Microsoftは先週、AIエージェント向けの管理プラットフォームであるAgent 365をプレビューから一般提供へ移行しました。これは、自律型AIをめぐるガバナンス上の課題はもはや机上の理論ではなく、実務として存在し、緊急性が高いという考えをソフトウェア大手が示している動きです。
この製品は、11月のMicrosoftのIgniteカンファレンスで最初に発表されたもので、企業のITおよびセキュリティチームが、エージェントが稼働する場所を問わず、観測し、統治し、保護できる統合型コントロールプレーンとして位置付けられています。Microsoft自身のエコシステム内で動く場合に加え、AWS BedrockやGoogle Cloudのようなサードパーティのクラウドプラットフォーム上で動く場合、従業員のエンドポイント上で動く場合、そしてさらに、パートナー企業のソフトウェアによって構築されるSaaSエージェントの広大なエコシステムにわたって、ますます広がっていくことを想定しています。
しかし、今回のローンチで最も注目すべき点は、一般提供のマイルストーンそのものではありません。注目すべきは、MicrosoftがローカルのAIエージェントを発見し、管理するために強力に推し進めている点です。つまり、開発者アシスタント、個人の生産性ツール、そして自律的なワークフローといったもので、従業員が自分のデバイスに自分でインストールしてしまうことが多く、ITがそれを把握していなかったり、承認していなかったりすることも少なくありません。Microsoftはこの現象を「シャドーAI,」と呼んでおり、これはほとんどの組織がようやく対処を始めたばかりの、まったく新しいタイプのエンタープライズ・セキュリティリスクのカテゴリです。
「ほとんどの企業は、自律型エージェントの可能性をどう活用するかを模索しています」とMicrosoftのAIセキュリティ担当コーポレート・バイスプレジデントであるDavid Weston氏は、VentureBeatとの独占インタビューで述べました。「私たちがYOLOと呼ぶもの――とにかく何でも動かしてみる――と、「ああ、ダメだ」つまり何もまったく動かない状態の間で、バランスを取りたいのです。」
なぜMicrosoftは、社内で野良のAIエージェントがすでにセキュリティ危機になっていると言うのか
Agent 365の一般提供というタイミングが示しているのは、居心地の悪い現実です。AIエージェントはすでに、それらを管理するために設計されたガバナンス基盤を上回ってしまっています。クラウドアプリケーションやSaaSソフトウェア向けの統制を何年もかけて構築してきた企業は、根本的に別種のスプロール(増殖)に直面しています。そこでは、自律型ソフトウェアがツールを呼び出し、機微なデータにアクセスし、他のエージェントと連鎖して連携し、ユーザーの代わり、あるいはまったく人手なしで独自にアクションを実行できてしまうのです。
Weston氏は、Microsoftが自社のエンタープライズ顧客基盤全体で既に観測している、具体的な3つのセキュリティインシデントのカテゴリを説明しました。1つ目で、かつ最も一般的なものは、開発者がエージェントをバックエンドシステムに素早く接続するあまり、機微なインフラをうっかり露出させてしまうケースです。 「私たちが幅広く見ている、よくある典型例は、これらのMCPサーバーが機微なバックエンドシステムに接続された後、その結果として認証なしのままインターネットに公開されてしまうことです」とWeston氏は述べました。「それによってPII(個人を特定できる情報)やデータ漏えいにつながり得ます。」
2つ目のカテゴリは、セキュリティ研究者が「クロスプロンプトインジェクション」と呼ぶものです。攻撃者が、ソフトウェアチケット、Webサイト、ウィキなど、エージェントが取り込む可能性が高いデータソースに悪意のある指示を埋め込みます。 「攻撃者は、私たちが『クロスプロンプトインジェクション』と呼ぶものにつながるプロンプトを入れ込むために、信頼できないデータソースを使っているのが見られます。基本的には、攻撃者のやりたいことをあなたのエージェントに実行させるように誘導します」とWeston氏は説明しました。こうした攻撃経路はまだ一般的ではないとしつつも、「見つかったときは、影響がより大きいです。」
3つ目、そしておそらく最も広く起きている問題は、よりありふれているものの、同様に危険度が高いものです。つまり、データソースやDLP(データ損失防止)システムに接続されているのに、そのシステムがそもそもエージェントによるアクセスのパターンを理解するようには設計されていないケースです。 「エージェントに対応していないデータソースやDLPシステムは、ベンダーに至るまで、高度に機微なデータを露出させてしまう可能性があります」とWeston氏は述べ、「こうしたインシデントには『コストが大きく、リスクも大きい』という特徴があります。」と付け加えました。
Agent 365の中身:AIエージェントを大規模に統治するための1ユーザー15ドルのコントロールプレーン
