Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > 人間よりボットが多い時代:第三のトラフィックカテゴリを管理する

人間よりボットが多い時代:第三のトラフィックカテゴリを管理する

by Patrick Spencer updated 5月 28, 2026 サイバーセキュリティー・リスク管理
Reading Time: 8 minutes

Thalesの「2026年バッドボットレポート」(13回目の発行)では、良性ボットと悪性ボットに加え、AIエージェントという第3の自動化トラフィックカテゴリを導入しています。AIエージェントはウェブサイトを閲覧し、データを収集し、ユーザーのためにタスクを完了します。これらはブラウザ、検索プラットフォーム、エンタープライズツールに組み込まれており、アプリケーションやAPIと直接やり取りします。

Thalesは2025年に17.2兆件の悪性ボットリクエストをブロックしました。AI主導のボット活動は前年比12.5倍に増加し、1日あたりのブロック数は200万件から2,500万件に急増しました。これは検知件数の漸増ではなく、アプリケーション層におけるトラフィックの構造自体が変化したことを意味します。防御側の課題は「ボットか人間か」ではなく、「ボットか人間か、それとも人間の代理として行動するエージェントか」という問いに変わりました。多くのエンタープライズセキュリティスタックは、最初の問いに対応するために設計されています。第3のカテゴリは、その前提を根底から覆します。

5つの重要なポイント

1. インターネットは今やほとんどが機械のもの

Thales 2026年バッドボットレポートによると、自動化トラフィックが全インターネットトラフィックの53%を占めており、悪性ボットが40%、良性の自動化が13%です。人間の活動は47%に減少しています。インターネットはもはや人間が使う場所ではなく、機械が使い、人間が訪れる場所となっています。「これは人間か?」という前提で構築されたセキュリティスタックは、誤った問いに答えていることになります。

2. AIエージェントは新たなトラフィックカテゴリであり、ボットのサブセットではない

Thalesは、AIエージェントを良性・悪性ボットと並列に追加しました。なぜなら、AIエージェントは異なる挙動を示すからです。正当な目的、エージェント発行のリクエスト、機械的な速度、通常のAPIコールと見分けがつきません。実際に認証されたワークフローを実行しているため、正規のブラウザや有効なフィンガープリント、人間的なタイミングを用います。エージェントの不正挙動によるデータ損失は、ボット攻撃のようには見えず、通常のオペレーションに見えます。

3. AIボット攻撃の12.5倍増加は先行指標

AI主導のリクエストの1日あたりのブロック数は、1年で200万件から2,500万件に増加しました。Thalesは2025年に17.2兆件の悪性ボットリクエストをブロックしています。「ボット対人間」に基づく防御ツールは、もはや昨年の課題を解決しているに過ぎません。この状況が生み出すサプライチェーンの攻撃対象領域は構造的なものであり、エンタープライズツールに組み込まれたAIエージェントは、単なる生産性向上機能ではなく、潜在的な攻撃経路となっています。

4. ガバナンスのギャップは戦術的ではなく構造的

Kiteworks 2026年予測レポートによると、すべての組織がエージェント型AIをロードマップに含めていますが、63%は目的制限を強制できず、60%は不正エージェントを停止できません。すべての測定カテゴリで、導入が封じ込めを15〜20ポイント上回っています。AIガバナンスへの投資は、エージェントの監視には向けられていますが、停止には向けられていません。

5. 解決策はデータ層のガバナンスであり、ボット検知ではない

エージェントがトラフィック緩和ツールに正規と見なされる場合、唯一持続可能な強制ポイントは、エージェントがアクセスしようとするデータそのものです。属性ベースアクセス制御、コンテンツ層の最小権限、改ざん検知可能な監査ログが必要です。Agents of Chaos調査では、モデル層のガードレールは敵対的な状況下で機能しないことが示されましたが、エージェントが侵害された場合でもデータ層ガバナンスは有効です。

組織のセキュリティを信じていますか。本当に証明できますか?

Read Now

AIエージェントはボットとどう違うのか

ボットは常に人間のように見せかけようとしてきましたが、AIエージェントはその必要がありません。正規のブラウザ、有効なフィンガープリント、人間的なタイミングで動作するのは、それが実際のワークフロー、つまり本物のユーザーが認可したタスクを実行しているからです。Thalesレポートはこれを明確に記述しています。かつて警告を発していたAI主導の活動が、今や正規利用に溶け込み、検知や監視を困難にしています。

検知可能なAIトラフィックは、AI対応活動全体のごく一部に過ぎません。攻撃者は自己ホスト型のLLMを展開し、正体を明かさずに運用できますし、悪意あるオペレーターはこれらのモデルを不正利用向けにファインチューニングできます。このギャップは2025年11月、AnthropicがGTG-1002を公表した際に大規模に示されました。これは、中国国家が支援するキャンペーンで、Claude CodeとMCPオーケストレーションを用い、テクノロジー、金融サービス、化学製造、政府など約30の組織を標的にしました。AIが戦術作業の80〜90%を自動化し、人間のオペレーターは1キャンペーンあたり4〜6回の重要意思決定時のみ介入しました。1秒あたり数千件のリクエストという、人間のレッドチームでは到底追いつけない速度です。

