{{item.title}}
{{item.text}}
{{item.text}}
目的を与えるだけで自ら計画を立て、判断し、行動する。AIエージェントは、業務のあり方を大きく変えようとしています。しかし、その高い自律性は、新たなリスクの源にもなります。権限制御の不備による過剰なアクセス、複数のエージェントの連携による予期せぬ挙動、判断過程の不透明化、データ漏えい――従来のAIとは異なる脅威に、企業はどう向き合うべきなのでしょうか。本セッションでは、Adversa AIのAlex Polyakov(アレックス・ポリャコフ)氏を迎え、AIエージェントに求められるセキュリティとトラストのあり方を議論しました。(本文敬称略)
登壇者
Adversa AI
Co-Founder, CTO
Alex Polyakov(アレックス・ポリャコフ)氏
PwCコンサルティング合同会社
パートナー
村上 純一
PwCコンサルティング合同会社
ディレクター
柴田 健久
※ 本稿は「Digital Trust Forum 2026」のセッション8「イスラエル発AIセキュリティスタートアップ Adversa AIと探るエージェント型AI時代の脅威と防御設計」の内容を基に、再構成したものです。
左から、村上 純一、柴田 健久
村上:
最初にポリャコフさんのご経歴を教えてください。
ポリャコフ:
私はAdversa AIの共同創業者で、現在はCTO(最高技術責任者)を務めています。Adversa AIは、エージェント型AIのセキュリティを専門とするスタートアップです。
私は過去20年間、サイバーセキュリティ分野に携わってきました。AIをサイバーセキュリティに活用する側と、AIそのものをセキュリティの観点から守る側の両方です。レッドチーミングの専門家、研究者、Cレベルの経営幹部、スタートアップ創業者など立場はさまざまですが、一貫してAIとサイバーセキュリティが交差する領域に取り組んできました。
また、IEEE(Institute of Electrical and Electronics Engineers)での活動では共同リーダーを務め、AIセキュリティ領域の標準化にも携わっています。さらにAIセキュリティの標準化やベストプラクティスの策定に取り組む業界団体CoSAI(Coalition for Secure AI)では、AIエージェントセキュリティのワークストリームを率いており、OWASP(Open Worldwide Application Security Project)やCSA(Cloud Security Alliance)といった団体のガイドライン策定にも継続的に貢献しています。
村上:
ありがとうございます。では、ここからは今回のテーマであるAIエージェントについて、前提を整理します。
AIエージェントとは、推論に基づいて目的志向で意思決定を行い、行動を実行するAIシステムです。従来のチャットボットやRAGを用いた対話型システムは、基本的にユーザーからの要求に回答を返す「一往復の処理」が中心でした。これに対してAIエージェントは、ユーザーが与えた目的を基にタスクを分解し、計画を立てて必要な行動を連続的に実行します。
図表1:エージェント型AIとは?
AIエージェントの動作は、大きく以下の三要素に整理できます。
つまりAIエージェントは目的を持ち、状況を観測し、判断し、行動します。その結果やコンテキストを記憶しながら、このサイクルを繰り返して目的達成を目指す仕組みなのです。一方で自律性が高まるほど「AIが何を前提に判断し、なぜその行動を選んだのか」は外部から見えにくくなります。ここにAIエージェント特有のリスクがあります。
次に、AIエージェントを取り巻く外部環境を、三つの観点から整理します。
一つ目はインシデントの増加です。件数はまだ多くありませんが、2024年以降、AIエージェントに関連するセキュリティインシデントは増加傾向にあります。今後、導入が進めば、日本でも同様のリスクが高まると考えられます。
二つ目はガイドラインや標準化の動きです。OWASP、CSA、NIST(米国国立標準技術研究所)、OpenID Foundationなどが、AIエージェントに関するガイドライン、ホワイトペーパー、フレームワークの整備を進めています。
三つ目は、技術の進展です。A2Aや、外部ツールとの連携を標準化するMCP(Model Context Protocol)などの検討が進んでいます。ただし、いずれもまだ発展途上であり、今後も議論を追う必要があります。
