Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > CISAがエージェンティックAIの「レッドライン」を明示—すでに多くが越境

CISAがエージェンティックAIの「レッドライン」を明示—すでに多くが越境

by Uri Kedem updated 5月 28, 2026 サイバーセキュリティー・リスク管理
Reading Time: 7 minutes

2026年4月30日と5月1日、6つの国家サイバーセキュリティ機関が共同でCareful Adoption of Agentic AI Services(エージェンティックAIサービスの慎重な導入)という28ページのガイダンス文書を発表しました。これは自律型AIエージェントのセキュリティに関するもので、これらの機関がAIの攻撃対象面について連携したのは初めてです。内容は異例の明快さで、「エージェントに広範または無制限のアクセス権を与えない」「リスクが低く機密性のないユースケースから始める」「エージェンティックAIを実験扱いせず、既存のセキュリティモデルに組み込む」ことを強調しています。

CSO Onlineの報道によると、各機関はエージェンティックAIにおける最小権限原則の厳格な遵守が不可欠であると強調し、特権リスクを主要な懸念事項として挙げています。この一文は多くの企業にとって課題です。Kiteworks 2026年予測によれば、組織の63%がAIエージェントに目的制限を強制できず、60%が問題のあるエージェントを迅速に停止できず、55%がAIシステムを広範なネットワークアクセスから隔離できていません。これらはまさに今回のガイダンスが求めるコントロールであり、研究上のギャップがコンプライアンスギャップへと変わりました。

5つの重要なポイント

1. ファイブアイズ共同勧告がエージェンティックAIの基準を引き上げた

CISA、NSA、オーストラリアASD ACSC、カナダサイバーセキュリティセンター、英国NCSC、ニュージーランドNCSCの6つの国家サイバーセキュリティ機関が共同でCareful Adoption of Agentic AI Servicesを発表しました。6つの機関がガイダンスで連携するのは極めて異例です。実質的な影響として、「ベストプラクティス」が即座に「期待されるプラクティス」となります。内部監査人はこれを引用し、規制当局は参照し、原告側の弁護士は証拠開示請求に添付します。ガバナンスギャップとして記載された内容は、今やコンプライアンスギャップとなりました。

2. 特権の肥大化が最大のリスク

このガイダンスは、最小権限の徹底、機能インベントリ、厳密に範囲を限定したデータアクセスをエージェンティックAIのコントロールセットの最上位に位置付けています。これは多くの企業にとって課題であり、特権の肥大化はエージェンティックAI導入時にまさに発生しがちな問題です。Kiteworks 2026年予測では、組織の63%がAIエージェントに目的制限を強制できていません。これは今回のガイダンスが求めるコントロールそのものです。研究で裏付けられたギャップが、今や監査指摘事項となりつつあります。

3. 継続的な監査はもはや必須

運用者は、エージェントが行うすべての意思決定とアクションについてトレーサビリティを維持することが求められます。Kiteworks 2026年予測によれば、組織の33%が証拠として十分な監査証跡を持たず、61%が断片的で実用性のないログ運用をしています。規制当局が「特定のエージェントが特定の日に特定の記録にアクセスしていない証拠」を求めた場合、「システムプロンプトで禁止されていた」とは通用しません。アカウンタビリティ(説明責任)の分野は、多くのプログラムが崩壊するポイントです。

4. 5つのリスクカテゴリがエージェンティックAIセキュリティを定義

特権、設計と構成、行動、構造、説明責任の5つのリスクが新たなフレームワークです。それぞれが監査人からの質問に直結します。「誰が承認したのか?」「エージェントは何にアクセスしたのか?」「ログを提示できるか?」「意思決定を説明できるか?」これらの質問に「分からない」と答える場合、そのプログラムはガイダンスが定めた基準を満たしていません。特に説明責任のカテゴリは後から適用するのが最も難しく、最も重要です。

5. データ層こそが現実の戦場

システムプロンプトは指示であり、コントロールではありません。ランタイムガードレールはホスト上で動作しますが、データには作用しません。どちらも回避可能です。モデルから独立した属性ベースアクセス制御、改ざん検知可能な監査証跡、暗号化によるID検証といったデータ層でのコントロールだけが、モデルが更新・廃止された後でも規制当局が受け入れる証拠を提供できます。

自社のセキュリティに自信はありますか?その証明はできますか

Read Now

エージェンティックAIプログラムを定義する5つのリスクカテゴリ

この共同ガイダンスは、エージェンティックAIのリスクをCyberScoopの報道の通り、5つのカテゴリに整理しています。それぞれが監査人、規制当局、原告側専門家からの質問に直結します。

特権リスク。 エージェントに過剰なアクセス権を与えると、1つの侵害が大規模な漏洩につながります。ガイダンスは、機能インベントリ、範囲を限定した権限、エージェントごとの暗号化ID検証を求めています。

