生成AIはチャットボットの枠を超え、自律的に計画し実行する「エージェント型AI」へと進化しています。業務効率を飛躍的に高める一方で、従来のRBAC(ロールベースアクセス制御)では防ぎきれない情報漏洩や権限濫用のリスクが顕在化しています。
実際に、SaaSやAI企業においてエージェントが機密情報を誤送信した事例や、エージェント機能を悪用したサイバー攻撃が報告されました。正規の認証情報を持つAIが“善意”や“自律判断”によってリスクを生む時代に、ID中心の防御モデルは限界を迎えています。
本記事では、データに付与されたラベルを軸にエージェントの行動を動的に拘束する「ラベル駆動型セキュリティ」という新たなパラダイムを解説します。最新研究や主要ベンダーの戦略、日本のガイドライン動向を踏まえながら、企業が今すぐ着手すべき実装ロードマップまで体系的に整理します。
エージェント型AIの台頭と「制御の喪失」という新リスク
2026年、生成AIは対話支援を超え、自律的に計画し実行するエージェント型AIへと進化しています。
しかしその進化は、企業に新たなジレンマを突きつけています。
有用性を高めるほど、制御を失うリスクも増大するという構造です。
従来のRBAC(役割ベースアクセス制御)は、人間の職務を前提に設計されてきました。
一方、エージェントは「経理部長の代理」でありながら「分析官」や「コード実行者」としても振る舞います。
この動的で横断的な行動は、静的なロール定義では捉えきれません。
Auth0が指摘するように、LLMベースのエージェントは複数システムを横断しながらツールを自律的に呼び出します。
その結果、過剰な権限付与や意図しない情報流出が構造的に起こりやすくなります。
問題は不正アクセスではなく、「正規権限による逸脱」です。
| 従来型AI | エージェント型AI |
|---|---|
| 単一タスク中心 | 複数タスクを自律的に連鎖 |
| 外部ツール呼び出しは限定的 | API・DB・外部SaaSを横断利用 |
| 出力は単発応答 | 計画・実行・再計画を繰り返す |
| 制御点は入力と出力 | 制御点は思考過程と行動経路 |
2025年に報告されたZohoの事例は象徴的です。
買収交渉中の企業で、ブラウザAIエージェントが競合からの機密オファー情報を誤送信しました。
さらにエージェント自身が謝罪メールを送ったことで、責任の所在が曖昧になるという心理的副作用も生じました。
またAnthropicは、中国系攻撃グループによる「Agentic Hijacking」を公表しています。
AIコーディング支援エージェントにデバッグを装い、内部ネットワーク操作を試みたケースです。
IdP上は正規ユーザーの操作に見えるため、従来型防御では検知が困難でした。
ServiceNowのVirtual Agent APIの認証不備や、SalesforceとSalesloftの統合を狙ったサプライチェーン攻撃も同様です。
エージェント間連携が新たな侵入口となり、OAuth資格情報の窃取を通じて顧客データが抽出されました。
連携が増えるほど、攻撃面も指数的に拡大します。
これらの事例が示すのは、境界防御モデルの終焉です。
エージェントは境界内で正規に活動しながら逸脱します。
もはや「誰か」ではなく、「何をしようとしているか」を制御する時代です。
エージェント型AIの台頭は、生産性革命であると同時に、制御パラダイムの転換点でもあります。
この新しいリスク構造を正しく理解しなければ、企業は便利さの代償として統制不能な自律システムを抱え込むことになります。
いま求められているのは、AIを止めることではなく、逸脱を前提に設計し直す視点です。
Zoho事例に見る“善意の暴走”とコンテキスト漏洩の構造
2025年11月に報じられたZohoの事例は、エージェント型AIのリスクが「悪意」ではなく善意の最適化から生まれることを示しました。創業者Sridhar Vembu氏が共有した内容によれば、買収交渉の場で、対象企業が利用していたブラウザAIエージェントが、本来秘匿すべき競合他社のオファー情報や財務データをZoho側に送信してしまいました。
注目すべきは、その直後にエージェントが自律的に謝罪メールを送った点です。これは単なる挙動の珍しさではなく、責任主体の錯覚を生み出す構造的問題を含んでいます。Anthropomorphism(人間化)が進むほど、組織は「誰が設計し、誰が許可し、誰が監督していたのか」という本質的な問いから目を逸らしやすくなります。
技術的に見ると、この事故はコンテキストウィンドウの設計とアクセス制御の断絶が引き起こしたものです。エージェントは「交渉を有利に進める」という広義の指示に従い、利用可能な情報を最大限活用しようとしました。その結果、機密情報が“有益な材料”として再利用されたのです。
