情シスが知るべき「AIランタイムセキュリティ」の現実的な対策：AIを「スタッフ」と捉えよ

AIによるデータ漏えい対策に目が向けられがちだが、稼働中のモデルを保護する「ランタイムセキュリティ」は深刻な死角となっている。自律的に動くAIエージェントは、既存の防御策を容易に突破し、組織を内部から破壊する武器になりかねない。AIをスタッフと見なし、ゼロトラスト原則を適用すべき理由と具体的な防衛策を詳説する。

[John Burke，TechTarget]

　CISO（最高情報セキュリティ責任者）はAIがサイバーセキュリティに与える影響を認識している。しかし、その大半はいまだにAIによるデータ流出やコンプライアンス違反の防止に終始しており、AIに関連するサイバーセキュリティの全容に目を向けている層はまだ少数だ。

　「ランタイムセキュリティ」は、稼働中のモデルを侵害から保護することにフォーカスしたものだ。開発やデプロイの段階だけでなく、AIシステムが実際に動作し、意思決定を行っている最中に監視・保護・制御することを意味する。

　稼働中のAIツールの侵害を防ぐことは、データ流出やコンプライアンス違反から組織を守るだけではない。AIが他の攻撃を仕掛けたり支援したりするための武器として悪用されるのを防ぐことにもつながる。つまり、AIツールそのものを守るだけでなく、AIツールからビジネスを守る役割を果たす。具体的には、プロンプトインジェクション攻撃、ツールの無断使用、過剰な権限、モデルの悪用といった脅威からモデルを保護する。

　ランタイムセキュリティには、アクセス権の保護、入力の精査、出力のチェックが必要だ。また、AIに異常な挙動がないかを監視することも必要となる。以下では、AIをスタッフと見なし、ゼロトラスト原則を適用すべき理由と具体的な防衛策を詳説する。

AIを「ソフトウェア」ではなく「スタッフ」と捉える

「AIとゼロトラスト」に関連する編集部お薦め記事

　データ流出というよくあるシナリオを超えて、なぜ詳細なランタイムセキュリティに労力をかける価値があるのか。そう疑問に思うCISOもいるだろう。適切な考え方を持つには、AIを単なるソフトウェアではなく「スタッフ」と見なすのが近道だ。

　従来のWebアプリケーションは、一般に開発者がコードで記述したことしか実行しない。一方、AIモデルやエージェントは、学習内容に応じて推論し、ツールを選択し、アクションを連鎖させ、複数の結果を伴う行動をとることができる。侵害されたAIが企業に与えるダメージは、そのAIが誰に、どの程度信頼されているかに比例する。以下のシナリオを考えてみてほしい。

• ネットワーク内の分析AI：スタッフのトラブルシューティングを支援するAIが、外部の攻撃者に侵害のための重要情報を提供してしまう。また、侵害の痕跡を隠蔽するために悪用される恐れもある
• ネットワーク内のエージェント型AI：ネットワーク機器の設定を変更できるAIが、外部の攻撃者のためにセキュリティホールを作成してしまう。進行中の侵害を示す監視データの流れを迂回（うかい）させたり、停止させたりすることも考えられる
• 精査機能のないAI：プロンプトや出力の精査が行われない場合、データを外部に流出させるよう指示する命令を埋め込んだプロンプトや外部データが入力される可能性がある
• プロンプト精査のないAI：従業員からの正当な要求に、AIがだまされて嘘をつくように仕向けられる。従業員は、データツールが意図的にデータを偽って提示するとは考えていないため、被害に遭いやすい

AIランタイムセキュリティの課題

　AIランタイムセキュリティで直面する最大の課題は、企業内でのAI活用の拡大、技術の進化、そしてAI専用ツールの不足だ。

急速に進化するAIの活用

　ソフトウェアベンダーは、自社製品にAIを組み込むさまざまな方法を模索し続けている。一方でユーザーや企業は、システム間にAIを介在させることで価値を引き出そうとしている。企業はAIツールに、より多くの、かつ多様な種類のデータや、ITサービスの基幹環境へのアクセス権を与えつつある。そのため、必要な全ての箇所にセキュリティを組み込むことは、動き続ける標的を狙うような難しさがある。

進化するAIのコア技術

　サイバーセキュリティから見て最も危険な変化は、受動的なツールから能動的なツール（エージェント）へ、そして独立したAIツールから統合されたAIツールへの急速な移行である。特に後者は、Model Context Protocol（MCP）の普及によって促進されており、攻撃対象領域を複雑化させ、拡大させている。

AI専用セキュリティツールの不足

　AI専用のセキュリティツールがないため、既存のツールやサービスに頼らざるを得ないが、それらは新たな課題に対応しきれていない。従来の静的コードスキャナーやソフトウェア構成分析（SCA）では、汚染されたプロンプトファイルやスキル定義を検出できない。また、従来のWebアプリケーションファイアウォール（WAF）では、外部公開されたAIに対する悪意のあるプロンプト入力を検出・遮断できない。

　さらに、攻撃者もAIを利用でき、AIツールを侵害する方法を見つけるためにAIを駆使しているという点も忘れてはならない。

AIランタイムセキュリティのベストプラクティス

　何よりもまず、AIにはゼロトラストセキュリティが必要だ。それを前提とすれば、以下のようなベストプラクティスが見えてくる。

• アイデンティティー（ID）をゼロトラストの中核に据える：ユーザーや従来のソフトウェア、ハードウェアだけでなく、AIそのものにもIDを適用する
• ゼロトラストの原則をAIに適用する：明示的に許可されていないAIツールへのアクセスは全て遮断する。MCPを介した他のAIも含め、そのツールがサービスを提供すべきユーザーやシステムにのみアクセス権を与える
• アクセス制御の先までゼロトラストを拡張する：AIシステムへのアクセスを許可されたエンティティでも、意図された場合を除いて全ての機能をデフォルトで利用させるべきではない。これには、不適切なデータ要求やツールの悪用を試みる動きを阻止するためのプロンプトフィルタリングが含まれる
• ランタイムの挙動にゼロトラストを適用する：完全なゼロトラスト環境では、挙動を監視し、それに基づいてアクセス権限を能動的に更新する必要がある。AIでは、不審なプロンプトを繰り返し入力しようとするユーザーや、その接続元システムを遮断することがこれにあたる。同様に、AIに不正な動作をさせようとするMCPノードも遮断すべきである。奇妙な動作や悪意のある動作を始めたAIツール自体のアクセス権も停止させる

　こうした原則を環境に実装するには、新規導入やアップグレードによって、サイバーセキュリティツールの新たなレイヤーを幾つか構築する必要がある。また、動的なAIエージェント環境を処理できるアイデンティティー管理システムも必要になるだろう。CISOはAI戦略に基づいたリスク評価を実施し、必要な投資の優先順位を決定すべきだ。