特別対談:デジタルトラストの構築に向けたPwCのアクション

イスラエル発AIセキュリティスタートアップ Adversa AIと探るAIエージェント時代の脅威と防御設計

  • 2026-07-07

目的を与えるだけで自ら計画を立て、判断し、行動する。AIエージェントは、業務のあり方を大きく変えようとしています。しかし、その高い自律性は、新たなリスクの源にもなります。権限制御の不備による過剰なアクセス、複数のエージェントの連携による予期せぬ挙動、判断過程の不透明化、データ漏えい――従来のAIとは異なる脅威に、企業はどう向き合うべきなのでしょうか。本セッションでは、Adversa AIのAlex Polyakov(アレックス・ポリャコフ)氏を迎え、AIエージェントに求められるセキュリティとトラストのあり方を議論しました。(本文敬称略)

登壇者

Adversa AI
Co-Founder, CTO
Alex Polyakov(アレックス・ポリャコフ)氏

PwCコンサルティング合同会社
パートナー
村上 純一

PwCコンサルティング合同会社
ディレクター
柴田 健久

※ 本稿は「Digital Trust Forum 2026」のセッション8「イスラエル発AIセキュリティスタートアップ Adversa AIと探るエージェント型AI時代の脅威と防御設計」の内容を基に、再構成したものです。

左から、村上 純一、柴田 健久

個別対策だけでは守れない――本番環境で問われる統制

村上:
続いてポリャコフさんに伺います。ガイドラインやフレームワークの整備は進んでいます。しかし、それらを実効性のある対策として機能させるには、現場でどのような難しさがあるのでしょうか。

ポリャコフ:
AIエージェントをセキュアにする原則はシンプルです。機能に不要なものは制限する。つまり、必要最小限の権限と機能だけを認めるということです。

ただし、この原則を実際の統制として組み込むのは簡単ではありません。AIエージェントはメモリを持ち、ツールを使い、他のエージェントとも通信します。単なるアプリケーションではなく、人間に近い複雑な振る舞いをする存在として捉える必要があります。

私たちのAdversaフレームワークでは、全てのAIエージェントに対して、少なくとも以下の10個の高レベル統制(コントロール)を定義しています。

統制

目的

意図検証

エージェントの目標がユーザーの意図と一致しているかを保証する

ツールガバナンス

ツールへのアクセスを最小限にする

アイデンティティファブリック

あらゆるエージェントのアイデンティティが適切に管理されることを保証する

行動ベースライン監視

ドリフト(挙動の変化)や異常を検知する(生(加工・要約前のログやテレメトリ)のデータをそのまま使用)

サプライチェーン検証

MCPサーバー、依存関係、コードフレームワーク関連コンポーネントの安全性を確認する

セキュリティメッシュ

安全なエージェント間コミュニケーションを可能にする

キルスイッチ

エージェントが危険な動作を取っている場合に検知し、即座に停止する

継続的検証・レッドチーミング

新たな脆弱性を予防し、既知の問題を修正する

データフローファイアウォール

データ流出を防ぐ

コンプライアンス管理

規制や政策要件の遵守を確保する

ここで重要なのは、個々の対策を講じるだけで終わらせないことです。それらを一つの仕組みとして連携させ、本番環境で機能し続けさせる必要があります。ここが最も難しい点です。

例えば、ヒューマン・イン・ザ・ループを導入していても「誰が」「どの段階で」「どう止めるのか」が曖昧であれば、有効に機能しません。場合によっては、その曖昧さを攻撃者に悪用される可能性もあります。さらに、インシデント後に誤った前提や判断がコンテキストに残れば、同じ問題が再発するおそれがあります。

多くの企業は、ガードレール、レビュー、レッドチーミングといった対策を講じています。それでも問題が起きるのは、テスト環境と本番環境では条件が異なるからです。本番では入力、コンテキスト、利用するツールの組み合わせが変わり、AIエージェントが想定外の判断を下すことがあります。

その典型が「カスケード障害」です。これは一つの誤りが後続の処理や別のエージェントに連鎖的に波及し、影響が拡大する障害を指します。例えば、金融取引を行うエージェントが送金額を誤認し、本来100ドルのところを1,000ドルと判断したとします。その情報が承認担当の別エージェントに渡り、後者が前者の判断を信頼すれば、誤った取引が成立してしまいます。小さなハルシネーションが、エージェント間で連鎖し、実害につながるのです。

原因への対処が不十分なままだと、問題は形を変えて繰り返されます。プロンプトを修正したり別のシナリオで検証したりしても、根本的な脆弱性が残っていれば、再び同じような問題が表面化する可能性があります。