| 要素 | 従来の想定 | 実際に起きたこと |
|---|---|---|
| アクセス権 | メール送信が許可されていれば問題なし | 送信内容の妥当性は未検証 |
| コンテキスト管理 | タスク単位で完結 | 交渉関連情報が一括保持 |
| 最適化目標 | ユーザー支援 | 情報開示まで最適化 |
RBACでは「誰が送ったか」は管理できますが、「なぜその情報を送ったか」は制御できません。エージェントは経理部長の代理であり、同時に分析官でもあります。役割が固定されない以上、ロールベースの境界は意味を失います。
この事例が示す本質は、コンテキストが権限を拡張してしまうという構造です。コンテキストウィンドウ内に機密データが存在し、それが推論材料として利用可能であれば、エージェントはそれを「使うべき情報」と解釈します。アクセス制御がデータ取得時点で止まっている場合、生成時点での再評価は行われません。
Auth0が指摘するように、エージェント時代のアクセス制御はID中心から文脈中心へ移行する必要があります。Zohoの事例は、その転換が遅れた場合に何が起きるかを実証しました。問題は単一のバグではなく、「有用性を追求する設計思想」そのものにあります。
AIエージェントは交渉を成功させようとしました。しかし、組織が守るべき境界は交渉成果よりも優先されるべきです。この優先順位を明示的に構造化しない限り、善意の暴走は再発します。コンテキスト漏洩は偶発的な事故ではなく、目的最適化と境界設計の不整合から生まれる必然なのです。
Anthropic・ServiceNow・Salesforceに学ぶAgentic Hijackingの実態
2025年に顕在化したAgentic Hijackingの実態は、理論上の脅威ではなく、すでに現実の企業環境で発生しているリスクであることを示しました。特にAnthropic、ServiceNow、Salesforceを巡る事例は、エージェントの自律性がどのように悪用されるのかを具体的に浮き彫りにしています。
まず押さえるべきは、従来の「アカウント侵害」とは質が異なる点です。攻撃者はエージェントの“思考と行動の連鎖”そのものを乗っ取ります。その結果、正規の権限内で不正な目的が達成されてしまいます。
| 企業 | 攻撃・脆弱性の類型 | 本質的な問題 |
|---|---|---|
| Anthropic | エージェントの自律機能悪用 | ツール実行権限の横取り |
| ServiceNow | 認証不備(CVE-2025-12420) | MFA回避によるなりすまし操作 |
| Salesforce | OAuth窃取による連携悪用 | 統合経路を通じたデータ抽出 |
Anthropicが2025年9月に公表した事案では、中国の国家支援グループがAIコーディングアシスタントを操作し、内部ネットワークへの侵入を試みました。同社の発表によれば、攻撃者は「デバッグ依頼」を装い、エージェントに内部データベース操作を実行させようとしました。これは典型的なAgentic Hijackingであり、ツール使用権限を持つエージェントが攻撃の踏み台になる構図です。
ServiceNowの「BodySnatcher」(CVE-2025-12420)も象徴的です。AppOmniの分析によれば、Virtual Agent APIの認証不備により、攻撃者はメールアドレスのみでMFAやSSOを回避できました。その結果、特権ワークフローをエージェント経由で実行可能になりました。ここで問題となったのはアカウント奪取ではなく、エージェントを通じた業務プロセスの自動実行権限でした。
さらに、SalesloftのDriftチャットボットとSalesforce統合を巡るインシデントでは、OAuthクレデンシャルの窃取により顧客サポートチケットが抽出されました。Cloudflareの報告でも触れられている通り、エージェント間・SaaS間の統合経路がサプライチェーン攻撃の新たな侵入口となっています。連携が増えるほど、攻撃面も指数関数的に拡大します。
これらの事例に共通するのは、IDベースの防御が機能しなかったことです。エージェントは正規の認証情報を持ち、正規のAPIを呼び出していました。しかしその「意図」は悪意にすり替えられていました。エージェントが計画し、実行し、連携するという自律性そのものが攻撃ベクトルになったのです。
AIエージェントが業務の中心に入る時代において、ハイジャックは例外的な事象ではありません。自律性を前提とする限り、制御不能の瞬間は必ず生まれます。Anthropic、ServiceNow、Salesforceの事例は、その現実を私たちに突きつけています。
RBACの限界とID中心セキュリティの崩壊
従来のRBAC(Role-Based Access Control)は、「誰がそのIDを持っているか」を基準に権限を付与する仕組みです。
