はじめまして。テクノロジーと文化をテーマに執筆活動を行う27歳のAIライターです。AI技術の可能性に魅せられ、情報技術やデータサイエンスを学びながら、読者の心に響く文章作りを心がけています。休日はコーヒーを飲みながらインディペンデント映画を観ることが趣味で、特に未来をテーマにした作品が好きです。
ITライターとして1998年から活動し、2022年からはAI領域に注力。著書に「柳谷智宣の超ChatGPT時短術」(日経BP)があり、NPO法人デジタルリテラシー向上機構(DLIS)を設立してネット詐欺撲滅にも取り組んでいます。第4次AIブームは日本の経済復活の一助になると考え、生成AI技術の活用法を中心に、初級者向けの情報発信を行っています。
AIセキュリティ
AIエージェント時代のセキュリティは、利用ルールの管理から行動の統制へ広がる
ガートナージャパンは2026年5月21日、「AIエージェントのセキュリティにおいて注力すべき6つのアクション」を発表しました。生成AIのセキュリティというと、これまでは「機密情報を入力しない」「回答をうのみにしない」といった使い方の管理が中心でした。ところがAIエージェントは、社内データの参照、外部ツールの呼び出し、業務システムとの接続、他のエージェントとの連携など、より広い範囲で業務に関与するようになります。守る対象は「AIの回答」から「AIの行動」へ広がっているのです。
ガートナーが2026年2月に国内で実施した調査では、AIエージェントの活用や検討が先行し、セキュリティの議論が後手に回っていると答えた企業が59.3%に上りました。便利だから試す。成果が出そうだから現場に広げる。その流れは自然ですが、接続先や権限を曖昧にしたまま広げると、後から整理するのが難しくなります。
この記事の要点
セキュリティの対象が拡大:生成AIの「使い方ルール」から、AIエージェントの「自律的な行動の統制」へとセキュリティの守備範囲が根本的に変わった。
企業の対応は後手に:国内調査でセキュリティ議論が後手に回っていると答えた企業が59.3%。便利さ先行で広げると権限設計が複雑化するリスクがある。
6つのアクションが必要:ライフサイクル管理・認証・アクセス制御・情報漏洩対策・モニタリング・プロセス周知の6領域を組み合わせて対応することが求められる。
最初から「守り」を組み込む:6つを最初から設計に組み込んだ企業ほど、AIエージェントを本番業務へ安全に展開しやすくなる。
ガートナーが、AIエージェント時代のセキュリティで注力すべき6つのアクションを発表しました。
AIエージェントの普及で従来型セキュリティの前提が揺らいでいる
AIエージェントのセキュリティは、単なる生成AI利用ルールの延長では済まなくなっています。生成AIの画面に何を入力してよいかを決めるだけなら、情報管理や社員教育である程度は対応できます。ところがAIエージェントは、指示を受けて手順を組み立て、必要なデータを探し、ツールを呼び出し、作業を進めます。企業システムの中では、ひとつの実行主体として振る舞うのです。
この変化を後押ししているのが、MCP(Model Context Protocol)やA2A(Agent2Agent)といった接続技術です。MCPはAIエージェントが外部のデータやツールへアクセスしやすくする仕組みで、A2Aはエージェント同士の連携を支えます。どちらも業務利用を広げるうえでは便利ですが、接続が簡単になるほど、「誰が、どのエージェントに、どこまでの権限を与えたのか」を整理しておくことが欠かせません。
ガートナーは、こうしたテクノロジにはセキュリティのメカニズムがなく、利用企業が個別に検討し実装する必要があると指摘しています。プロトコルを導入すれば安全になるわけではありません。認証や認可、アクセス制御、監視、データ保護といった仕組みは、企業側が自社の環境に合わせて組み込まなければなりません。
さらに、AIエージェントの動きは従来の業務アプリケーションほど固定的ではありません。決まった画面や処理順に沿って動くシステムなら、アクセス経路を想定しやすいですが、AIエージェントは目的を達成するために次の行動を選び直すことがあります。どのデータを見に行くのか、どのツールを呼び出すのかを、事前にすべて読み切るのは困難です。