図表2:導入は加速する中、インシデント増加と標準化が同時進行
このようにAIエージェントを巡っては、活用の広がりとともにインシデントの増加、ガイドライン整備、技術標準化が同時に進んでいます。一方で現場では、「具体的に何がリスクなのか掴みきれない」という声もあります。そこで柴田さんに伺います。AIエージェントではどのようなリスクが生じるのか、その全体像を教えてください。
柴田:
まず押さえておきたいのは、インシデントの原因は大きく二つに分けられるという点です。一つは外部からの攻撃(誘導・悪用起因)、もう一つはAI自身の判断・行動が制御を超える暴走(設計・運用起因)です。
外部からの攻撃は、データの中に不正な指示を埋め込み、AIの判断条件を歪めるケースです。またMCPなどのツール連携点を踏み台にして、悪意あるコードを実行させる手口も考えられます。さらに、権限を委譲されたAIエージェントに不正な目的を実行させる攻撃もあります。
一方で外部から攻撃を受けていなくても、AI自身が制御を逸脱し、想定外の動きをすることがあります。具体的には、次のようなケースです。
その結果、判断や目的の逸脱、ツール実行による実害、正規権限を使った不正・誤操作が発生します。いずれもAIが正規の権限やツールを使って実行するため、外部からは異常として検知しにくい点が厄介なのです。
さらにAIエージェントでは、処理が一度で終わらず、判断と行動のサイクルが継続します。誤った前提がコンテキストに残ると、その後の判断にも引き継がれ、被害範囲が拡大します。復旧や調査のコストが膨らむのは、この連鎖性によるものです。つまりAIエージェントのリスクは、外部から攻撃されることだけではありません。自律性そのものが設計や運用の不備と結び付いた時に、インシデントの原因になり得るのです。
図表3:「外部からの操作」のみならず「自律性」もインシデントを生む
村上:
ありがとうございます。実際の活用現場では、AIエージェントに関連するインシデントも、すでに確認されています。ではポリャコフさん、Adversa AIの立場から、現場で見えている事象やインシデントの傾向についてお聞かせください。
ポリャコフ:
柴田さんが指摘したとおり、AIエージェントでは、小さな判断ミスや誤った前提がコンテキストに残り、その後の判断に引き継がれることがあります。最初は小さな誤りでも、AIエージェントがそれを前提として行動を続ければ、より大きなリスクに発展します。
攻撃者がこの仕組みを悪用し、AIエージェントに意図的に誤った情報を記憶させるケースもあります。これはメモリ・インジェクションと呼ばれる攻撃です。単なる理論上のリスクではなく、実際の攻撃シナリオとして確認されており、インシデントにもつながっています。
私たちは最近、世界で発生したAIセキュリティインシデントを分析したレポートを公開しました。対象としたのは、サイバー攻撃や脆弱性に関係するAI固有のインシデントです。確認された事例は20件を超えており、特にAIエージェントに関するインシデントは急速に増えています。象徴的なのが、あるオープンソースのAIエージェントを巡る事例です。
このエージェントは公開後わずか1週間ほどで広く使われ、数千人がインストールしました。しかし、急速に普及した一方で、深刻な脆弱性を抱えていました。
問題は大きく二つあります。一つは従来型のセキュリティ上の脆弱性です。リモート操作用のポートが開いたままになっており、攻撃者が多数のAIエージェントに容易にアクセスできる状態でした。
もう一つはAI特有の脆弱性であるプロンプト・インジェクションです。攻撃の影響は深刻でした。攻撃者はプロンプト・インジェクションを仕込んだメールを送るだけで、エージェントからユーザーのデータを抜き出し、外部へ送信させられることを実証しました。しかも、対象となり得るデータには、APIキー、クレジットカード情報、その他の秘密情報など、極めて機密性の高い情報が含まれていました。ユーザーがエージェントに業務を任せるため、こうした情報へのアクセス権限を与えていたからです。
柴田:
ありがとうございます。オープンソースのAIエージェントは今後さらに広がり、それに伴って攻撃対象となるポイントも増えていくと考えられます。