個別の対策を積み上げるだけでは不十分です。重要なのは、AIエージェントが本番環境でどのように振る舞っているのかを継続的に把握し、管理できる状態にしておくことです。ここにAIエージェント対策の最大の難しさがあります。

PwCコンサルティング合同会社 パートナー 村上 純一

整備が進むAIエージェントの国際標準とガイドライン

村上:
こうしたリスクや対策を巡るガイドラインや標準化は、今どこまで進んでいるのでしょうか。ポリャコフさんが携わっている取り組みも含めて教えてください。

ポリャコフ:
ガイドラインや脅威分類、ベストプラクティスの整備は急速に進んでいます。OWASP、NIST、CSA、IEEE、CoSAIなど、複数の組織が取り組みを進めており、私自身もいくつかに関わっています。代表的なものを整理すると、次のとおりです。

策定組織

ガイドライン/標準

概要

OWASP

Agentic AI Top 10

AIエージェントに特有の脅威・脆弱性に焦点を当て、ゴールハイジャック、メモリポイズニング、カスケード障害など重要な10の脅威を整理

OWASP

AI VSS

AIの脆弱性を評価するためのスコアリング標準。開発中で、ドラフトが利用可能。

CoSAI
(Coalition for Secure AI)

Model Context Protocol(MCP) Security

Anthropicと共同で策定。12の高レベル脅威、40以上の脅威シナリオ、MCP通信のセキュリティ確保に関する指針を含む。

CSA
(Cloud Security Alliance)

MCP Top 10

MCPサーバーとMCPクライアントのTOP10リスト

CSA
(Cloud Security Alliance)

AI Control Metrics
(AICM)

AIシステム全般を対象に200以上のセキュリティコントロールを定義。AIエージェント専用ではないが適用可能

IEEE

グローバル標準・脅威モデリング

AIエージェントアプリケーションを含むAIのグローバル標準、脅威モデリングに取り組み中

なかでもOWASPの「Agentic AI Top 10」は、AIエージェント向けの最も重要なガイドラインの一つだと考えています。また、私がワークストリームを率いるCoSAIのMCPガイドラインは、現時点で最も包括的なMCPセキュリティの指針だと見ています。企業が参照できる標準や実装指針は、かなり整備されてきていると言えるでしょう。

村上:
ありがとうございます。グローバルで標準化やガイドライン整備が進む一方、日本でも議論は活発化しています。その一例として、2025年6月には、いわゆる日本版AI法(人工知能関連技術の研究開発及び活用の推進に関する法律)が公布されました。

また、AIセーフティ・インスティテュート(AISI)はAIセキュリティに関するレポートや調査ペーパーを発信しており、総務省でもAIセキュリティに関する分科会が設けられ、検討が進んでいます。日本でも、制度と現場の両面から環境整備が動き始めていると言えます。

PwCコンサルティング合同会社 ディレクター 柴田 健久

経営層はAIエージェントとどう向き合うべきか

柴田:
制度やガイドラインの整備が進む中、経営者にとって難しいのは、「どこまでなら安心して使えるのか」という判断です。AIエージェントは使わなければ競争力を失う可能性がありますが、十分な統制なしに使えば新たなリスクを抱えることになります。

そこでポリャコフさんに伺います。グローバルでは、企業の経営層はAIエージェントとどのように向き合い、どのような条件で活用を進めようとしているのでしょうか。

ポリャコフ:
現時点で、AIエージェントを完全に安全に使えると言い切れる企業は、まだ限られています。一方で、使わないという判断も現実的ではありません。AIエージェントを活用しない企業は、競争力を失う可能性があるからです。

そのため世界の多くの企業は、AIエージェントを従来のAIやITとは別物として捉え、不完全さを前提に、制御できる範囲で使い始めています。標準や仕組みはまだ発展途上ですが、各社は安全性と活用価値のバランスを取りながら、条件付きで導入を進めています。日本でも、同じ方向に進むと見ています。

柴田:
ありがとうございます。AIエージェントは、安全か危険かの二択で捉えるのではなく、制御でき、説明できる形で使うことが重要です。私の専門分野であるデジタルアイデンティティの観点からも、エージェントをどう識別し、権限を与え、追跡するかが今後の論点になると考えています。

村上:
本日の議論を通じて、AIエージェントは、使わないのではなく、制御できる形で使うことが重要だと見えてきました。経営、設計、運用の各レイヤーで方針を定め、小さく始め、検証しながらユースケースを広げていく必要があります。ポリャコフさん、本日は貴重なお話をありがとうございました。

主要メンバー

村上 純一

パートナー, PwCコンサルティング合同会社

Email

柴田 健久

ディレクター, PwCコンサルティング合同会社

Email


{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

本ページに関するお問い合わせ