{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
AIエージェントの活用が進む中、企業の業務は高度に自律化されつつあります。その一方で、従来の生成AIとは異なる新たなサイバーリスクが顕在化しています。本稿では、現時点での規制動向や技術的特性を整理するとともに、AIエージェントに固有のリスク構造と、日本企業が取るべき具体的な対応の方向性を解説します。
AIエージェントを巡る規制・標準動向――リスク論点を規定する外部環境
AIエージェントのリスクを検討する際には、各国の規制、標準化、業界ガイドラインの動向を把握することが不可欠です。これらは単なる参考情報ではなく、企業に求められるガバナンス水準やセキュリティ要件を実質的に規定しつつあります。
2026年3月時点では、各国政府、標準化機関、業界団体がそれぞれの立場からルール整備を進めており、企業にはこれらを横断的に理解することが求められています(図表1)。
図表1:AIエージェントに関する世の中の動き
日本の動向
総務省・経済産業省はすでに「AI事業者ガイドライン」を公開し、国内事業者に自主的なガバナンス整備を促しています。2026年3月31日にバージョン1.2が公開され、AIエージェントの定義やリスク対応、ヒューマン・イン・ザ・ループ(以下、HITL)の重要性などが新たに反映されています。
また、AIの安全性の観点では、Japan AI Safety Institute(AISI)が2026年1月に「AIインシデントレスポンス・アプローチブック」を公開しました。本書は、インシデント発生を前提とした検知・対応・回復のサイクルを重視し、特に人間の関与が限定されるAIエージェントにおいて「観測性」と「制御性」を組み込む必要性を示しています。
欧州の動向
EU AI Actは2024年8月に発効済みであり、2026年8月2日からは高リスクAIシステムへの義務および透明性規則が本格施行される見通しです。適用事業者には要件への適合が求められ、違反時には制裁金が科される可能性があります。域外適用条項も設けられており、EU域内でビジネスを展開する日本企業も対象となり得る点に注意が必要です。
NISTの動向
サイバーセキュリティ分野で広く参照されるNIST(米国国立標準技術研究所)は、2025年12月に「NIST IR 8596 Cyber AI Profile」のドラフトを公表し、2026年1月末まで意見招請を実施しました。同プロファイルは、NIST CSFのガバナンス・識別・保護・検知・対応・復旧という枠組みを踏襲しつつ、AIエージェントを含むAIシステム特有のサイバーリスクを各機能にマッピングしたものです。正式版の公開後は、企業にとって実務上の指針として活用されることが見込まれます。
各業界団体の動向
国際的な業界団体も、AIエージェントのセキュリティリスクへの対応を加速させています。Cloud Security Alliance(CSA)は、AIエージェントなどの「非人間アイデンティティ(NHI:Non-Human Identity)」を対象としたアクセス管理フレームワーク「Agentic IAM」を提唱し、体系化を進めています。OWASPは安全な開発や脅威モデリングに関するガイドラインを整備しており、MITRE ATLASはAIエージェントを対象とした攻撃手法の整理に活用されています。さらに2026年2月には、オープンソースのAIエージェントに関する脆弱性・インシデントのマッピング情報も公開されました。
「機能層」と「自律性」の二軸で捉えるAIエージェントのリスク構造
こうした外部環境を踏まえると、AIエージェントのリスクは個別事象としてではなく、構造として捉える必要があります。
AIエージェントのリスクは、その機能層と自律性の水準の掛け合わせです。一般にAIエージェントは「監督」「行動」「記憶」「思考」という複数の機能層から構成されます。ここに自律性の段階を重ね合わせると、「どの領域で」「どのようなリスクが顕在化するか」を整理できます(図表2)。
図表2:機能層と自律性を軸にしたAIエージェントを取り巻くサイバーリスクのマッピング
AIエージェントを取り巻くサイバーリスク(1/2)
ビジネスケース、自律レベル、設計、実装、運用に応じてさまざまなサイバーリスクが想定される。
表面化する事象は多岐に及ぶため個別事象ではなくその発生原因を理解し、対応することが重要(下表は一例)。
AIエージェントを取り巻くサイバーリスク(2/2)
低自律レベルでは、生成される情報の正確性/適切性/データセキュリティノプライバシーが主なリスクだが、レベルが高まるにつれて意図しない行動、システムの乗っ取り/制御不能といったより深刻なリスクに発展する。
リスクの重心は自律性の進展に応じて段階的に変化します。
まず、図表2左側の自律性が低い段階では、リスクは主として「思考」と「記憶」の領域に集中します。この領域は生成内容の正確性や、学習・参照データの取り扱い、個人情報の管理といった、従来の生成AIと連続した課題が中心です。
これが「行動」を伴う段階に移行すると、リスクの性質は大きく変化します。AIが外部システムやデータに対して自律的な操作を行うことで、意図しない処理の実行や、設計上の想定を逸脱した挙動が発生する可能性があります。この領域では情報の誤りにとどまらず、業務プロセスや取引への直接的な影響が問題となります。
さらに自律性が高まり、複数のエージェントが連携する段階では、リスクは個別機能の問題を超え、システム全体の統制に関わるものへと拡張します。エージェントの乗っ取りや連鎖的な誤作動、全体最適を逸脱した振る舞いなど、従来のシステムでは想定しにくかったリスクが顕在化します。
AIエージェントのリスクを読み解く三つの論点
AIエージェントのリスクは多岐にわたりますが、実務上は統制設計の観点から、三つの主要論点に集約されます。
論点1:非人間アイデンティティ(NHI)の管理
AIエージェントやサービスアカウントといった「人ではない主体」がシステムやデータに直接アクセスして処理を実行する環境では、「誰が・何を・どこまで実行できるのか」という権限管理が重要な論点となります。