中心となる機能として、Agent 365は、AIエージェント向けの集中レジストリおよびポリシーエンジンとして機能します。これによりIT管理者は、自社環境内で動作しているあらゆるエージェントを一元的に把握できます。そのエージェントがMicrosoft Copilot Studioで構築されたものであるかどうか、AWS Bedrockにデプロイされているかどうか、ZendeskのようなパートナーによるSaaS連携として提供されているのか、あるいは開発者のWindowsマシン上にローカルにインストールされているのか、といった点を問わず可視化できます。
このプラットフォームは、ローンチ時点でそれぞれ異なる提供状況を持つ、3種類のエージェントカテゴリをサポートします。ユーザーに代わって委任アクセスを通じて動作するエージェント――たとえば、ユーザーの権限で動く受信トレイの整理ツール――は、コントロールプレーン内で現在は一般提供されています。自律型システムがサポートチケットをトリアージするように、自身のアクセス認証情報を用いて裏側で動作するエージェントも一般提供されています。3つ目のカテゴリで、チームのワークフローに自分自身のアクセスで参加するエージェントは、今日パブリックプレビューの段階です。
Agent 365 は、新しいMicrosoft 365 E7スイートの一部として提供されるか、単体製品として1ユーザーあたり月15ドルで利用できます。各ライセンスは、エージェントを管理し、スポンサーし、またはそれを利用してユーザーの代わりに業務を行う個人をカバーします。価格モデルは、予測可能にスケールするよう設計されています。つまり、組織はエージェントごとではなく、エージェント・エコシステムとやり取りする人ごとに支払うという仕組みです。これは、多くの企業においてエージェント数が常に変動するという現実を踏まえた構造です。
Microsoftが、従業員のノートPCに隠れている無許可のAIツールを探し出す方法
今日のローンチにおけるおそらく最も重要な新機能は、Agent 365がローカルのAIエージェント――つまり、開発者やナレッジワーカーが自分のWindowsデバイスに直接インストールしているツール――を発見し、管理できることです。多くの場合、その作業にはITによる監督がありません。
本日から、MicrosoftのFrontierプログラムに登録した組織は、Microsoft DefenderとIntuneによって強化されたAgent 365を利用して、管理されたWindowsデバイス上で動作しているOpenClawエージェントを検出できます。管理者はOpenClawを実行しているデバイスがどれかを確認でき、また一般的な実行方式をブロックするためにIntuneのポリシーを適用できます。この検出プロセスのための中心となるダッシュボードとして、Microsoft 365管理センターに新たな「Shadow AI」ページが用意されています。
最初からOpenClawを選んだのは意図的な判断でした。ウェストンはVentureBeatに対し、「私たちの基準は単純に顧客の需要です」と語りました。「企業側では、OpenClawが新しいタイプのソフトウェアを表していることを、幅広く理解しているようです。最前線に立ちたい、あらゆるメリットを活用したい。しかし同時に、自社の中で明確な境界を設定できる決定論的な統制も必要としています。」
マイクロソフトは、ローカルのエージェント探索を2026年6月までに18種類の異なるエージェントタイプへ拡大する計画で、GitHub Copilot CLIやClaude Codeも含まれます。同社は既存のエンドポイントのテレメトリを活用して、推論(inference)エンドポイントを呼び出しているアプリケーションを特定し、その情報をITおよびセキュリティチームに提示します。ウェストンは説明しました。「エンドポイントへの可視性があることで、実質的に推論エンドポイントを呼び出しているさまざまな種類のアプリを把握できます。そして、その集合をITやセキュリティ担当者に渡せば、適切かどうか、あるいは自社をリスクにさらしてしまうものなのかを判断できます。」
Microsoft Defenderは、AIエージェントがうまくいかない場合の「爆発半径」をマッピングする
6月から、Microsoft Defenderは、同社が「アセットコンテキストマッピング」と呼ぶ機能を、検出された各エージェントに対して提供します。この機能は、エージェントが実行されるデバイス、接続するMCPサーバー、それに関連付けられている識別子(identity)、そしてそれらの識別子が到達可能なクラウドリソースを示す関係グラフを構築します。目的は、エージェントが侵害されたりふるまいを誤ったりした場合に想定される爆発半径を、セキュリティチームが評価できるようにすることです。
ウェストンは技術的な土台について、「爆発半径は、アセットインベントリを取り、それぞれのアセットをグラフ上のノードに変換することで計算されます。エッジは、異なるアセットやデータソースがどのようにつながっているかを表します」と説明しました。さらにシステムは、各ノードに文脈上の詳細を重ね合わせます。例えば、特定のデバイスが信頼できないAIエージェントを実行している一方で、重要な業務用データベース、または何千ものユーザーアカウントを持つマシンにも同時に接続している、といったことをフラグ付けします。