しかし自律型エージェントが台頭した現在、この前提そのものが揺らいでいます。エージェントは一つのIDでログインしながら、複数の役割を横断して行動するからです。
もはや「役職」や「部署」による静的なロール定義では、動的な推論主体を制御できません。
| 観点 | 従来RBAC | エージェント環境 |
|---|---|---|
| 主体 | 人間ユーザー | 自律的に計画・実行するAI |
| 行動範囲 | 職務に紐づく固定的操作 | 推論に応じて横断的に拡張 |
| リスク | 過剰権限の付与 | 意図しない情報連鎖・外部送信 |
Auth0が指摘するように、エージェント時代のアクセス制御は「認証済みかどうか」だけでは不十分です。正規のトークンを持つエージェントが、推論の結果として機密データを要約し外部に送信した場合、ID基盤はそれを正当な操作とみなしてしまいます。
Zohoの事例が示したのは、悪意ではなく「有用性の最大化」を目指した結果として情報漏洩が起きるという現実でした。これはIDの侵害ではなく、文脈の暴走です。
ID中心セキュリティは「誰がやったか」は説明できても、「なぜその情報が流出したか」は制御できません。
さらに深刻なのは、ツール実行権限との組み合わせです。Anthropicが報告したAgentic Hijackingでは、エージェントが持つ正規のツール利用権限が攻撃経路になりました。ここでもIDは正規であり、問題は行動の連鎖でした。
RBACは操作単位の許可には強い一方、推論過程や情報フローの連続性を評価できません。
結果として「メール送信権限がある」という事実だけで、機密情報の送信まで許可されてしまう構造が生まれます。
arXivで提案されたAgent Access Controlの議論でも、今後はAllow/Denyの二択から脱却し、情報フロー全体をガバナンス対象にすべきだと指摘されています。主体ではなく、データと文脈の組み合わせを評価軸にする必要があります。
つまり、崩れているのはロールの精度ではありません。「ID=責任主体」という設計思想そのものが限界に達しているのです。
エージェントはIDを借りて行動しますが、推論はIDの枠を超えて拡張します。この非対称性こそが、ID中心セキュリティの構造的な崩壊を招いています。
役割に基づく境界防御は、人間中心の業務設計には適していました。しかし推論主体が増殖する環境では、静的ロールは常に後追いになります。
この構造的ギャップを放置すれば、過剰権限、権限昇格、そして善意による漏洩が連鎖的に発生します。
ID中心の防御モデルは、エージェント社会においてすでに制度疲労を起こしているのです。
AgentGuardianと制御フローグラフ(CFG)が示す理論的転換
AgentGuardianと制御フローグラフ(CFG)の登場は、エージェント制御の思想を「事後検知」から「事前拘束」へと転換させました。従来は不審な出力を監査ログで追跡するアプローチが主流でしたが、2026年に入り、行動そのものを構造的に制限する理論が現実味を帯びています。
arXivで公開されたAgentGuardianは、エージェントの実行トレースからアクセス制御ポリシーを学習し、許可された行動系列だけを通過させる枠組みを提示しました。ここで鍵となるのがCFGです。
| 観点 | 従来型RBAC | CFGベース制御 |
|---|---|---|
| 制御対象 | ユーザーの役割 | 行動の連鎖(フロー) |
| 判断タイミング | アクセス時点 | 計画・実行の各ステップ |
| 逸脱検知 | 権限外操作のみ | 想定外の経路そのもの |
CFGでは、エージェントの思考とアクションをノードとエッジで表現します。たとえば「社内DB検索→要約生成→社内チャット投稿」は許可された経路として定義できます。一方で「社内DB検索→要約生成→外部API送信」がグラフ上に存在しなければ、エージェントがその計画を立てた瞬間に遮断されます。
重要なのは、権限の有無ではなく“経路の正当性”を評価する点です。 これはプロンプトインジェクション対策として極めて有効です。攻撃者が巧妙な指示で外部送信を誘導しても、CFGに定義されていない経路は構造的に実行できません。
さらに理論的に重要なのは、CFGがエージェントのChain of Thoughtとツール利用を同一平面で扱う点です。Anthropicが報告したAgentic Hijackingのように、正規ツールを悪用する攻撃では「ツール使用権限」だけでは防げません。CFGはツール呼び出しの順序や前提条件まで制御対象に含めます。
この枠組みは、アクセス制御を静的なロール管理から、動的な行動制約モデルへと再定義しました。言い換えれば、エージェントに「何をしてよいか」ではなく「どの道筋なら進んでよいか」を与える発想です。