重要なのは、こうしたリスクを個別の脆弱性としてだけ捉えないことです。AIエージェントにどこまで権限を与えるのか、どのデータにアクセスさせるのか、外部ツールや他のエージェントとの連携をどう制御するのかといった設計と運用の両面から統制する必要があります。
村上:
つまり、AIエージェントの対策では脆弱性への対応に加えて、権限管理、データアクセス、ツール連携、運用時の監視まで含めた設計が求められるということですね。
Adversa AI Co-Founder, CTO Alex Polyakov(アレックス・ポリャコフ)氏
村上:
続いてポリャコフさんに伺います。ガイドラインやフレームワークの整備は進んでいます。しかし、それらを実効性のある対策として機能させるには、現場でどのような難しさがあるのでしょうか。
ポリャコフ:
AIエージェントをセキュアにする原則はシンプルです。機能に不要なものは制限する。つまり、必要最小限の権限と機能だけを認めるということです。
ただし、この原則を実際の統制として組み込むのは簡単ではありません。AIエージェントはメモリを持ち、ツールを使い、他のエージェントとも通信します。単なるアプリケーションではなく、人間に近い複雑な振る舞いをする存在として捉える必要があります。
私たちのAdversaフレームワークでは、全てのAIエージェントに対して、少なくとも以下の10個の高レベル統制(コントロール)を定義しています。
統制 |
目的 |
意図検証 |
エージェントの目標がユーザーの意図と一致しているかを保証する |
ツールガバナンス |
ツールへのアクセスを最小限にする |
アイデンティティファブリック |
あらゆるエージェントのアイデンティティが適切に管理されることを保証する |
行動ベースライン監視 |
ドリフト(挙動の変化)や異常を検知する(生(加工・要約前のログやテレメトリ)のデータをそのまま使用) |
サプライチェーン検証 |
MCPサーバー、依存関係、コードフレームワーク関連コンポーネントの安全性を確認する |
セキュリティメッシュ |
安全なエージェント間コミュニケーションを可能にする |
キルスイッチ |
エージェントが危険な動作を取っている場合に検知し、即座に停止する |
継続的検証・レッドチーミング |
新たな脆弱性を予防し、既知の問題を修正する |
データフローファイアウォール |
データ流出を防ぐ |
コンプライアンス管理 |
規制や政策要件の遵守を確保する |
ここで重要なのは、個々の対策を講じるだけで終わらせないことです。それらを一つの仕組みとして連携させ、本番環境で機能し続けさせる必要があります。ここが最も難しい点です。
例えば、ヒューマン・イン・ザ・ループを導入していても「誰が」「どの段階で」「どう止めるのか」が曖昧であれば、有効に機能しません。場合によっては、その曖昧さを攻撃者に悪用される可能性もあります。さらに、インシデント後に誤った前提や判断がコンテキストに残れば、同じ問題が再発するおそれがあります。
多くの企業は、ガードレール、レビュー、レッドチーミングといった対策を講じています。それでも問題が起きるのは、テスト環境と本番環境では条件が異なるからです。本番では入力、コンテキスト、利用するツールの組み合わせが変わり、AIエージェントが想定外の判断を下すことがあります。
その典型が「カスケード障害」です。これは一つの誤りが後続の処理や別のエージェントに連鎖的に波及し、影響が拡大する障害を指します。例えば、金融取引を行うエージェントが送金額を誤認し、本来100ドルのところを1,000ドルと判断したとします。その情報が承認担当の別エージェントに渡り、後者が前者の判断を信頼すれば、誤った取引が成立してしまいます。小さなハルシネーションが、エージェント間で連鎖し、実害につながるのです。
原因への対処が不十分なままだと、問題は形を変えて繰り返されます。プロンプトを修正したり別のシナリオで検証したりしても、根本的な脆弱性が残っていれば、再び同じような問題が表面化する可能性があります。
個別の対策を積み上げるだけでは不十分です。重要なのは、AIエージェントが本番環境でどのように振る舞っているのかを継続的に把握し、管理できる状態にしておくことです。ここにAIエージェント対策の最大の難しさがあります。
PwCコンサルティング合同会社 パートナー 村上 純一
村上:
こうしたリスクや対策を巡るガイドラインや標準化は、今どこまで進んでいるのでしょうか。ポリャコフさんが携わっている取り組みも含めて教えてください。