「これは非常に正確です。通常クラウドベースのアセットグラフから計算されているか、あるいはNDEのようなものを展開している場合はエンドポイントデータから構築されます」とウェストンは述べました。「私たちは、すでにあなたが持っているものに基づいて計算しています。つまりそれは、実質的に“真実(ground truth)”です。」こうした露出(exposure)のマッピングは、CISOがまさに求めているものだと、ウェストンは付け加えました。「エージェントのリスクを評価するとき、最初に知りたいことの一つは:これは何につながっているのか? 自分が気にしている何かにつながっているのか、それとも許容範囲(moderate)なのか?」
プラットフォームは可視性だけで止まりません。Agent 365は、管理者が、エージェントに「できること/できないこと」に関するガードレールを設定できるポリシーに基づく制御を導入します。管理対象のエージェントが、機微データへのアクセスや流出の試みのような悪意のある挙動パターンを示した場合、Microsoft Defenderは実行時にそのエージェントをブロックし、調査のためのリッチなインシデント文脈を含むアラートを生成できます。ウェストンは、Defenderの既存の分類機能が、エージェント(agentic)環境にもそのまま転用できることを強調しました。「ログインを管理するプロセスにコードを注入することは、OpenClawであれブラウザであれ、つねに強力なシグナルになります」と彼は述べています。コンテキストマッピング、ポリシーベースの制御、実行時ブロックは、2026年6月にIntuneとDefenderを通じてパブリックプレビューで提供されます。
Agent 365は、ライバルのプラットフォームにまたがってエージェントを統制するためにAWSとGoogle Cloudへ踏み込む
注目すべき競争上の動きとして、マイクロソフトはAgent 365のガバナンス提供範囲を、ライバルのクラウドプラットフォームへ拡張します。Agent 365レジストリ同期の新しいパブリックプレビューにより、ITチームはAWS BedrockおよびGoogle Cloud(具体的には、Google Gemini Enterprise Agent Platform。以前はGoogle Vertex AI)に接続できるようになります。これらの接続を通じて、管理者はそれらのプラットフォーム上で動作しているエージェントを自動的に検出し、インベントリ化でき、さらに開始・停止・削除といった基本的なライフサイクルのガバナンス操作を実行できます。
「もし単一の統制(control plane)で提供するなら、顧客がいる場所に合わせなければならない。しかも多くの顧客はマルチクラウドです」とウェストンはVentureBeatに語りました。利用可能な制御の深さは、クラウドプロバイダーによって多少異なることも認めています。「そこにあると分かったとして、どんなガードレールやブロックを提供できるのか? それは、どのクラウドプロバイダーが何に対応しているかで、少しずつ違ってきます。」ただし彼は、そのプラットフォームが「多くのシナリオでかなり比較可能な能力」を提供しているとし、クロスクラウドでの一貫性は時間とともに向上するだろうという楽観的な見方も示しました。
また、今日一般提供(GA)されているものとして、Agent 365はMicrosoft Entraのネットワーク制御を拡張し、Microsoft Copilot Studioのエージェントからのエージェント通信、およびOpenClawのようなローカルエージェントを対象に含めます。これらの制御によりセキュリティチームは、エージェントのネットワーク活動を調査し、不承認のAI利用を特定し、承認済みのWeb宛先への接続を制限し、危険なファイル転送をフィルターし、ネットワーク層で、有害な行為につながる前に悪意のあるプロンプトベースの攻撃をブロックすることにも役立てられます。クラウドのレジストリ同期とネットワーク層の強制を組み合わせることで、マイクロソフトは非常に広いガバナンス面を得ています。クラウド、エンドポイント、ネットワークをまたいで一体として扱える点は、現時点では多くの競合が同等にできていない領域です。
Agent向けWindows 365は、高リスクのAIワークロード用のサンドボックスを企業に提供する
自律型エージェントの生産性向上のメリットは欲しいが、従業員のエンドポイント上で直接動かすことには抵抗がある組織に対し、マイクロソフトはWindows 365 for Agentsもパブリックプレビューとして提供を開始します。現時点では米国に限定されています。この提供は、エージェント型のワークロード専用に設計された新しいクラスのCloud PCを作り、Intuneで管理し、人の従業員に適用されるのと同じアイデンティティおよびセキュリティ制御で統治(govern)します。
ウェストンはこの機能をセグメンテーション(分離)施策として位置づけました。「セキュリティの観点から言えば、達成できる分離が多ければ多いほど良いです」と彼は言いました。「この機能を自分のエンドポイント上に置きたくないが、それでも機能は必要という場合は、サンドボックス化して隔離することも選べます。私たちは、Nvidiaのような大企業がこうした取り組みについて語っているのを見てきました。私たちは、このパターンを皆さんのために作っています。」