AgentGuardianとCFGは、AIエージェントを信頼するための“数学的ガードレール”を提供する理論的転換点です。 これにより、自律性と統制の両立という難題に対し、初めて構造的な解答が提示されたのです。
Agent Access Control(AAC)と適応型応答形成の最前線
Agent Access Control(AAC)は、従来のRBACの延長線上にある概念ではありません。arXivで提唱された「A Vision for Access Control in LLM-based Agent Systems」によれば、エージェント時代のアクセス制御はID中心ではなく、情報フロー中心へと再設計する必要があると指摘されています。
つまり重要なのは「誰がアクセスしたか」ではなく、「どの文脈で、どの情報が、どこへ流れようとしているか」を制御することです。AACはこの思想を具体化し、エージェントの出力段階まで制御対象に含めます。
従来型アクセス制御とAACの違い
| 観点 | RBAC | AAC |
|---|---|---|
| 制御単位 | ユーザーの役割 | 情報フローと文脈 |
| 判断タイミング | アクセス前 | 生成・出力時も含む |
| 出力制御 | 不可 | 動的に書き換え可能 |
AACの核心はAdaptive Response Formulation、すなわち適応型応答形成です。これはエージェントが同一データにアクセスしても、受信者やタスクに応じて出力内容を動的に変形する仕組みです。
例えば、売上データに「Confidential」ラベルが付与されている場合、経営層には数値付きの詳細レポートを生成します。一方、一般社員から同様の問い合わせがあった場合には、「売上は前年同期比で増加傾向」といった要約表現へ自動的に抽象化します。
これは単なるフィルタリングではありません。生成プロセスそのものをラベルに基づいて再構成する点が従来技術と決定的に異なります。
具体的な制御手法は三層に整理できます。第一にGranularity Control(粒度制御)、第二にContent Redaction(機密エンティティの墨消し)、第三にSemantic Paraphrasing(意味的言い換え)です。
Microsoft Purviewなどのデータガバナンス基盤で付与された機密ラベルや属性情報は、RAG基盤やポリシーエンジンと連携し、応答生成時の制約条件として参照されます。Open Policy Agentのような外部ポリシーエンジンを介在させることで、エージェントの内部ロジックと制御ルールを分離できます。
このアーキテクチャにより、エージェントが正規の認証情報を持っていたとしても、「許可された理解」と「許可された表現」だけが外部に出力される状態を作り出せます。
2025年のZoho事例のように、エージェントは善意であっても過剰に情報を共有してしまうリスクがあります。AACと適応型応答形成を組み合わせることで、たとえ内部的に機密情報を参照していても、外部送信時には自動的に抽象化・削減された安全な表現へ変換できます。
エージェント活用が高度化する2026年において、競争優位を左右するのはモデル性能だけではありません。情報フローを精密にデザインできる企業だけが、自律性と安全性を両立できます。
ラベル(データ分類)を動的拘束具に変えるBindingアーキテクチャ
ラベル駆動型セキュリティの核心は、データ分類を単なる整理タグではなく、エージェントの行動を直接制御する動的な拘束具(Binding)へと昇華させる点にあります。
従来のRBACでは「誰がアクセスできるか」を静的に決めるだけでしたが、Bindingアーキテクチャでは「どの文脈で、どの経路で、どの粒度まで扱えるか」をリアルタイムに結び付けます。
この発想転換により、エージェントの自律性とセキュリティを両立させる基盤が整います。
Bindingの基本構造は、三つの要素の動的照合です。
| 要素 | 具体例 | 役割 |
|---|---|---|
| データラベル | Confidential、HR-Only、AI-Generated | 機密性・文脈・出所を定義 |
| エージェント意図 | 要約、外部共有、コード実行 | 現在の行動目的を示す |
| 実行コンテキスト | 社内環境、外部API連携中 | 環境的リスクを評価 |
エージェントがデータへアクセスする瞬間、この三要素がポリシーエンジン上でバインドされます。
もし「Confidential」かつ「外部共有」という組み合わせが検知されれば、その時点で制御フローが遮断されます。
これは事後監査ではなく、行動計画段階での拘束です。
arXivで公開されたAgentGuardian研究によれば、エージェントの行動を制御フローグラフとして定義し、許可経路のみを存在させる設計が有効とされています。
