AIエージェントを狙う4つの脅威とは? IBMが説く「ゼロトラスト」5つの対策:“内部”そのものが攻撃対象になる
生成AIの業務活用が広がる中、IBMはAIエージェントに対してゼロトラストセキュリティを適用する重要性を提唱する。そこで、5つの具体的な対策を紹介している。
業務における生成AIの活用が広がっている。一方、AIエージェントの自律性が高まるほど、攻撃対象領域(アタックサーフェス)は指数関数的に拡大する。
こうした中、IBMでディスティングイッシュトエンジニアを務めるジェフ・クルム氏は、全てのアクセスを信頼せず常に検証する「ゼロトラストセキュリティ」の原則をAIエージェントに適用すべきだと指摘する。
従来の「境界型セキュリティ」では、社内ネットワークの外側を固める“硬い外壁”を作る考え方が中心だった。だがAIエージェント時代には、その考え方だけでは不十分になる。なぜなら、AIエージェント自身がAPI、SaaS、クラウド、データベースを横断して行動するため、“内部”そのものが攻撃面になり得るからだ。
IBMが説くゼロトラストの原則4選
併せて読みたいお薦め記事
AIエージェントの関連記事
クルム氏は、マーケティング的なバズワードではない、“本質的な”ゼロトラストの原則を4つ紹介する。
1.検証されたものだけを信頼する
ゼロトラストでは、「Trust but Verify」(基本は信頼するが、重要なところは確認する)ではなく、「Verify, then Trust」(まず検証してから信頼する)という順序を重視する。つまり、ユーザー、API、AIエージェント、ツール、通信経路など、あらゆる要素を常時検証する。
2.「Just in Time」(必要な時だけ)
従来のシステムでは、「後で必要になるかもしれない」という理由で、広い権限を長期間付与するケースがある。ゼロトラストでは、「万が一に備えて」(Just in case)過剰な権限をあらかじめ与えるのではなく、「最小権限の原則」を徹底し、「必要な瞬間だけ」(Just in Time)権限を付与する。
3.システム全体へセキュリティ制御を張り巡らせる
従来型の“外は硬いが中は柔らかい”境界防御ではなく、ネットワーク、データ、API、認証、AIモデルなど、あらゆるレイヤーへ制御を埋め込む。
4.侵害されている前提であると考える(Assumption of Breach)
「すでに悪意ある攻撃者がシステム、ネットワーク、データベース、アプリケーションに侵入しており、盗んだ認証情報で高い特権すら得ている」という前提から逆算してセキュリティを設計する。
AIエージェント環境の新たな脅威と攻撃対象
従来のIT環境では、“人間”が脅威の主体だった。だがAIエージェント環境では、“ソフトウェアそのもの”が主体になる。AIエージェントは、独自の認証情報、いわゆる「非人間アイデンティティー」(NHI:Non-Human Identity)を使いながら、自律的に行動する。その結果、攻撃者にとっての侵入口も急増する。クルム氏は、4つの攻撃対象を紹介する。
1. インプット層(Sensing)
直接的なプロンプトインジェクションなどによってシステムのコンテキストを破壊し、人間のユーザーが本来意図していない行動を取らせる。
2. 思考層(Thinking)
AIエージェントの行動指針となる「ポリシー」や「ユーザーの好み」(Preference)を汚染(ポイズニング)したり、学習データを改ざんしたりする。
3. アクション層(Acting)
APIやMCP(Model Context Protocol)といったAIエージェントが外部ツールを呼び出すインタフェース間の通信に攻撃者が割り込み、制御を乗っ取る。
4. AIエージェントへ付与された認証情報(Credentials)
AIエージェントに付与されたアカウント情報をコピーしたり、特権昇格を狙ったりする。
AIエージェント時代に必要な5つの取り組み
クルム氏は、拡大する脅威からAIエージェントを守るためには、アーキテクチャ全体で取り組むべき5つの施策があると説明する。
1. NHIと認証情報を動的に管理する
AIエージェント環境では、パスワードやAPIキーをコードへ埋め込むのは「絶対に避けるべき」だとクルム氏は話す。
代わりに、全ての認証情報を「Vault」(秘密情報保管庫)で一元管理し、必要時だけ発行する動的な運用へ移行することを同氏は薦める。
さらに、AIエージェントだけでなく、AIが生成したサブエージェントにも固有の認証情報を付与し、厳格に追跡する。
2. 「ツールレジストリ」で未検証ツールを排除する
AIエージェントが自由に外部ツールを探し始めると、攻撃対象は無制限に広がる。そこで重要になるのが、「検証済みツールだけを許可する」仕組みだ。
安全性が確認されたAPI、データベース、ツールのみを登録した「Tool Registry」(ツールレジストリ)を作成し、レジストリに登録されたツールのみをAIエージェントに利用させる重要性をクルム氏は説明する。
3. 「AIゲートウェイ/AIファイアウォール」を配置する
AIエージェント環境では、従来型のWAF(Webアプリケーションファイアウォール)だけでは不十分になる可能性がある。
そのため、AI向けの監視・執行レイヤーとして、「AI Gateway」や「AI Firewall」が必要になるという。これらは、プロンプトインジェクションや不正なAPIの呼び出し、情報漏えい、不適切なツール利用などをリアルタイムに検知・遮断する役割を担う。
AIエージェントから外部ツールに対する出力においても、不正なリクエストが送られていないか、機密情報の漏えいがないかを監視し、不適切なコールをブロックする執行レイヤーとして機能する。
4. 改ざん不可能なログで「AIの判断理由」を追跡する
AIエージェントが「なぜその行動をとったのか」の根拠となる推論プロセスを後から監査できるよう、攻撃者が侵入しても書き換えることができない、変更不可(イミュータブル)なログを強制的に記録するようにする。
さらに、ネットワークスキャンやエンドポイント監視だけでなく、AIモデル自体の脆弱性を検査する専用スキャンツールも必要になるという。
5. 人間が制御できるようにする
完全自律型AIへの期待が高まる一方、クルム氏は、人間が介在、確認する「Human in the Loop」を組み込む重要性を強調する。Human in the Loopを組み込むための仕組みとして同氏は以下を紹介する。
- AIが暴走した際に物理的に活動を停止できる「キルスイッチ」
- 購買用のAIエージェントであれば、AIエージェントが迅速に大量の商品を買い占めるといったアクションを制御できるよう、行動の流量を制限する「スロットル」
- 新しいAIエージェントをいきなり全社展開するのではなく、限定的な環境で試験運用する「カナリアデプロイ」
クルム氏は、AIエージェントに対しても「自分が誰であるかを証明し、何を望んでいるかを正当化し、継続的に信頼を勝ち取らなければならない」と強調する。
本稿は、IBMが2026年2月10日に公開した動画「Securing AI Agents with Zero Trust」を基に作成しました。
Copyright © ITmedia, Inc. All Rights Reserved.