壊滅的被害をもたらすAIエージェントの「3大リスク特性」から会社を守る防御策:従来型セキュリティの限界
自律型AIが持つ「データアクセス・外部通信・自律実行」の組み合わせは、企業に壊滅的被害をもたらす3大リスク特性だ。従来のセキュリティツールが通用しない中、情シスはどう立ち向かうべきか。現実的な防御策を提示する。
既に多くのCISO(最高情報セキュリティ責任者)が、AIセキュリティの議論で「リーサルトライフェクタ(lethal trifecta)」という言葉を耳にしているだろう。この用語は、AIエージェントが持つ3つのリスク特性の組み合わせを指し、これらがそろうと、エージェントは攻撃に脆弱(ぜいじゃく)となり、導入企業に甚大なリスクをもたらす。
この言葉は、Djangoの共同開発者としても知られるプログラマーのサイモン・ウィリソン氏がエージェント型AIに関連して提唱したものだ。残念ながら、サイバーセキュリティ分野で共通の定義は確立されていない。アナリストや研究者によって、挙げる要素が異なるからだ。もちろん要素は3つに限定されないが、「quadfecta(四要素)」や「quintfecta(五要素)」といった適切な呼称がないのも現状だ。
ウィリソン氏が説明した「リーサルトライフェクタ」は、以下の3つの特性を中心としている。
- 機密情報へのアクセス:従業員や顧客の個人情報、または機密扱いの知的財産へのアクセス権
- 制御不能なコンテンツの取り込み:企業が管理していない外部のWebサイトなどからデータを読み取ること。それらのデータには、意思決定を狂わせる偽情報や、エージェントの目的を書き換える「隠れプロンプト」が含まれる恐れがある
- 外部との通信能力:外部と通信し、データを持ち出す(エクスフィルトレイション)能力
一方で、以下の特性を重視する専門家もいる。
- 他システムへの操作権限:ネットワーク機器の設定変更やデータベースの修正など、社内システムに影響を及ぼす権限
- 自律的な長期目標の追求:人間による再確認なしに、長期的な目標を計画し適応させる能力。低リスクな脆弱性を組み合わせて最終的に特権アクセスを奪取するなどの高度な攻撃も可能になる
- 自己改善と機能拡張:自身のコードや目的を修正したり、不足を補う別のツールを見つけたりする能力。より優れたモデルを設計し、それに基づいたツールを自作して使用する場合もある
- 処理速度:人間による統治(ガバナンス)の仕組みが追い付かないほどの速度で動作する能力
- プロンプトドリフト(非決定性):同じ指示でもAIが毎回異なる結果を出す特性。いわゆる「ジェイルブレイク(脱獄)」攻撃の多くはこれを利用してAIの制約を突破しようとする
- コストの不確定性:消費トークンに伴う実コストが再帰的なループなどによって予測不能に膨れ上がるリスク
- 超人的な説得力:人間以上の説得力を持ち、かつてない規模で高度なソーシャルエンジニアリング攻撃を実行する能力
どの要素を採用するにせよ、核心は同じだ。AIに「自律性」と「社内環境での操作権限」が加われば、壊滅的な結果を招きかねないということである。
3大リスク特性に注目すべき理由
「AIエージェントのセキュリティ」に関連する編集部お薦め記事
エージェンティックAIは、既存のあらゆるサイバー脅威を悪用できる新しいカテゴリーの脅威だ。データへのアクセス権、外部接続性、自律的な操作能力を併せ持つエージェントは、システムの再設定やデータの持ち出しを自在に行う。これは深刻なインサイダー脅威であると同時に、外部攻撃者にとっての格好の攻撃経路となる。
従来のWebアプリケーションファイアウォール(WAF)などのツールでは、プロンプトインジェクションのような攻撃を防げない。企業は、新しいAIセキュリティツールを統合し、利用規定やインシデント対応方針を更新するために中核となるアーキテクチャを見直す必要がある。どの定義を三要素として採用するにせよ、CISOはセキュリティとガバナンスの対応を主導しなければならない。
リスクへの露出を評価する方法
CISOは、自組織がリーサルトライフェクタのリスクにどの程度さらされているかを、以下の質問で評価すべきだ。
- AIエージェントは、CRM(顧客関係管理)などの基幹システムにどの程度アクセスできるか
- AIエージェントは、社内データにどの程度アクセスできるか
- AIエージェントは、ネットワーク機器やIaaS、DNSなどのインフラやサービスにどの程度アクセスできるか
- AIエージェントは、インターネットにどの程度アクセスできるか
- Model Context Protocol(MCP)などを通じて、外部エンティティが社内システム(AIエージェント含む)にどの程度アクセスできるか
これらの回答から、社内のAIエージェントの影響範囲とリスクの基準が明確になる。もし、確信を持って答えられない項目があるなら、それ自体が大きなリスクの兆候といえる。
緩和策
3大リスク特性に対する最も有効な戦略は、ゼロトラストの導入だ。AIインフラにゼロトラストの原則を浸透させ、IDと許可リストに基づいてアクセスを厳格に制限する。最低限、以下の対策を講じるべきだ。
- AIエージェント向けのID管理:専用のID管理システムを導入するか、既存システムをエージェントの速度と規模に対応できるよう拡張する
- 通信の集約:AIエージェントの通信をMCPゲートウェイなどに集約し、アクセス制御と振る舞いを監視する
- 「デフォルト拒否」の徹底:全てのアクセスを原則拒否し、必要なエンティティにのみ特定の操作を許可する
さらに、以下のツールセットを活用する。
- セマンティックファイアウォール:プロンプトインジェクションや催眠的な攻撃試行を検知する
- パス依存型のアクセス管理:過去のプロンプト文脈に基づいて入出力を評価し、長期にわたる巧妙な攻撃パターンを監視する
- モデルドリフト監視:AIの挙動の変化を監視する
- 振る舞いベースの脅威監視:許可されていない操作を繰り返すなど、リスクの高い挙動を検知して遮断する
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
AIエージェントがマルウェア化? 新たな脅威「プロンプトウェア」の防御策とは
AIエージェントの利用が拡大する中、登場したのが、「プロンプトウェア」だ。「プロンプトインジェクション」とは何が違うのか。防ぐ手立てとともに紹介する。
情シスが知るべき「AIランタイムセキュリティ」の現実的な対策
AIによるデータ漏えい対策に目が向けられがちだが、稼働中のモデルを保護する「ランタイムセキュリティ」は深刻な死角となっている。自律的に動くAIエージェントは、既存の防御策を容易に突破し、組織を内部から破壊する武器になりかねない。AIをスタッフと見なし、ゼロトラスト原則を適用すべき理由と具体的な防衛策を詳説する。
もう「PC管理」だけでは守れない 情シスが押さえるべき新デスクトップ戦略5選
もはやデスクトップは単なるPC端末ではない。SaaSやAI、VDIが主流となる中、それは仕事の「目的地」から、データへの「アクセス層」へと変貌を遂げた。ブラウザ管理やデバイスの健全性など、現代の情シスが統制すべき5つの急所を解説する。境界型防御が崩壊した今、新たなガバナンスの在り方が問われている。
OpenClawは”便利ツール”ではない――情シスが知るべきAIエージェントの最悪リスク6選
IBMのディスティングイッシュトエンジニアであるジェフ・クルム氏は、オープンソースのAIエージェントプラットフォーム「OpenClaw」を例に、AIエージェントで要注意な6つのセキュリティリスクと対策を紹介する。