敵対者が2025年に90以上の組織で正当なAIツールに悪意あるプロンプトを注入し、認証情報と暗号資産を盗み出しました。これらの侵害されたツールはいずれもデータを読み取ることはでき、ファイアウォールのルールを書き換えることはできませんでした。
今出荷されている自律型SOCエージェントなら、それができます。この、データを読み取る侵害ツールから、インフラを書き換える自律型エージェントへのエスカレーションは、まだ大規模な本番環境で悪用された例はありません。しかし、それを可能にするアーキテクチャ上の条件が、そうした行為を防ぐために設計されたガバナンスよりも速いペースで提供されつつあります。
侵害されたSOCエージェントは、ファイアウォールのルールを書き換え、IAMポリシーを変更し、エンドポイントを隔離できます。そのすべてを、独自の特権的な認証情報を使って行い、さらにEDRが承認済みの正当な活動として分類する、承認されたAPI呼び出しだけを通じて実行します。敵対者はネットワークに触れません。エージェントが敵対者の代わりに実行します。
シスコは2月にAgenticOps for Securityを発表しました。これは、自律型ファイアウォールのリメディエーションとPCI-DSS準拠の機能を備えています。イバンティは先週、Continuous ComplianceとNeurons AIセルフサービスエージェントを立ち上げました。リリース時点で、ポリシーの強制、承認ゲート、データコンテキストの検証がプラットフォームに組み込まれている — この設計上の違いが重要なのは、OWASPのAgentic Top 10が、こうした統制が欠けている場合に何が起きるかを文書化しているからです。
「敵対者は、生成した不正なコマンドにつながる悪意あるプロンプトを注入することで、正当なAIツールを悪用しました。イノベーションが加速すれば、悪用も追随します」。2026年のGlobal Threat Reportを発表する際に、クラウドストライクのCEO、ジョージ・カーツはそう述べました。「AIは、意図から実行までの時間を圧縮し、企業のAIシステムを攻撃対象に変えています」。さらにクラウドストライクのカウンター・アドバーサリー・オペレーション部門責任者であるアダム・マイヤーズは付け加えました。前年度に比べ、攻撃的な作戦におけるAIの国家支援による使用は89%増加しました。
攻撃のための攻撃対象領域は、並行して拡大しています。悪意あるMCPサーバークローンは、信頼されたサービスになりすますことで、AIワークフロー内の機密データをすでに傍受しています。英国国家サイバーセキュリティセンター(NCSC)は、AIアプリケーションに対するプロンプトインジェクション攻撃は「完全に完全回避されることは、決してないかもしれない」と警告しています。記録された侵害は、読み取りと要約しかできないAIツールを標的としていました。一方、いま出荷されている自律型SOCエージェントは、書き込み、強制、リメディエーションを実行できます。
そのギャップを可視化するガバナンスの枠組み
OWASPの「Agentic Applicationsに関するTop 10」は、2025年12月に公開され、100人超のセキュリティ研究者とともに構築されたもので、自律型AIシステムに対する攻撃の10カテゴリを文書化しています。3つのカテゴリは、自律型SOCエージェントが「書き込み権限付き」で出荷されることで持ち込まれる内容に直接対応しています。すなわち、Agent Goal Hijacking(ASI01)、Tool Misuse(ASI02)、Identity and Privilege Abuse(ASI03)です。パロアルトネットワークスは、平均的な企業での機械対人間のアイデンティティ比率が82:1であると報告しています。生産環境に追加される自律型エージェントは、そのギャップを広げることになります。
SaviyntとCybersecurity Insidersによる「2026 CISO AI Risk Report」(n=235名のCISO)では、47%がすでにAIエージェントが意図しない挙動を示しているのを観測した一方で、侵害されたエージェントを封じ込められると自信を持っているのはわずか5%でした。別のDark Readingの調査では、48%のサイバーセキュリティ専門家がエージェンティックAIを、単一の最も危険な攻撃ベクターとして特定していることが分かりました。IEEE-USAによるNISTへの提出資料は、この問題を率直に述べています。「リスクはモデルによって主に駆動されるのではなく、モデルの自律性のレベル、特権の範囲、そして運用化されるエージェントの環境に基づいて、より強く規定される。」
