企業内におけるAIエージェントの急速かつ制御不能な増加は、生産性の向上と、増大するセキュリティおよびコストリスクを対立させる、新たな多面的課題を生み出している。
戻る
AIエージェントの乱立、15万体以上の企業用ボットに新たなリスク
自律型AIエージェントの急増により、今後2年以内にフォーチュン500企業の平均で15万体のボットが稼働すると予測されています。これは、生産性の向上を打ち消しかねない重大な管理およびサイバーセキュリティ上の課題を生み出しています。
「誰にでもできることなので、最終的には多くの人が同じような種類のエージェントを持つことになるでしょう」と、マグナム・アイスクリームの南北アメリカ担当最高情報責任者(CIO)であるマイケル・フリードランダー氏はウォール・ストリート・ジャーナルに語り、問題の分散的な性質を強調しました。
Lyft、DaVita、Fair Isaac(FICO)などの企業は、AnthropicのClaude Coworkのようなプラットフォームでボットを簡単に作成できるようになったことに端を発する、この「AIエージェントの乱立」にすでに直面しています。腎臓ケア企業のDaVitaでは、従業員が1万体以上のAIエージェントを作成しました。市場調査会社ガートナーによると、現在、適切なAIエージェント・ガバナンスが整っていると確信している組織はわずか13%にすぎません。
このガバナンスの欠如は、重大な財務およびセキュリティ上のリスクをもたらします。冗長なエージェントがコンピューティング・コストを押し上げ、設定ミスのあるボットが機密性の高い内部システムを露呈させています。マイクロソフトの報告によると、この脆弱性はすでに攻撃者によって積極的に悪用されています。
AI民主化の諸刃の剣
問題の核心は、AIツールを魅力的にしている「アクセスのしやすさ」そのものにあります。Anthropicなどの企業のプラットフォームや、OpenClawやMicrosoftのAutoGen Studioなどのオープンソース・フレームワークにより、技術的な知識のない従業員でも、メールの要約、コードの記述、データ分析などのタスク用エージェントを簡単に構築・デプロイできるようになりました。FICOのCIOであるマイク・トケイ氏によると、同社の全階層で毎日数十の新しいエージェントが作成されています。
これはイノベーションを促進する一方で、混乱も招きます。複数のエージェントが同じタスクを実行し、トークンやコンピューティング・コストを不必要に増大させる可能性があります。さらに悪いことに、同じデータから矛盾する結果を生成し、意思決定を損なうこともあります。これを管理するため、DaVitaはトークン・コストを管理し、パフォーマンスの低いエージェントを抑制するための内部プラットフォームを開発しました。一方、LyftはIT制御を備えた集中型プラットフォームを構築しています。
乱立から悪用可能な設定ミスへ
エージェントの無秩序な増加における最も深刻なリスクはサイバーセキュリティです。Microsoft Defender for Cloudの調査によると、多くのAIデプロイメントが、認証が脆弱または欠如した状態で、Kubernetesなどのクラウドネイティブ・プラットフォーム上の本番環境に急いで投入されています。これらの「悪用可能な設定ミス」は、少ない労力で大きな影響を与える攻撃経路を作り出しています。
研究者は、人気のオープンソースAIツールが安全でないデフォルト設定でデプロイされていることを発見しました。データおよびAIパイプライン・プラットフォームであるMage AIは、認証のないWeb UIを公開しており、クラスター管理者権限で任意のコードを実行できることが判明しました。この問題は修正されましたが、野生下で積極的に悪用されているのが観察されました。同様に、Kubernetes上でAIエージェントを実行するためのkagentフレームワークもデフォルトで認証が欠如しており、アプリケーションが公開されている場合に匿名ユーザーが不正なワークロードをデプロイできることが判明しました。
これらの脆弱性により、攻撃者は高度なゼロデイ脆弱性を使用せずに、リモート・コード実行を達成し、認証情報を盗み、機密性の高い内部ツールやデータにアクセスできる可能性があります。マイクロソフトは、エージェントが外部ツールと対話できるようにするリモートデプロイされたモデル・コンテキスト・プロトコル(MCP)サーバーの15%が安全でなく、内部の人事システムやプライベート・コード・リポジトリへの認証なしのアクセスを許可していることを発見しました。
エージェント・セキュリティのための「多層防御」戦略
乱立に対抗するため、セキュリティ専門家は、構築者が最も制御権を持つアプリケーション層に焦点を当てた「多層防御(defense in depth)」戦略を推奨しています。このアプローチは、AIモデル自体の確率的な安全機能に依存するのではなく、エージェントの構築と統治の方法に構造的な制御を実装するものです。
マイクロソフトのセキュリティ・アーキテクトは、4つの主要な設計パターンを提唱しています。第一に、エージェントをマイクロサービスのように設計し、狭い責任範囲と隔離された権限を持たせることで、単一の侵害による影響範囲(ブラスト・レイディアス)を制限することです。これにより、1つのボットが広すぎるアクセス権を持つ「万能エージェント」の失敗モードに対処します。
第二に、最小権限の原則を徹底することです。エージェントは権限ゼロの状態から開始し、タスクに必要な特定のツールやデータへのアクセスのみを明示的に許可されるようにします。第三に、リスクの高い決定に対して、決定論的な「ヒューマン・イン・ザ・ループ(HITL)」レビューを実装することです。重要なのは、人間によるレビューのトリガーをコードで定義し、アプリケーションによって強制することであり、エージェント自身の判断に任せないことです。
最後に、エージェント・アイデンティティを中核的なセキュリティ・プリミティブとして確立することが不可欠です。各エージェントは、それを作成したユーザーとは別に、一意で検証可能なアイデンティティを持つ必要があります。これにより、きめ細かな権限設定、ライフサイクル・ガバナンス、明確な監査証跡が可能になり、数千のエージェントがデプロイされても、その行動を追跡・管理し、必要に応じて取り消すことができるようになります。
この記事は情報提供のみを目的としており、投資アドバイスを構成するものではありません。