現状、この領域の整備は十分とは言えません。Cloud Security Allianceが2026年1月に公開した「The State of Non-Human Identity and AI Security」によれば、NHIに関する管理ポリシーを整備している組織は約2割にとどまり、「権限の過剰付与」「責任の所在の不明確さ」「可視性の欠如」が主な課題として挙げられています(図表3)。
図表3:NHI管理の実態
出典:Cloud Security Alliance「The State of Non-Human Identity and AI Security」
これらは個別の問題ではなく、相互に連関する構造的なリスクです。エージェントの存在や活動が可視化されていなければ管理対象を特定できず、責任の所在も曖昧になります(図表4)。
例えば退職者の認証情報でエージェントが稼働しつづけていた場合、インシデント発生時に責任を特定できません。そこに過剰な権限が加われば、誤作動や不正利用の影響は組織全体に波及します。個別対処では限界があり、NHIのライフサイクル全体を通じた管理プロセスの構築が不可欠です。
図表4:NHI管理における三つの課題の連鎖
論点2:HITLの設計
HITLの設計とは、AIエージェントの自律的な判断・行動に対し、人間がどのように関与し、全体を把握・統制するかを定めることです。主なリスクは三点に整理できます(図表5)。
図表5:HITL設計における三つのリスクと五つの考慮点
- 判断プロセスのブラックボックス化・・・意思決定の過程を追跡できなければ、インシデント発生時の原因特定や再発防止が困難になります。
- 目標の逸脱と計画の暴走・・・例えば「売上を最大化せよ」という指示に対し、AIが手段を選ばず行動するおそれがあり、人間が暗黙の前提とする倫理や法的制約は自律的には担保されません。
- マルチエージェント環境における責任の希薄化・・・複数のエージェントが連携する場合、「前のエージェントの指示に従った」という連鎖により、最終的な責任の所在が曖昧になります。
では、こうしたリスクに対してどのようにHITLを設計すればよいのでしょうか。重要なのは、人間の介在を増やすことではありません。「どの領域の意思決定に」「どの程度の粒度で関与させるか」を明確にして設計することです。そのためには、適切な判断材料の提示、専門性を持つ人材の配置、そして意思決定プロセスの記録(ログ・監査証跡)の整備が不可欠です。過剰な承認プロセスは運用のボトルネックとなり、不十分であれば統制は機能しません。
論点3:外部環境との安全な相互作用
外部環境との安全な相互作用とは、AIエージェントが外部のデータやシステムと連携する際に、その安全性をどのように確保するかという問題です。AIエージェントは外部データや複数のツールと連携することで価値を発揮しますが、その分、攻撃対象領域(アタックサーフェス)が大きく拡張します。こちらも主なリスクは三点に整理できます(図表6)。
図表6:外部環境との相互作用における三つのリスクと五つの考慮点
- 信頼できない外部データの取り込みによるエージェントの汚染・・・外部から取得したテキストに悪意ある指示が埋め込まれていた場合、エージェントがそれを正規の命令として解釈・実行してしまう「間接プロンプトインジェクション」がこれに該当します。これは、外部環境と接続するAIエージェントに共通して内在するリスクです。
- ツールの組み合わせによる想定外の動作・・・個々のツールが適切に設計されていても、組み合わせによって権限昇格やリソースの過剰消費など、予期しない挙動が発生する可能性があります。
- サプライチェーンの信頼性毀損・・・外部から調達するモデルやデータ、オープンソースソフトウェアに問題が含まれている場合、その影響がシステム全体に波及する可能性があります。
これらに対応するには、外部データを原則として信頼しない設計思想の徹底に加え、ツール実行環境のサンドボックス化、ツール連携時のリスク評価、そして構成要素の透明性確保と既知脆弱性への継続的な対応が求められます。
日本企業が優先的に取り組むべき事項――高リスクユースケースと対応の方向性
AIエージェントのリスクは抽象的な議論にとどまらず、ビジネス現場での活用を通じて顕在化します。最後に日本企業で想定されるユースケースを対象に、どの領域でリスクが高まるかを分析し、優先すべきアクションを整理します。
PwC Japanグループではエンタープライズ環境において一般的に想定されるAIエージェントのユースケースについて、公開情報および独自の調査結果に基づき、サイバーリスクの高い領域を分析・特定しました。
分析対象は、カスタマーサポート、経理・財務、購買・調達、IT、人事・採用、法務・コンプライアンス、営業・企画、研究開発の8部門16ケースです。各ケースについて、「AIエージェント固有のサイバーリスク」と、PwCが実施した「生成AIに関する実態調査2025」から抽出した「日本企業のAI活用特性」という二つの軸からリスク要因を整理し、各リスクとの関係性を整合・中立・不整合の3値で評価しました(図表7・図表8)。
図表7:分析対象の8部門16ケースと評価の枠組み
図表8:日本企業が優先的に取り組むべき事項
特に注目すべきは、IT部門が担当するインシデント検知の領域です。多くのユースケースが業務効率化に伴うリスクであるのに対し、この領域はセキュリティ統制そのものに直接影響を及ぼす点で性質が異なります。
現状、情報システムや認証基盤が攻撃者の主要な標的ですが、セキュリティ業務そのものがAIエージェント化された場合、そのエージェント自体が新たな攻撃対象となります。セキュリティコントロール機能の乗っ取りは組織全体の防御機能の無力化を意味するため、エージェント化が進むほどこのリスクの重大性は増します。
こうした分析を踏まえ、次回コラムでは日本企業が優先的に取り組むべき事項を整理します。現在は、規制・標準・技術のいずれも「正解」が確立されていない過渡期にあります。だからこそ、取り返しのつかない判断を避けつつ、着実に前進できるアクションを選ぶことが重要です。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