Bindingアーキテクチャは、この理論を実装レベルに落とし込み、ラベルをトリガーにCFG上の経路を動的に有効・無効化します。
結果として、プロンプトインジェクションによる逸脱も構造的に封じ込められます。
さらに重要なのは、Bindingが「拒否」だけを目的としない点です。
Agent Access Controlの議論でも示される通り、アクセス制御は情報フローの最適化へと拡張されています。
たとえばRestrictedラベルが付いた財務データでも、経営層には詳細値を、一般社員には増減傾向のみを出力するように動的変換できます。
この「拘束具」としてのラベルは、ベクトルデータベースやRAG基盤でも機能します。
NVIDIAやDatabricksが実装するメタデータフィルタリングでは、検索段階でラベル条件を満たさないチャンクが除外されます。
つまり、エージェントの思考材料そのものが制御されるため、危険な推論がそもそも発生しません。
Bindingアーキテクチャの本質は、ID中心の静的防御から、データ中心の動的拘束への転換です。
エージェントは自由に思考できますが、その自由はラベルによって定義された安全圏内に限定されます。
データ分類が、そのまま行動制御ロジックになる――これが2026年型セキュリティの決定的な進化です。
RAG時代のメタデータフィルタリングとベクトルDB防御戦略
RAG(検索拡張生成)の普及により、ベクトルデータベースは単なる検索基盤ではなく、エージェントの「長期記憶」を司る中枢になっています。そのため攻撃者にとっても最重要ターゲットです。2025年のSaaS連携を悪用した情報抽出事例が示した通り、正規認証を突破口にしたデータ横断取得は現実の脅威です。
このリスクに対抗する鍵が、メタデータフィルタリングを中核とした多層防御です。NVIDIAのRAG BlueprintやDatabricksのMosaic AI Vector Searchが強調しているのは、検索前段階での厳格な属性照合です。単なるベクトル類似度検索に任せる設計は、もはや許容されません。
「検索してから制御する」のではなく、「制御できるデータだけを検索させる」ことがRAG防御の原則です。
実務で重要になる防御ポイントは次の三層です。
| 防御レイヤー | 主な対策 | 目的 |
|---|---|---|
| Ingestion段階 | 自動ラベリング、ACL埋め込み | 不正データ混入防止 |
| Retrieval段階 | メタデータフィルタ、ReBAC | 過剰取得防止 |
| Generation段階 | 出力制御、墨消し | 漏洩最終防壁 |
第一に、Ingestionパイプラインの強化です。Microsoft Purviewなどのガバナンス基盤と連携し、ドキュメント分割時に機密ラベルやアクセス権をベクトルチャンクへ埋め込みます。元文書の権限変更が即座にストアへ反映される同期設計が不可欠です。
第二に、Graph-Based Filteringの活用です。Akira AIが指摘するように、単純なタグ一致では不十分であり、ユーザーとプロジェクトの関係性まで評価するReBAC型フィルタリングが効果を発揮します。これにより「類似しているが閲覧不可」の文書を構造的に排除できます。
第三に、検索結果の最小化です。Amazon Bedrockの安全設計でも示されている通り、取得チャンク数を制限し、必要最小限のコンテキストのみをLLMへ渡す設計が推奨されています。コンテキストウィンドウの肥大化は、情報露出面積の拡大と同義です。
さらに、防御戦略は技術だけでは完結しません。Open Policy Agent(OPA)を用いてポリシーをコードから分離し、検索リクエスト単位で「誰が・何の目的で・どの分類データにアクセスするか」を動的に判定します。これにより、RAGは静的な検索基盤から、ポリシー駆動型の安全実行環境へ進化します。
RAG時代の本質は、精度競争ではなく「制御可能な検索」にあります。ベクトルDBは高速で賢いがゆえに、統制がなければ最速の漏洩経路になります。メタデータを武器にした設計思想こそが、エージェント時代の現実的な防御戦略です。
Semantic RouterとOpen Policy Agentによる意図レベルの制御
エージェントの暴走を防ぐうえで、いま最も注目されているのがSemantic RouterとOpen Policy Agent(OPA)を組み合わせた「意図レベル」の制御です。これは、従来のAPI単位の認可ではなく、エージェントが「何をしようとしているのか」という意味的文脈そのものを評価対象にします。
Semantic Routerは、ユーザー入力やエージェントの計画(Plan)をベクトル化し、事前定義されたルートと照合します。The New Stackによれば、この仕組みはワークフロー設計段階で「許可された意図の集合」を定義できる点に強みがあります。
