米国、オーストラリア、英国、カナダは、中核となるサイバーセキュリティガバナンスに自律型AIエージェントを組み込むことを求める新たな共同ガイドラインを発行した。

米国とその同盟国のサイバーセキュリティ当局は最近、「エージェントAI」（エージェントAI）のセキュリティ導入ガイドラインを共同で発表し、インターネット上で自律的に動作できるこうしたAIシステムが重要インフラや防衛などの機密性の高い領域に侵入しているが、ほとんどの組織が自らの監視・制御能力をはるかに超えるアクセス権を与えていると強調した。この文書では、さまざまな組織に対し、自律型 AI エージェントをサイバーセキュリティの中核問題とみなして、単に効率の向上を追求するのではなく、回復力、可逆性、リスクの封じ込めを優先するよう求めています。

全文ダウンロード:

https://cyberscoop.com/wp-content/uploads/sites/3/2026/05/CAREFUL-ADOPTION-OF-AGENTIC-AI-SERVICES_FINAL.pdf

このガイダンスは、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、国家安全保障局（NSA）、オーストラリア信号庁オーストラリアサイバーセキュリティセンター、カナダサイバーセキュリティセンター、ニュージーランド国立サイバーセキュリティセンター、英国国立サイバーセキュリティセンターが共同で作成し、現地時間金曜日に発表された。このガイドで焦点を当てている「エージェント AI」は、確立された権限の範囲内で自律的にアクションを計画、決定、実行する機能を備えた大規模な言語モデルに基づいて構築されたソフトウェア システムです。複雑なタスクを完了するには、このようなシステムは多くの場合、外部ツール、データベース、メモリ ウェアハウス、自動ワークフローと連携して、各ステップを手動で確認することなく複数ステップのタスクを実行する必要があります。

共同リリース機関は文書の中で、エージェント AI の導入は完全なセキュリティ システムを再構築する必要があることを意味するのではなく、既存のネットワーク セキュリティ フレームワークとガバナンス構造に統合する必要があることを強調しました。提案には次のものが含まれます。ゼロトラスト、防御の深さ、最小特権などの既存の原則を AI エージェントに体系的に適用する。 AI エージェントを、アイデンティティとアクセス管理、監査ログ、変更管理などの側面でガバナンスするための「高機密で強力な権限」技術コンポーネントとして扱います。

このガイダンスでは、エージェントベースの AI に関連するリスクを 5 つの大きなカテゴリにまとめています。 1 つ目は「権限リスク」です。AI エージェントに高すぎる、または広すぎるアクセス権が付与されると、侵入が成功すると、重要な構成の集中改ざんや大規模ビジネスの中断など、従来のソフトウェアの脆弱性をはるかに超える損害が発生する可能性があります。 2 番目のカテゴリは、設計および構成の欠陥のリスクです。つまり、システムがオンラインになる前に、不適切なアーキテクチャ設計、緩すぎるデフォルト構成、または曖昧なセキュリティ境界定義が原因で、埋め合わせるのが難しい固有のセキュリティ ギャップが存在します。

3 番目のタイプのリスクは「行動リスク」として分類されます。これは、エージェントが目標を追求する際に、設計者が予期していなかった、あるいはまったく想像していなかった道をたどり、セキュリティまたはコンプライアンスのインシデントを引き起こす可能性があるという事実を指します。 4つ目は「構造的リスク」です。複数のエージェントが複雑なビジネス システムに絡み合ってネットワークに組み込まれると、障害や異常な動作がシステム内で連鎖的に広がり、システムや部門を超えた連鎖反応を引き起こす可能性があります。

5 番目のタイプのリスクは「説明責任」に関連します。このガイドでは、エージェント AI の意思決定プロセスは完全に調査することが難しい場合が多く、エージェント AI が生成する操作ログや意思決定記録は解析が容易ではないため、問題の根本原因を追跡し、その後の責任を明確にすることが非常に困難になっていると指摘しています。このようなシステムで障害が発生すると、その影響は「仮想レベル」にとどまらず、ファイルの改ざん、アクセス制御の変更、監査証跡の削除など、特定のIT資産に反映され、証拠収集や復旧作業に直接影響を及ぼします。

この文書では、「即時注入」によって引き起こされる攻撃のリスクについても具体的に警告しています。攻撃者は、AI エージェントが本来の使命から逸脱し、悪意のある操作を実行するように指示をデータまたはコンテンツに静かに埋め込むことができます。ヒント インジェクションは、大規模言語モデルのエコシステムにおいて常に慢性疾患とみなされてきました。一部の企業は、この問題は長期間にわたって完全に根絶できない可能性があることを公に認めています。これにより、このタイプの攻撃の潜在的な害は、より自動化されたプロキシ シナリオで特に顕著になります。

特定の保護手段のレベルでは、アイデンティティ管理がガイド全体で重要な位置を占めています。共同機関は、各 AI エージェントが暗号化によって保護された検証可能な独立した ID を持つことを推奨しています。使用する資格情報は短期間有効である必要があります。エージェントと他のエージェントおよびサービス間のすべての通信では、暗号化されたチャネルを使用する必要があります。ガイドラインでは、重要な構成の変更、ユーザー権限の昇格、大規模データの削除など、重大な影響を与える可能性のある操作については、承認は人間が行う必要があること、また、どの操作が「影響の大きい動作」であるかを定義するのはエージェント自体ではなくシステム設計者であることが明確に求められています。

同時に、発行機関は、既存のセキュリティ業界の慣行がエージェントベースの AI の開発スピードにまだ完全に追いついていないことも認めた。特有の「AI エージェントの特性」を持つ一部のリスクは、既存のセキュリティ フレームワークでは完全にはカバーされておらず、政府機関や業界を超えたさらなる研究と協力が緊急に必要とされています。このガイドでは、セキュリティ方法論、評価方法、および関連標準が未熟である前に、組織はエージェント AI が「予期せぬ動作を示す可能性がある」ことを想定し、自動化によってもたらされる効率性の恩恵を盲目的に追求するのではなく、システム設計における回復力、可逆性、リスク制御性の確保を優先して、それに応じて展開計画を立てる必要があると指摘しています。