CrowdStrike 2026年グローバル脅威レポートでは、AI対応攻撃者による攻撃が前年比89%増加し、平均eCrimeブレイクアウトタイムが29分に短縮されたと報告しています。Thalesの53/40/13の比率は、通信上で何が起きているかを防御側に示し、CrowdStrikeとAnthropicのデータは、その上で何が稼働しているかを示しています。

なぜボット対策ではエージェント層に届かないのか

ボット管理は、アイデンティティ(IPレピュテーション、ユーザーエージェント文字列)、挙動(レート制限、フィンガープリント)、パターンから推測される意図という3つのシグナルに基づいて構築されてきました。AIエージェントはこれら3つすべてを通過します。なぜなら、偽装しているのではなく、実際にブラウザを起動し、ログイン済みのIDでリクエストを発行し、通常利用に見えるワークフローを実行しているからです。

これはツールの失敗ではなく、カテゴリの誤認です。Thalesのアプリケーションセキュリティ担当グローバルVP兼GMはレポートで次のように述べています。「もはやボットを識別することが課題ではありません。ボット、エージェント、オートメーションが何をしているのか、それがビジネスの意図と合致しているのか、重要なシステムとどう関わっているのかを理解することが課題です。」コントロールサーフェスが変化した今、戦略もそれに合わせて変える必要があります。

多くの組織が直面しているエージェントガバナンスの現状

Kiteworks 2026年予測レポートによると、すべての組織がエージェント型AIをロードマップに含めています(例外なし)。問題は、導入とエージェントの行動を制限するコントロールの間にギャップがあることです。3つの封じ込めコントロールがこのギャップを定義します:

目的制限:エージェントに許可された行動を制限する能力。63%が実施できていません。キルスイッチ:不正エージェントを迅速に停止する能力。60%が実施できていません。ネットワーク分離:エージェントが本来の範囲を超えてシステムにアクセスするのを防ぐ能力。55%が実施できていません。

多くの組織はAIの監視には投資しています(59%が人間による介入、58%が継続的モニタリングを導入)。しかし、停止のための投資はされていません。政府機関は最もリスクが高く、90%が目的制限を欠き、76%がキルスイッチを持たず、81%がネットワーク分離を実施できていません。これらの組織は、機密情報や重要インフラを扱いながら、AIエージェントを制御・停止・分離できていないのです。

テレメトリでは分からない「Agents of Chaos」調査の示唆

2026年2月に発表されたAgents of Chaos調査(ノースイースタン、ハーバード、MIT、スタンフォード、CMUなど38名の著者による共同研究)では、2週間のライブラボでエージェントを展開し、11件のケーススタディで少なくとも10件の重大なセキュリティ侵害を記録しました。モデル層のガードレールが機能しない理由は、以下の3つの構造的欠陥にあります:

ステークホルダーモデルの欠如。エージェントには、誰にサービスを提供すべきか、誰が操作しているのかを区別する信頼できる仕組みがありません。最も強く指示する相手に従う傾向があり、LLMは指示とデータを同じコンテキストウィンドウで処理するため、プロンプトインジェクションは構造的な特徴であり、修正可能なバグではありません。

自己モデルの欠如。エージェントは、自分の能力を超えていることを認識せずに不可逆的な行動を取ります。短期的なリクエストを、終了条件のない永続的なバックグラウンドプロセスに変換してしまいます。

非公開の熟考サーフェスの欠如。エージェントは、どの通信チャネルが誰に見えているかを確実に追跡できません。明示的な機密保持指示があっても、誤ったチャネルを通じて機密情報を漏洩します。

エージェントが正しい行動をとることに依存するツールは、エージェントが確実に持っていない特性に依存していることになります。封じ込めはエージェントの外部から実施する必要があります。

第3カテゴリのギャップを埋めるアーキテクチャ

ボットルールがエージェントに届かず、エージェント自身に制約を委ねられない場合、持続的な強制ポイントはデータ層にあります。目的に適したアーキテクチャを定義する3つの特性は以下の通りです:

認可はアイデンティティではなくデータに付随する。ユーザーの代理で行動するエージェントはユーザーの認可を継承しますが、認可はセッションではなくコンテンツに付随します。属性ベースアクセス制御は、各リクエストをデータの機密性、リクエスターの権限、宣言された目的、適用中のポリシーに照らして評価します。既存のアクセススタックの多くはフォルダレベルの役割を前提に設計されており、リトリーバル拡張生成のようにエージェントがミリ秒単位でコーパス全体を読む状況には対応できません。

ポリシーの強制は、エージェントがデータに到達する前に行う。意思決定はエージェント内部ではなく、データの境界で行います。これはKiteworks 2026年予測レポートで「目的制限」として定義されており、今日63%の組織が実施できていないコントロールです。