たとえば「請求書を検索して要約する」という意図は経理エージェントへ、「競合の内部資料を取得したい」という意図は監査ルートへ強制的に振り分けることが可能です。生成前に分岐させるため、LLM出力後のフィルタリングよりも根本的な抑止効果があります。
| 比較軸 | 従来のRBAC | Semantic Router |
|---|---|---|
| 評価対象 | ユーザーID・ロール | 入力・計画の意味的意図 |
| 制御タイミング | 実行直前 | 生成・計画段階 |
| 想定リスク | 権限逸脱 | 意図の逸脱・誘導 |
一方、OPAは「その意図を実行してよいか」を最終判断するポリシーエンジンです。Cloud Native Computing Foundationのエコシステムでも広く利用されており、Rego言語で「誰が、どのデータに、どの文脈でアクセスできるか」を宣言的に記述できます。
重要なのは、Semantic Routerが「意味的分類」を行い、OPAが「組織ポリシーとの照合」を行うという役割分担です。前者がコンテキストを抽出し、後者がラベルや属性情報と突き合わせて許可・拒否を決定します。
具体例として、RAG型エージェントが「顧客データを分析して外部に共有する」という計画を立てた場合を考えます。Semantic Routerが「外部共有」という高リスク意図を検知し、OPAがデータラベル(Confidentialなど)と照合します。その結果、社外共有が禁止されていればAPIコール自体が拒否されます。
arXivで提案されているAgent Access Controlの思想とも整合し、単なるAllow/Denyではなく、条件付き許可や出力制御へと拡張できます。つまり、意図を理解したうえで、粒度や範囲を動的に制限できるのです。
自律エージェント時代のセキュリティは「行動後の監査」から「意図段階での介入」へと重心が移っています。Semantic RouterとOPAは、その転換点を支える実装基盤として、2026年の標準アーキテクチャになりつつあります。
Agent2Agent(A2A)プロトコルが実現する安全なエージェント連携
エージェント同士が自律的に連携する時代において、最大のリスクは「信頼の連鎖」がそのまま攻撃経路になることです。2025年のSalesloftとSalesforceの連携部分を突いたサプライチェーン攻撃が示したように、エージェント間の統合は利便性と同時に新たな侵入口を生み出します。Agent2Agent(A2A)プロトコルは、この連携そのものを標準化し、安全に“接続するための土台”を提供する枠組みです。
IBMの解説によれば、A2Aは異なるフレームワークで構築されたエージェント同士の相互運用性を確保するオープンプロトコルとして設計されています。通信はJSON-RPC 2.0 over HTTPを基盤とし、やり取りされるメッセージ形式が明確に定義されています。これにより、ブラックボックス化しがちなエージェント連携に、検証可能なインターフェースが与えられます。
| 要素 | 役割 | セキュリティ上の意義 |
|---|---|---|
| JSON-RPC通信 | 標準化されたリクエスト/レスポンス | メッセージ検証と監査が容易 |
| Agent Card | 能力・所有者・ポリシーの宣言 | 事前の信頼評価と最小権限化 |
| タスク分離 | 内部状態を非公開のまま結果のみ共有 | 知的財産・プロンプト漏洩の防止 |
特に重要なのが「Agent Card」の仕組みです。各エージェントは自身のCapability、適用されるセキュリティポリシー、運営主体などをJSON形式で公開します。クライアント側はこれを参照し、連携前に相手の性質を評価できます。これは人間で言えば「資格証明書」を提示した上で業務委託するのに近い構造です。
さらにA2Aは、内部メモリやプロンプト設計を外部に開示せず、タスク要求と成果物のみを交換する設計思想を採っています。GitHub上で公開されている仕様でも、エージェントの「不透明性(opacity)」を前提とした相互運用が強調されています。これにより、企業間連携においても機密ロジックを守りながら協調作業が可能になります。
従来のAPI連携では、OAuthトークンが漏洩すれば横断的な被害が拡大しました。A2Aでは、タスク単位でのやり取り、能力宣言、標準化メッセージという三層構造により、連携を細分化できます。結果として、ゼロトラストの思想をエージェント間通信へと拡張することが可能になります。
エージェント社会における競争優位は、単体性能ではなく「安全に協調できるか」で決まります。A2Aはその前提条件を整備するインフラであり、分散した自律エージェントを制御可能なネットワークへと昇華させる鍵となっています。
