかし、多段階のワークフローを動的に計画するエージェントでは、このモデルは通用しない。最も一般的な失敗は、連携を簡素化するために、エージェントに過剰な権限を持つAPIキーを付与してしまう「権限の肥大化」だ。

　最新のエージェントガバナンスは以下のようなものである。

• 正式なエージェントIDの確立：MCP（Model Context Protocol）を使用して、エージェントが特定のタスクを実行する権限を持っているかを検証する
• ジャストインタイム（JIT）認証：データの書き込みアクションが発生する際に、一時的かつ範囲を限定した認証情報を発行する。タスクが完了した瞬間にその権限は失効させる
• 中央集権型のエージェント台帳：全ての自律型エージェントを登録し、バージョン管理を行う。分析エージェントが突然人事の給与データを照会するといった行動の異常を監視する

データレイヤーの保護：推論リスクと情報漏えい

　RAG（Retrieval-Augmented Generation：検索拡張生成）では、文書はベクトル埋め込みに変換される。ここで検索フィルターの設定を誤ると、適切な権限を持たないユーザーでAIが機密文書を要約してしまい、侵入がなくてもデータが漏えいするリスクがある。

　データ保護策としては以下が挙げられる。

• トークンレベルの秘匿化：データを埋め込みモデルに送る前に、個人情報（PII）や規制対象となる項目を削除する
• ベクトルストアのセグメント化：全てのデータを1つの巨大な器に集めない。テナントや機密区分ごとにストアを分割し、エージェントが未認可のデータにアクセスするのを物理的に防ぐ
• 規制への対応：2026年時点の基準では、セッション中にAIが機密情報を漏えいさせることは法的にデータ侵害と同等と見なされる

90日間のCIO戦略ロードマップ

　これは単なる技術的な課題ではなく、戦略的な転換である。次の四半期でAIエコシステムの管理を取り戻すためのロードマップを以下に示す。

• 1〜30日目（可視化と現状把握）

　推測を止め、セキュリティ上の脆弱性の監査を開始する。環境内のあらゆる未承認エージェントを洗い出し、リスク別に階層化する。特に個人情報や財務データに触れるものを重点的に調査する

• 31〜60日目（連携の強化）

　推論と実行の分離を試験的に導入する。LLMは行動の提案のみを行い、実際の削除や送信などの処理は、権限チェックを行う別のサービスが実行する体制を整える

• 61〜90日目（プラットフォームの統合）

　無秩序な拡大に終止符を打つ。中央集権型のエージェント台帳を確立し、行動モニタリングを導入する。分析エージェントが人事データを見ようとするなどの異常な挙動を即座に検知できるようにする

　エージェントセキュリティの目的はイノベーションを遅らせることではない。安全に規模を拡大するために必要な、組織としての強固な土台を提供することにある。