ポリャコフ:
ガイドラインや脅威分類、ベストプラクティスの整備は急速に進んでいます。OWASP、NIST、CSA、IEEE、CoSAIなど、複数の組織が取り組みを進めており、私自身もいくつかに関わっています。代表的なものを整理すると、次のとおりです。
策定組織 |
ガイドライン/標準 |
概要 |
OWASP |
Agentic AI Top 10 |
AIエージェントに特有の脅威・脆弱性に焦点を当て、ゴールハイジャック、メモリポイズニング、カスケード障害など重要な10の脅威を整理 |
OWASP |
AI VSS |
AIの脆弱性を評価するためのスコアリング標準。開発中で、ドラフトが利用可能。 |
CoSAI |
Model Context Protocol(MCP) Security |
Anthropicと共同で策定。12の高レベル脅威、40以上の脅威シナリオ、MCP通信のセキュリティ確保に関する指針を含む。 |
| CSA (Cloud Security Alliance) |
MCP Top 10 |
MCPサーバーとMCPクライアントのTOP10リスト |
| CSA (Cloud Security Alliance) |
AI Control Metrics |
AIシステム全般を対象に200以上のセキュリティコントロールを定義。AIエージェント専用ではないが適用可能 |
IEEE |
グローバル標準・脅威モデリング |
AIエージェントアプリケーションを含むAIのグローバル標準、脅威モデリングに取り組み中 |
なかでもOWASPの「Agentic AI Top 10」は、AIエージェント向けの最も重要なガイドラインの一つだと考えています。また、私がワークストリームを率いるCoSAIのMCPガイドラインは、現時点で最も包括的なMCPセキュリティの指針だと見ています。企業が参照できる標準や実装指針は、かなり整備されてきていると言えるでしょう。
村上:
ありがとうございます。グローバルで標準化やガイドライン整備が進む一方、日本でも議論は活発化しています。その一例として、2025年6月には、いわゆる日本版AI法(人工知能関連技術の研究開発及び活用の推進に関する法律)が公布されました。
また、AIセーフティ・インスティテュート(AISI)はAIセキュリティに関するレポートや調査ペーパーを発信しており、総務省でもAIセキュリティに関する分科会が設けられ、検討が進んでいます。日本でも、制度と現場の両面から環境整備が動き始めていると言えます。
PwCコンサルティング合同会社 ディレクター 柴田 健久
柴田:
制度やガイドラインの整備が進む中、経営者にとって難しいのは、「どこまでなら安心して使えるのか」という判断です。AIエージェントは使わなければ競争力を失う可能性がありますが、十分な統制なしに使えば新たなリスクを抱えることになります。
そこでポリャコフさんに伺います。グローバルでは、企業の経営層はAIエージェントとどのように向き合い、どのような条件で活用を進めようとしているのでしょうか。
ポリャコフ:
現時点で、AIエージェントを完全に安全に使えると言い切れる企業は、まだ限られています。一方で、使わないという判断も現実的ではありません。AIエージェントを活用しない企業は、競争力を失う可能性があるからです。
そのため世界の多くの企業は、AIエージェントを従来のAIやITとは別物として捉え、不完全さを前提に、制御できる範囲で使い始めています。標準や仕組みはまだ発展途上ですが、各社は安全性と活用価値のバランスを取りながら、条件付きで導入を進めています。日本でも、同じ方向に進むと見ています。
柴田:
ありがとうございます。AIエージェントは、安全か危険かの二択で捉えるのではなく、制御でき、説明できる形で使うことが重要です。私の専門分野であるデジタルアイデンティティの観点からも、エージェントをどう識別し、権限を与え、追跡するかが今後の論点になると考えています。
村上:
本日の議論を通じて、AIエージェントは、使わないのではなく、制御できる形で使うことが重要だと見えてきました。経営、設計、運用の各レイヤーで方針を定め、小さく始め、検証しながらユースケースを広げていく必要があります。ポリャコフさん、本日は貴重なお話をありがとうございました。
{{item.text}}
{{item.text}}
{{item.text}}
{{item.text}}