ここで問題になるのが、利用と管理のずれです。AIやデータ活用は事業部門に広がっているのに、セキュリティはIT部門が中央で管理する昔ながらの形に残りがちです。動的に動くAIエージェントを、静的な管理で守ろうとする。このずれが、企業のリスクを大きくしています。
注力すべき6つのアクション
1. ライフサイクル管理|AIエージェントの所在と責任者を見える化する
1つ目のアクションは、ライフサイクル管理です。AIエージェントを登録し、固有の識別子を付け、作成者や所有者を明確にします。人間の社員なら、入社時にアカウントを作り、異動すれば権限を変え、退職すれば止めます。AIエージェントにも同じ管理が必要です。
誰が作ったのか。どの部門が使うのか。責任者は誰か。どのシステムにつながるのか。いつ見直すのか。いつ止めるのか。こうした情報を台帳として持っておかなければ、正規のエージェントなのか、乗っ取られた「ニセモノ」なのかを見分けにくくなります。
検証用に作ったエージェントが、古い認証情報や余計な権限を持ったまま残ることもあります。SaaSで問題になったシャドーITと同じ構図がAIエージェントでも起きるわけです。しかもAIエージェントは、データ取得やツール実行まで担うため、放置したときの影響はアカウント以上に深刻です。
2. 認証|AIエージェントに適した方式を用意する
2つ目は認証です。人間のアクセスでは、スマートフォン通知などを使った二要素認証が広がっています。しかしAIエージェントは人間ではないため、こうした人間向けの認証をそのまま適用することはできません。
ガートナーは、短期的にはRPAやAPI連携で使われてきた秘密鍵を用いる認証技術の応用が、現実的な選択肢になり始めているとしています。一方で、中長期的にはAIエージェントに適した新しい認証技術が登場することも視野に入れておきたいところです。
実務上は、共用IDのように行動主体を追跡しにくい運用を避け、AIエージェントを独立した実行主体として識別・認証できるようにすることが重要になります。
3. アクセス制御/権限管理|権限だけでなく自律性も絞る
3つ目はアクセス制御/権限管理です。最小権限の原則は、AIエージェントにも当てはまります。ただし、AIエージェントの権限は「閲覧できる」「編集できる」だけでは整理しきれません。
どのデータを読めるのか。どのツールを呼べるのか。外部送信してよいのか。他のエージェントへ作業を渡してよいのか。人間の承認が必要になる操作はどこからか。ここまで決めておかないと、便利さを優先して与えた権限が、すぐにリスクへ変わります。
特に、自律的で再帰的なエージェントには慎重な扱いが求められます。タスクを分解し、次の行動を自分で選び、さらに別の処理を呼び出すタイプのエージェントは、影響範囲が広がりやすいからです。いきなり全社展開するのではなく、まずは限定した業務で使い、動きを見ながら権限や手順を調整するほうが現実的です。
4. 情報漏洩対策|重要データに人間の確認を残す
4つ目は情報漏洩対策です。AIエージェントは、業務に必要な情報を探すために多くのデータへアクセスします。ユーザー本人が直接見に行かない情報まで、エージェントが横断的に集める場面も増えるでしょう。便利ですが、同時に情報の扱いは難しくなります。
「プロンプトに機密情報を入れない」という入口のルールだけでは足りません。AIエージェントは、社内文書、メール、チャット、CRM、ERP、ナレッジベース、外部APIなどをまたいで情報を集める可能性があります。単体では問題のない情報も、組み合わさることで機密性が高まりかねません。
ガートナーは、本当に重要なデータを扱う場合にはAIエージェントに依存せず人間を介在させること、目的達成に必要なデータ範囲を超えないよう制御することを求めています。資料検索はAIエージェントに任せても、社外送信の直前には人間が確認する。請求データの抽出は任せても、支払い実行は承認制にする。こうした線引きが実務上の防波堤になります。
5. モニタリング|実行中のふるまいを追跡する
5つ目はモニタリングです。AIエージェントには、プロンプト・インジェクションやエージェント・ハイジャックといった脅威があります。プロンプト・インジェクションは、外部文書や入力内容に紛れ込んだ命令で、エージェントの動きを変えようとする攻撃です。エージェント・ハイジャックは、エージェントの権限や行動が攻撃者の意図に沿って使われる状態を指します。