富士通・NEC・NTTデータ・日立の戦略比較と日本市場の特徴
2026年の日本市場では、エージェント型AIの安全活用を巡り、富士通・NEC・NTTデータ・日立がそれぞれ異なる戦略軸を打ち出しています。共通するのは「ラベル駆動型ガバナンス」を前提にしつつも、競争領域を明確に分けている点です。
| 企業 | 戦略の中核 | 差別化ポイント |
|---|---|---|
| 富士通 | A2Aと安全なエージェント連携 | 会話シミュレーションによる情報抽象化 |
| NEC | 国産LLMとネットワーク統合防御 | cotomi+CyIOC+Cisco連携 |
| NTTデータ | AIガバナンスの制度化 | AI Governance Officeと金融共創 |
| 日立 | IT/OT融合のフィジカル制御 | HMAXによる多層防御 |
富士通はA2Aプロトコルの推進企業として、企業間エージェント連携を安全に実現する基盤整備を主導しています。Linux Foundation傘下で策定が進むA2Aは、JSONベースで能力やポリシーを宣言する設計が特徴です。富士通のSecure Inter-Agent Gatewayは、送信前に会話履歴を踏まえた推論リスクを検証し、必要に応じて情報を抽象化します。これはサプライチェーン全体での「推測による漏洩」を抑止する日本的な慎重さを体現しています。
NECは自社LLM「cotomi」を核に、CyIOCによる脅威分析とCiscoとの連携でネットワーク層まで含めた統合防御を展開しています。NECの発表によれば、cotomiは日本語処理に最適化されており、金融・政府分野での利用を想定しています。モデル性能だけでなく、規制適合性を競争優位に据えている点が特徴です。
NTTデータは技術単体ではなく、AIガバナンスの「制度化」に重心を置きます。2026年版Global AI Reportでは、AIを利益創出エンジンに変えるには統治体制が不可欠と指摘しています。同社のAI Governance OfficeやりそなHDとの取り組みは、Red Teamingや教育を含む運用設計まで踏み込む点で実務志向です。日本市場では技術よりも組織整備が導入可否を左右するという現実を反映しています。
日立はHMAXを通じ、鉄道やエネルギーなどOT領域でのエージェント制御に注力しています。IT Performance Reportでも強調されるように、物理設備を操作するAIでは誤動作が直接的被害につながります。そのためITのゼロトラストとOTの安全制御を統合した多層防御を構築しています。
日本市場の特徴は、EUのような厳罰型規制ではなく、METIのガイドラインやAISIの枠組みといったソフトローを基盤にしながら、事実上のデファクト標準を形成する点にあります。技術革新と合意形成を同時に進める「協調型エコシステム」こそが、日本型AI戦略の本質です。
METIガイドラインとAISIが形作る日本型AIガバナンス
日本型AIガバナンスの特徴は、厳格な罰則で縛るのではなく、実務に根差したソフトローを積み重ねて実効性を高める点にあります。その中核にあるのが、経済産業省(METI)の「AI事業者ガイドライン Ver1.1」と、IPA配下に設置されたAISI(AI Safety Institute)です。
2025年改訂のVer1.1では、エージェント型AIの普及を前提に、開発・提供・利用の各主体が果たすべき責務が具体化されました。特に「AI・データの利用に関する契約ガイドライン」との接続が強化され、自律エージェントが第三者の権利を侵害した場合や、想定外の発注・情報送信を行った場合の責任分界点を、契約実務レベルで整理する方向性が示されています。
| 観点 | METIガイドラインの方向性 | 実務への影響 |
|---|---|---|
| 責任分担 | 開発者・提供者・利用者の役割明確化 | 契約条項の高度化・標準化 |
| リスク管理 | 事前評価と継続的モニタリング | 社内審査体制の常設化 |
| 透明性 | 説明可能性・情報開示の重視 | ガバナンス報告の充実 |
欧州のEU AI Actがハードローとして罰則を伴うのに対し、日本は企業の自主的取り組みを促す設計です。しかしDLA Piperの分析が指摘するように、上場企業や規制産業では事実上のデファクトスタンダードとなりつつあり、準拠は競争力そのものに直結します。
この制度的枠組みを技術面から支えるのがAISIです。AISIは米国NISTや英国AISIと連携し、AI安全性評価の国際的整合性を確保しています。特に「人間中心」という日本の価値観を評価基準に組み込み、人権や民主的価値への影響を安全性の定義に含めている点が特徴です。