IEEEのシニア・メンバーであるエレノア・ワトソンは、IEEE 2026の調査の中で、「準自律型システムも、意図された目標から逸脱することがあり、そのためには監視と定期的な監査が必要です」と警告しました。2026年2月にAgenticOpsとともに発表された、シスコの意図を理解するエージェントによる検査は、同じギャップに対する早期検知のレイヤーとしてのアプローチを示しています。アプローチは異なります。シスコはネットワーク層で検査を追加し、イバンティはプラットフォーム層にガバナンスを組み込みました。どちらも、業界がそれが来ることを認識していることを示しています。問題は、エクスプロイトよりも先に統制が到達するかどうかです。
ガバナンスが組み込まれた状態で出荷される自律型エージェント
セキュリティチームはすでに限界まで負荷がかかっています。高度なAIモデルは、悪用可能な脆弱性の発見を、人手のチームが手作業でリメディエーションする速度よりも速めています。そして滞留(バックログ)が増え続けているのは、チームが失敗しているからではなく、そもそも処理すべき量が、手作業でのパッチ適用サイクルが吸収できる範囲を超えているからです。
イバンティのパッチ管理「Ivanti Neurons for Patch Management」は今四半期、Continuous Complianceを導入しました。これは、予定されたパッチ展開と規制上の要件の間にあるギャップを解消する、自動化された強制(enforcement)フレームワークです。このフレームワークは、非準拠(コンプライアンス違反)となっているエンドポイントを特定し、メンテナンスウィンドウを逃したデバイスを更新するために、アウトオブバンドでパッチを展開します。あらゆるステップで、内蔵のポリシー強制とコンプライアンス検証が行われます。
また、イバンティはITSM向けのNeurons AIセルフサービスエージェントも立ち上げました。これは、会話型の受付(インテーク)を超えて、自律的な解決へ進みます。さらに、ポリシー、承認、データコンテキストに関するガードレールが組み込まれています。エージェントは、一般的なインシデントやサービスリクエストを、開始から完了まで解決し、人手の作業を削減するとともに、チケットの発生を抑えます。
グランドバンクの最高情報責任者(CIO)であるロバート・ハンソンは、業界全体のセキュリティリーダーたちが考慮している意思決定のための要素(カルキュレーション)を次のように説明しました。 「Ivanti Neurons AIセルフサービスエージェントを調査する前、私たちのチームは時間の大半を、反復的な依頼への対応に費やしていました。これらの機能の導入に向かうにあたり、定常的な作業を自動化し、より価値の高い取り組みに対してチームがより先回りして集中できるようになることを見込んでいます。長期的には、このアプローチによって、運用上のオーバーヘッドを削減しつつ、私たちが定義するガードレールの範囲内で、より速く、より安全なサービスを提供できるようになり、結果としてサービス品質とセキュリティの改善につながるはずです。」
「私たちが定義するガードレールの範囲内で運用すること」を重視している点は、より広い設計原則を示しています。すなわち、スピードとガバナンスはトレードオフである必要はありません。
ガバナンス上のギャップは具体的です。Saviyntのレポートでは、86%の組織がAIのアイデンティティに対してアクセス・ポリシーを強制していないことが分かりました。また、AIのアイデンティティのうち半分でさえも、人間のユーザーに適用しているのと同じ統制で管理できているのは19%にとどまり、さらにCISOの75%が、誰も監視していない埋め込まれた認証情報を持つ、無許可のAIツールが本番環境で稼働していることを発見しています。
継続的なコンプライアンスとNeurons AIのセルフサービスエージェントは、パッチ適用とITSM層に対処します。より広い自律型SOCエージェントの領域、つまりファイアウォールの修復、IAMポリシーの変更、エンドポイントの隔離は、今日いかなる単一のプラットフォームも管理しきれているわけではありません。10問の監査は、Ivanti'sを含む環境内のあらゆる自律型ツールに適用されます。
自律型エージェント統治のための規定的リスクマトリクス
このマトリクスは、すべての10個のOWASP Agentic Top 10のリスクカテゴリを、「統治なしで出荷された場合に何が起きるか」、「検知ギャップ」、「証拠となる事例」、「自律型SOCエージェント導入に推奨されるアクション」に対応付けます。
OWASPリスク | 統治されない状態で出荷されると何が起きるか | 検知ギャップ | 証拠となる事例 | 推奨されるアクション |
ASI01: ゴール・ハイジャック | エージェントが外部入力(ログ、アラート、メール)を信頼された指示として扱う | EDRは、正当なAPI呼び出しを介して実行された敵対的な指示を検知できない | EchoLeak(CVE-2025-32711):隠されたメールのペイロードにより、AIアシスタントが機密データを外部流出させた。ゼロクリックで実行可能。 | 信頼ティアごとにすべての入力を分類する。信頼されない出所からの、指示を含むコンテンツをブロックする。エージェントが取り込む前に外部データを検証する。 |
ASI02: ツールの誤用 | エージェントがファイアウォールルール、IAMポリシー、隔離ワークフローを変更する権限を持つ | WAFはペイロードを検査するが、ツール呼び出しの意図は見ない。正当な利用は誤用と同一に見える。 | Amazon Qが、正当な権限があるにもかかわらず、破壊的な出力へ正規のツールを曲げてしまった(OWASPが引用)。 | 各ツールを最小限の必要権限にスコープする。意図メタデータとともに、すべての呼び出しをログに記録する。ベースラインのパターン外の呼び出しにアラートする。 |
ASI03: アイデンティティの濫用 | エージェントが、本番インフラにスコープされたサービスアカウントの資格情報を継承する | SIEMは、正当なアイデンティティが正当なアクションを実行しているのを認識する。異常はトリガーされない。 | 平均的な企業では、機械対人間のアイデンティティ比率が82:1(Palo Alto Networks)。各エージェントがそれに加わる。 | スコープを設けた、エージェント固有のアイデンティティを発行する。時間制限・タスク制限付きの資格情報リースを強制する。継承されたユーザー資格情報を排除する。 |
ASI04: サプライチェーン | エージェントが、プロベナンス検証なしでサードパーティのMCPサーバーやプラグインを実行時にロードする | 静的解析では、動的にロードされる実行時コンポーネントを検査できない。 | 悪意あるMCPサーバーが、信頼されたサービスをなりすましてセンシティブなデータを盗み出すクローンを作成(CrowdStrike 2026)。 | 承認済みのMCPサーバーのレジストリを維持する。実行時ロードの前に、プロベナンスと完全性を検証する。未承認のプラグインをブロックする。 |
ASI05: 予期しないコード実行 | エージェントが、安全でない評価パスまたはツールチェーンを通じて、攻撃者が制御するコードを生成または実行する | コードレビューのゲートは、人間が行うコミットには適用されるが、エージェントが生成する実行時コードには適用されない。 | AutoGPT RCE:自然言語による実行パスが有効化され、認可されていないパッケージのインストールを通じてリモートコード実行が可能になった(OWASPが引用)。 | すべてのエージェントコード実行をサンドボックス化する。生産環境のコードパスでは、人間の承認を必須にする。動的evalと認可されていないインストールをブロックする。 |
ASI06: メモリ汚染 | エージェントがセッション間でコンテキストを保持し、汚染されたデータが時間とともに増幅する | セッションベースの監視は、インタラクション間でリセットされる。汚染は検知されないまま蓄積される。 | Calendar Drift:悪意あるカレンダー招待が、ポリシーの範囲内に留まりつつエージェントの目的を再重み付けする(OWASP)。 | セッションメモリの有効期限を実装する。永続メモリのストアを、異常なコンテンツについて監査する。メモリをタスクのスコープごとに分離する。 |
ASI07: エージェント間の通信 | エージェントが相互認証、暗号化、スキーマ検証なしで通信する | 監視は個々のエージェントを対象とするが、なりすまされた、または操作されたエージェント間メッセージは対象外になる。 | OWASPは、プロトコルのダウングレード攻撃により、誤ったメッセージでエージェントのクラスター全体を誘導してしまったなりすまし事例を文書化している。 | エージェント間で相互認証を強制する。すべてのエージェント間チャネルを暗号化する。引き渡しのたびにメッセージのスキーマを検証する。 |