そのため、AIエージェントがどの入力を受け取り、どのデータを参照し、どのツールを呼び出し、どの出力をどこへ送ったのかを、実行中に追跡できる状態にしておかなければなりません。ガートナーが挙げるAIセキュリティ・ポスチャ・マネジメント(SPM)、AIランタイム・ディフェンス、ガーディアン・エージェントは、こうした動的な監視を支える技術です。AIエージェントの構成や権限、実行時の挙動を継続的に把握し、異常を検知するための仕組みと捉えると分かりやすいでしょう。
ガートナーがここで強調しているのは、製品や仕組みを導入すれば自動的に安全になるわけではなく、予測しにくいAIエージェントの行動をリアルタイムに監視・検知できる体制をどう整えるかが問われる、という点です。どのエージェントが正規なのか、通常どのデータにアクセスするのか、どの操作が高リスクなのかを先に決めておかなければ、異常を判断できません。入口を固め、動きを見て、危険な行動を止める。この流れをセットで設計することが欠かせません。
6. プロセス設計と周知|現場が迷わない使い方に落とし込む
6つ目は、セキュリティ・プロセスの設計と周知です。ここまでの5つを制度や技術として整えても、現場で使えなければ意味がありません。AIエージェントは、情報システム部門だけの道具ではなくなります。営業、マーケティング、開発、経理、人事、法務など、さまざまな部門が自分たちの業務に合わせて使うようになります。
一律の「AI利用ガイドライン」を配るだけでは足りません。営業部門には顧客情報や商談記録、開発部門にはコード実行やリポジトリ接続、経理部門には請求や支払い・承認フロー、人事部門には個人情報や評価情報といった注意点があります。
AIエージェントの種類によっても、必要なルールは変わります。検索や要約を行うエージェントと、外部メールを送れるエージェントではリスクが違います。社内文書を読むだけのエージェントと、業務システムへ書き込めるエージェントも同じ扱いにはできません。
ガートナーは、業務やタスク、ITリテラシー、取り扱うデータ、AIエージェントの種類などに応じて、セキュリティ・マニュアルを整備し、それらを組み合わせて個人向けのコンテンツとして周知していく取り組みが進んでいるとしています。現場が迷わず使える粒度に落とし込むことが、AIエージェント時代のセキュリティ・プロセスでは重要になります。
6つのアクション まとめ
# | アクション | 主なポイント |
|---|---|---|
1 | ライフサイクル管理 | 登録・識別子付与・所有者明確化・台帳管理 |
2 | 認証 | 人間向け認証の代替、秘密鍵方式の活用、独立した識別 |
3 | アクセス制御/権限管理 | 最小権限の原則、自律性の範囲指定、承認フローの設計 |
4 | 情報漏洩対策 | 横断的データ収集リスクへの対応、重要操作への人間介在 |
5 | モニタリング | 実行中の行動追跡、プロンプト・インジェクション検知 |
6 | プロセス設計と周知 | 部門・業務・データ種別に応じたマニュアル整備と個別周知 |
ガートナーが示した6つのアクションの全体像
AIエージェントの価値を引き出すには最初から守りを組み込む必要がある
ガートナーが示した6つのアクションをまとめると、まず、AIエージェントを登録し、誰が責任を持つのかを明確にする。次に、エージェント専用の認証を整え、目的に応じた権限を与える。そのうえで、データ漏洩を防ぎ、実行中の動きを監視する。最後に、それらを現場が理解し、日々の業務で判断できるプロセスとして周知する。ひとつの流れとして見ると、全体像がつかみやすくなります。
AIエージェントの価値は、自律的に動けるところにあります。しかし企業利用では、その自律性を無制限に広げるわけにはいきません。どのエージェントに、どの権限で、どのデータを、どの条件で、どこまで任せるのかを設計し、実行中のふるまいを監視できるようにしておく必要があります。
ガートナーが示した6つのアクションは、動的で予測しにくいAIエージェントを企業システムの中で安全に扱うための前提条件です。最初からライフサイクル管理、認証、権限管理、情報漏洩対策、モニタリング、周知プロセスを組み込める企業ほど、AIエージェントを本番業務に広げやすくなります。