監査証跡は証拠品質で全チェーンを記録する。Kiteworks 2026年予測では、33%の組織が十分な監査証跡を持たず、61%が断片化されたログしか持っていません。規制当局が「誰が、どのエージェントを通じて、何にアクセスしたか」を問う際、単一のクエリ可能な記録で答える必要があります。Kiteworks AI Data GatewayとKiteworks Secure MCP Serverはこのパターンを実装しており、データ層でのガバナンス付きアクセス、コンテンツ層でのポリシー強制、メール・ファイル共有・MFT・SFTP・ウェブフォーム・AIトラフィック全体にわたる改ざん検知可能なログを単一のコントロールプレーンで実現します。

CISOが今四半期に取るべきアクション

まず、自社環境ですでに稼働しているエージェントを棚卸ししてください。ブラウザプラグイン、組み込みコパイロット、サードパーティSaaS自動化、開発者ツールなど、ユーザーの代理でアクションを実行するエージェントが導入されています。実際の運用インベントリはロードマップより数四半期遅れがちです。ガバナンスを始める前に、現状のリストを作成しましょう。

次に、キルスイッチのギャップを解消してください。不正エージェントを即時停止する必要が生じた場合、1時間以内に対応できますか?60%の組織ができていません。このコントロールは責任ある導入の最低条件であり、スコープ拡大前に整備すべきです。

3つ目に、データ層で目的制限を強制してください。エージェントが自らスコープを守ることを信頼せず、ABACポリシーで全リクエストを評価して縛りましょう。これはKiteworks 2026年予測調査で最大のギャップであり、最も効果的なコントロールです。

4つ目に、エビデンス品質の監査ログを備えたコントロールプレーン経由でエージェントトラフィックをルーティングしてください。9つのツールに分散した断片的なログでは、規制当局の調査、訴訟時の証拠開示、重大インシデントレビューに耐えられません。61%の組織は証拠品質の監査証跡をサポートできない断片化インフラ上にあり、これはエージェントの規模拡大前に解消すべき最大のインフラギャップです。

5つ目に、エージェントのランタイムやツールコネクタを特権インフラとして扱ってください。GTG-1002の事例が最も明確なケーススタディです。誰が何を実行できるかを厳格に管理し、許可リストを徹底し、高頻度自動化を監視し、不審なエージェント活動にはキルスイッチを維持しましょう。サービスアカウントに求められるコントロールは、今やすべてのエージェントID(社内・サードパーティ問わず)に適用されます。

AIデータガバナンスの詳細については、カスタムデモを今すぐご予約ください

よくある質問

AIエージェントは、実際のブラウザと認可されたワークフローを実行しているため、従来のボット検知シグナルを通過します。偽装ではありません。ボット対策ルールはエージェントには届きません。Kiteworks 2026年予測によれば、63%の組織がエージェントの目的制限を強制できず、60%が不正エージェントを停止できません。エージェントは別カテゴリとして扱い、ネットワークエッジではなくデータ層でアクセス制御を実施してください。

HIPAAの最小限アクセス要件は、PHIに触れるすべてのシステムに適用され、臨床医の代理で動作するAIエージェントも含まれます。医療分野は封じ込め対策が遅れており、Kiteworks 2026年予測によれば68%が目的制限を、59%がキルスイッチを欠いています。ABACポリシーで特定のPHI要素への認可を紐付け、すべてのエージェントアクセスを証拠品質でログ記録し、監査防御性を確保してください。

これはCMMCのACおよびAUコントロールファミリーの基準を引き上げます。GTG-1002事例は、アクセス制御がなければエージェントが侵入ライフサイクル全体を実行できることを示しています。Kiteworks 2026年予測によれば、61%の組織が証拠品質の監査証跡をサポートできない断片化インフラ上で運用しています。評価前に、CUIアクセスをカバーするガバナンス付きコントロールプレーン経由でエージェントトラフィックをルーティングしてください。

ガバナンスコントロールは監視(人間の介入、継続的モニタリング、データ最小化)であり、封じ込めコントロールは停止(目的制限、キルスイッチ、ネットワーク分離)です。Kiteworks 2026年予測では両者の間に15〜20ポイントのギャップがあり、60%以上の組織が不正エージェントを停止できません。監視だけで停止できなければ、監査もインシデント対応も、実質的なコントロールも成立しません。

ボット管理はネットワークエッジをカバーしますが、エージェントガバナンスはデータ層で実施する必要があります。すべての組織がエージェント型AIをロードマップに含めていますが、Kiteworks 2026年予測によれば55%がAIをネットワークから分離できていません。データ境界でのABACポリシー強制、コンテンツ層の最小権限、改ざん検知可能な監査証跡を追加してください。エージェントがボットのように見えるかどうかに関わらず有効なコントロールです。Kiteworksプライベートデータネットワークは、あらゆるデータ交換チャネルでこのアーキテクチャを提供します。

追加リソース

  • ブログ記事
    ゼロトラスト戦略で実現する手頃なAIプライバシー保護
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局はAIポリシーの有無を問うのをやめました。今求められるのは「機能している証拠」です。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks