Sygniaの2026年CISO調査 73%は、自組織が大規模な攻撃への対応に完全には準備できていないと回答しています。AIエージェントのインシデントを具体的に調査する準備ができていると感じているのは3分の1だけです。
問題はこれです。従来のIR(インシデント対応)プレイブックは、侵害されたサーバーや盗まれた認証情報を前提に作られていました。リクエスト間で認証情報をキャッシュするエージェント、汚染され得る永続メモリを保持するエージェント、自然言語で他のエージェントと通信するエージェント、そして複数ステップの計画を自律的に実行するエージェントは想定されていません。
今、この点が重要になっている理由の数字はいくつかあります。
- AIエージェントを稼働させている企業の88%が、過去12か月で確認済みまたは疑いのあるセキュリティインシデントがあった(Gravitee)
- 最速の攻撃は72分でデータ流出に到達、昨年より4倍速い(Unit 42 2026 IR Report)
- 平均の侵害ライフサイクル:241日(検知まで181日、封じ込めまで60日)—9年で最も低いが、それでもなお大きい(IBM)
- 企業の82%で環境内に不明なエージェントがある(CSA)
- AI関連インシデントで侵害された組織の97%が、適切なAIアクセス制御を欠いていた(IBM)
エージェントIRが従来のIRと異なるポイントは以下です。
検知が難しい。 インフラ障害の検知までの中央値:5分。エージェントにおけるセキュリティ異常:28分。これは、大半の監視がエージェントの挙動ではなくシステムのメトリクスを見ているためです。OpenClawの危機では、245,000のエージェントインスタンスが露出しましたが、それを運用していた組織はShodanが見つけるまで自分たちが露出していることに気づいていませんでした。
封じ込めも別物です。 単にサービスを再起動するだけでは不十分です。エージェントのメモリが汚染されている場合、再起動しても汚染されたコンテキストが再読み込みされます。Galileo AIは、侵害された1体のエージェントが4時間以内に下流の判断の87%を汚染で覆ったことを見つけました。接続されているあらゆるシステムで認証情報を無効化し、エージェント間の通信から隔離し、そしてフォレンジック用に状態をスナップショットする必要があります。
撲滅にはメモリのサニタイズ(消毒)が必要です。 サーバーを再イメージングしても、ベクターデータベース内の汚染された埋め込み(embeddings)は修正されません。RAGインデックス、会話履歴、システムノート、共有コンテキストなど、エージェントが書き込む永続的な保存領域すべてを監査し、必要に応じて消毒する必要があります。IBMは、AIで侵害された組織の97%が適切なアクセス制御を欠いていたことを確認しています。
復旧は行動の検証を意味します。 「バックアップ」がエージェントのベクタ埋め込みと会話ログである場合、単にバックアップから復元するだけでは足りません。まずは読み取り専用アクセスで段階的に再接続し、その後、インシデント前のベースラインに対して行動を比較します。
なぜこれが重要なのかを示す実際のインシデント:
- Step Finance(2026年1月):AI取引エージェントが、実行端末が侵害された後に261K+ SOL($27-40M)を移動。プラットフォームは停止。トークンは97%クラッシュ。
- OpenClaw(2026年):245,000の露出したインスタンス。CVSS 9.6のサンドボックス脱出を含む4つの重要なCVE、ならびに820以上の悪意のあるマーケットプレイススキル
- Moltbook(2026年2月):1.5Mの自律的エージェントを通じて拡散する506件のプロンプトインジェクション。誤設定されたSupabaseにより、1.5MのAPIキーが露出。
使用するフレームワーク:CoSAI AI Incident Response Framework v1.0(2025年11月)、NIST SP 800-61r3(2025年4月)、MITRE ATLAS。
最低限のプレイブックチェックリスト:エージェントのインベントリ、行動ベースライン、エージェントごとの認証情報の分離、メモリの出所(provenance)追跡、ランタイム入力のスキャン。
5フェーズのプレイブックを含む完全な内訳はこちら
[リンク] [コメント]