その隔離がどれほど重要かは、文脈によるとウェストンは付け加えました。「もし軍事施設で作業しているなら、その情報は分離すべきだ、ということは言うまでもありません。もし主にクリエイティブな会社で、リスク許容度がやや高いのであれば、それをやらない方がよいかもしれません。」パブリックプレビューの利用には、Agent 365ライセンス、Intuneライセンス、そして有効なAzureサブスクリプションが必要です。
Microsoftは、エージェント型AIのエコシステムを管理するために幅広いパートナーネットワークを構築
Microsoftは、Agent 365を閉じた囲い込み型の仕組みではなく、オープンな管理レイヤーとして位置づけています。同社は、エコシステムパートナーのエージェントであるGenspark、Zensai、Egnyte、Zendesk、およびKasistoを含むプラットフォーム上で構築されたエージェント、Kore.ai、n8nが、ITチームによる統合作業なしで、Agent 365を通じた管理が完全に有効化されたと発表しました。追加のソフトウェア開発会社のローンチパートナーには、Adobe、SAP、Manus、Nvidia、およびCelonisが含まれます。
パートナーが構築したSaaSエージェントの場合、オンボーディングはアイデンティティから始まります。Westonは「必要な能力のレベルに応じて、単にそれにアイデンティティを付与することも、またはSDKを利用することもできます」と説明しました。「アイデンティティだけからでも、特にEntraユーザーに関しては、アプリケーションに必要な能力と、その上で課すべき制約を基本的に把握できます」。より深いSDK統合により、より豊富な可観測性データが得られますが、アイデンティティだけでもプラットフォームには実質的なガバナンス上の大きなレバレッジが生まれます。
サービス側では、Microsoftは、Accenture、KPMG、Capgemini、Protiviti、Slalom、および他にもほぼ20社に及ぶ企業を、Agent 365ローンチパートナーとして採用しています。これらの企業は、Microsoftのエンジニアリングと協力し、インベントリ評価、最小特権の強制、コンプライアンス、マルチプラットフォームの脅威分析、そして継続的なライフサイクル管理を中心とした提供内容を構築しました。
Microsoftのより大きな賭け:エージェントは新しいアプリであり、同じエンタープライズ統制が必要
Agent 365にかけるMicrosoftの賭けは、エンタープライズソフトウェア業界が「エージェント型の時代」が実際に本番環境でどのような姿になるのかを定義しようと、競っているタイミングで到来します。Google、Amazon、Salesforceを含む競合各社は、いずれも独自のエージェントオーケストレーションおよびガバナンスツールを開発していますが、Microsoftのアプローチ――エンドポイント管理での深い基盤(Intune)、脅威検知(Defender)、アイデンティティ(Entra)、生産性(Microsoft 365)を活用すること――は、異例のクロスサーフェス上の優位性をもたらしています。
Agent 365の導入を検討する企業に向けて、Westonは段階的な採用モデルを提示しました。「まず最初に、可視性とインベントリが得られます。知らないものを、そもそも安全にすることはできません」と彼は述べました。「次に、エージェントにアイデンティティを割り当て、それらが持つアクセスの管理を開始できるようになります。これは、リスクを管理するうえで非常に大きな第一歩です」。次いで、より深い機能――Windows 365 for Agentsによる分離、実行時のブロッキング、ブラスト半径のマッピング――が提供されます。Westonは「侵緻するのはインベントリ。歩むのはアイデンティティとアクセスの取得。走るのは分離、より良い制御、より深い可視性です」と要約しました。「それが90日間という期間で現実的だと思います」。
企業が実際にその速さで移行できるかどうかは、既存のセキュリティ基盤の成熟度と、組織内でシャドーAIが増殖するスピードに左右されます。Agent 365に関するライブの「Ask Microsoft Anything(何でも聞いてください)セッション」が5月12日に予定されており、IT担当者やセキュリティの専門家が、エンジニアリングチームに具体的な点を詰めて確認できる機会が用意されています。
しかし、このインタビューから最も物事の本質を突いているのは、たぶん最もさりげない詳細だったのかもしれません。「いま、私のチームチャットの裏側で18体のエージェントが動いています」とWestonは語りました。仮にMicrosoft自身のセキュリティ責任者でさえ、日々の業務フローの中で自律エージェントの小さな軍隊を動かしているのだとしたら、他のすべての企業にとっての問いは、エージェント型のワークフォースを統制するかどうかではなく、ワークフォースが自分たちで統制し始める前にそれができるかどうか、に変わってしまうのです。