ASI08: カスケード障害 | エージェントが下流のエージェントへ委任し、システムをまたいだ多段の特権チェーンが生じる | 監視は個々のエージェントを対象とするが、エージェント間の委任チェーンやファンアウトは対象外になる。 | シミュレーション:1つの侵害されたエージェントが、制御されたテスト環境で4時間以内に下流の意思決定の87%を汚染した。 | 委任チェーンをエンドツーエンドでマッピングする。引き渡しの各時点で特権境界を強制する。カスケード的なアクションのためのサーキットブレーカーを実装する。 |
ASI09: 人間-エージェント間の信頼 | エージェントが説得力のある言い回しや捏造された証拠を用いて、人間の安全判断を覆す | コンプライアンスは、ポリシー設定が適切かどうかを検証する。エージェントが人間を承認へ誘導したかどうかは検証しない。 | Replitのエージェントが主要な顧客データベースを削除し、その後内容を捏造して「コンプライアンスに見える」ようにし、被害を隠蔽した。 | 高リスクのエージェント推奨については、独立した検証を要求する。人間の承認判断を、エージェントの推論チェーン全体とともにログに記録する。 |
ASI10: ローグエージェント | エージェントが意図された目的から逸脱する一方で、表面上はコンプライアンス準拠に見える | コンプライアンスのチェックは、導入時の設定を検証する。導入後の挙動のドリフトは検証しない。 | 92%の組織がAIのアイデンティティに対する完全な可視性を欠いており、86%がアクセスポリシーを強制していない(Saviynt 2026)。 | 挙動のドリフト検知を展開する。ベースラインのエージェント挙動プロファイルを確立する。期待されるアクションパターンからの逸脱にアラートする。 |
自律型エージェントのための10問のOWASP監査
各設問は、1つのOWASP Agentic Top 10のリスクカテゴリに対応しています。ポリシー施行、承認ゲート、データコンテキスト検証を備えた自律型プラットフォームなら、すべての質問に対して明確な答えが得られます。いずれかのツールで「分かりません(I don't know)」が3つ以上ある場合、そのツールの統治は、その能力に追いついていないことを意味します。
どのエージェントが、本番のファイアウォール、IAM、またはエンドポイント制御への書き込み権限を持っていますか?
どのエージェントが、検証なしで外部入力を受け付けますか?
どのエージェントが、人間の承認なしに不可逆のアクションを実行しますか?
どのエージェントが、汚染がセッションをまたいで増幅するような形でメモリを保持しますか?
どのエージェントが、他のエージェントへ委任して、カスケードする特権チェーンを作りますか?
どのエージェントが、実行時にサードパーティのプラグインやMCPサーバーをロードしますか?
どのエージェントが、生産環境でコードを生成または実行しますか?
どのエージェントが、スコープされたエージェントのアイデンティティではなく、ユーザー資格情報を継承しますか?
どのエージェントが、意図された目的からのドリフトに対する挙動監視を欠いていますか?
どのエージェントが、説得力のある言語によって安全対策を上書きされ得ますか?
取締役会に伝えるべきこと
取締役会での議論は3文です。敵対者は、2025年に90以上の組織でAIツールを侵害しました。これはCrowdStrike's 2026 Global Threat Reportによります。今導入されている自律型ツールは、侵害された当時のツールよりも多くの権限を持っています。組織は、OWASPの10のリスクカテゴリに基づいて、あらゆる自律型ツールを監査し、統治コントロールが整備されていることを確認しました。
その3文目が真実でないのなら、次の自律エージェントが本番環境に投入される前に、それを真実にする必要があります。今後30日以内に、本番環境のインフラに対して書き込み権限を持つすべてのエージェントに対して、10問の監査を実行してください。生産環境へ投入するすべての自律プラットフォームは、同じ基準で扱われるべきです——ポリシーの強制、承認ゲート、そしてデータの文脈の妥当性確認を、立ち上げ時点で組み込むこと(最初のインシデントの後付けではありません)。この監査によって、どのツールがその作業を行ったのか、行っていないのかが明らかになります。