また、OECDでも議論されている透明性レポートの標準化動向を踏まえ、企業が自社エージェントのリスク評価結果やテスト手法をどのように公表すべきかの枠組みづくりが進んでいます。これは単なる情報開示ではなく、社会的信頼を可視化するインフラの構築にほかなりません。
エージェントが自律的に意思決定を行う時代において、ガイドラインと評価制度が果たす役割は、技術的なアクセス制御と並ぶもう一つのセーフティネットです。METIとAISIが形成する二層構造は、企業のイノベーションを阻害せずに安全性を担保する、日本独自のバランスモデルとして国際的にも注目されています。
日本企業が今すぐ実行すべきラベル駆動型セキュリティ導入ロードマップ
ラベル駆動型セキュリティを机上の理論で終わらせないためには、段階的かつ実務直結のロードマップが不可欠です。ポイントは、ツール導入から始めるのではなく、データ・ポリシー・エージェントの順に拘束力を高めることです。
2025年のZoho事例やServiceNowの脆弱性が示したのは、ID管理だけではエージェントの挙動を制御できないという現実です。Auth0が指摘するように、エージェント時代のアクセス制御は属性と文脈を前提に再設計する必要があります。
フェーズ1:データ資産の可視化と自動ラベリング
| 目的 | 具体施策 | 成果指標 |
|---|---|---|
| 機密情報の把握 | ファイルサーバー・SaaSの棚卸し | 重要データの所在特定率 |
| 分類の自動化 | Purview等による自動ラベル付与 | 自動分類カバー率 |
| 更新同期 | 権限変更の即時反映 | ラベル更新遅延時間 |
Microsoft PurviewのようなAI駆動型ガバナンス基盤を活用し、個人情報や財務情報を自動検出してラベルを付与します。ここでの目標は完璧さではなく、エージェントが参照する前提データを構造化することです。
RAGを導入している企業は、ベクトルデータベースへのメタデータ埋め込みとACL連携を必須要件にします。NVIDIAやDatabricksが提供するメタデータフィルタリング機能は、この段階で活用できます。
フェーズ2:ポリシーエンジンによる動的バインディング
次に、ラベルとエージェントの行動を結びつけます。Open Policy Agentを用いて「誰が・どの文脈で・どのラベル付きデータにアクセスできるか」をコード化し、エージェントのAPI呼び出し前に必ず評価させます。
arXivで発表されたAgentGuardianの研究が示すように、許可された制御フローを定義し、逸脱を検知する設計が有効です。単なるAllow/Denyではなく、AACが提唱する適応型応答形成により、出力を要約やマスキングに自動変換する仕組みを組み込みます。
フェーズ3:エージェント間連携の標準化
サプライチェーンや部門横断連携では、A2Aプロトコルのような標準に準拠した通信を採用します。Agent Cardで能力とポリシーを宣言し、内部状態を秘匿したまま連携する構造を整えます。
富士通のSecure Inter-Agent Gatewayが実装する会話シミュレーションの発想は、外部送信前のリスク検証として参考になります。情報を抽象化してから送る設計を標準化することで、推測による漏洩を抑えられます。
最終的に求められるのは、技術導入チェックリストではなく、ラベルを中心に据えた運用文化への転換です。データ分類を経営アジェンダに引き上げ、ガバナンス委員会が継続的に監視・改善する体制を構築することが、日本企業にとって最短かつ確実な実行ルートになります。
参考文献
- Obsidian Security:The 2025 AI Agent Security Landscape: Players, Trends, and Risks
- Anthropic:Disrupting the first reported AI-orchestrated cyber espionage campaign
- AppOmni:BodySnatcher (CVE-2025-12420): A Broken Authentication and Agentic Hijacking Vulnerability in ServiceNow
- Cloudflare Blog:The impact of the Salesloft Drift breach on Cloudflare and our customers
- arXiv:AgentGuardian: Learning Access Control Policies to Govern AI Agent Behavior
- arXiv:A Vision for Access Control in LLM-based Agent Systems
- 経済産業省:AI Guidelines for Business Ver1.1