設計・構成リスク。 不適切な設定は、システム稼働前からセキュリティギャップを生みます。脅威モデリング、安全設計アーキテクチャ、構成検証は導入前に必須です。

行動リスク。 エージェントは設計者が予想しない方法で目標を追求します。目標の不一致や欺瞞的な行動が明示的に指摘されており、プロンプトインジェクションが解決済みとはされていません。

構造リスク。 相互接続されたエージェントのネットワークは障害を連鎖させます。1つのエージェントの侵害された出力が他のエージェントの入力になることで、被害範囲が拡大します。AIシステムを広範なネットワークアクセスから隔離できない組織(55%)は、このリスクカテゴリを実質的に制御できません。

説明責任リスク。 不透明なプロセスによる意思決定、解析困難なログ、事後追跡できないアクションの連鎖。多くのプログラムがここで崩壊します。エージェントが既に本番稼働している場合、後付けで対応するのが最も難しいカテゴリでもあります。

システムプロンプトやランタイムガードレールが監査を通過できない理由

共同ガイダンスは、エージェンティックAIを既存のゼロトラスト、多層防御、最小権限のフレームワークに組み込むことを要求しています。システムプロンプトは指示であり、コントロールではありません。ランタイムガードレールはホスト上で動作し、データには作用しません。どちらも間接的なプロンプトインジェクション、モデルの更新、エージェントが処理する入力を制御する攻撃者によって回避されます。間接的なプロンプトインジェクションに関する基礎研究では、取得したコンテンツ内に隠された不可視の指示がLLM統合アプリケーションを乗っ取れることが数年前から示されています。この問題は解決されておらず、主要なAI企業も完全解決は困難であることを公言しています。

説明責任の問題はこれをさらに深刻化させます。モデルが更新・廃止・置換されるたび(頻繁に発生)、そのモデルに紐づく監査証跡は消失します。数年後に規制当局が「特定のエージェントの特定のアクションに関する証拠」を求めても、「システムプロンプトで禁止していた」とは通用しません。モデル層のコントロールでは監査で通用する証拠を残せず、ランタイム層のコントロールではデータ取扱方針を強制できません。ガイダンスと監査人の双方を満たす唯一の層はデータ層であり、すべてのアクセス判断が記録され、すべての認可が検証され、すべてのアクションが人間による承認セッションに紐づけられます。

現在の「封じ込めギャップ」はどこにあるか

ガイダンスが暗黙的に求める5つの封じ込めコントロールは、Kiteworks 2026年予測のギャップと直接対応しています:

目的制限の強制。 63%がAIエージェントに目的制限を強制できていません。ガイダンスの最小権限要件は、これができることを前提としています。

キルスイッチ機能。 60%が問題のあるエージェントを迅速に停止できません。ガイダンスの「人間が介在する」運用は、実効的な停止能力を前提としています。

ネットワーク隔離。 55%がAIシステムを広範なネットワークアクセスから隔離できません。隔離がなければ、構造リスクカテゴリ(相互接続エージェント間の連鎖障害)は制御できません。

入力検証。 多くの組織がAI入力の検証ができていません。入力が検証されなければ、間接的なプロンプトインジェクションは他のどのコントロールもすり抜けます。

継続的なモニタリング。 約5社に2社がAI活動の継続的監視を行っていません。ガイダンスのトレーサビリティ要件は、これなしには実現できません。

これらは単なる製品の問題ではなく、ガバナンスアーキテクチャの問題です。AIエージェントのアクセス、ID、ポリシー、監査を一元的に強制・証明できる仕組みが欠如しています。

理想論よりアーキテクチャ:エージェンティックAIガバナンスのあるべき場所

共同ガイダンスへのアーキテクチャ的な回答は、モデルやランタイムから独立したデータ層ガバナンスです。モデルは更新・侵害・置換される可能性があり、ランタイムも回避されることがあります。データ層だけが、どのモデルが稼働していても、どのプロンプトが処理されていても、どのエージェントフレームワークが使われていても、すべてのエージェントインタラクションに対してアクセス判断・ID検証・ポリシー強制・改ざん検知ログを保証できます。

Kiteworks Secure MCP ServerおよびAI Data Gatewayはこのパターンを実装しています。すべてのエージェントリクエストはOAuth 2.0で認証され、Kiteworks Data Policy EngineのABACポリシーで評価され、FIPS 140-3認証暗号で暗号化され、改ざん検知可能な監査証跡として既存のSIEMやコンプライアンス基盤に記録されます。Kiteworks Private Data Networkは、このガバナンスをメール、ファイル共有、MFT、SFTP、Webフォーム、APIにまで拡張し、1つのポリシーエンジンと統合監査ログで一元管理します。

現在、中央集約型AIデータゲートウェイを持つ企業は半数未満であり、ガイダンスが事実上求めるアーキテクチャ基盤が不足しています。データ層より上のコントロールは議論の余地がありますが、データ層は譲れません。

次回の監査までに組織がすべきこと

まず、すべてのエージェントを棚卸ししてください。社内コパイロット、SaaS組み込みエージェント、部門パイロット、サードパーティツールなど、現在稼働中のエージェンティックAIシステムを完全に洗い出します。多くの組織は、存在を知らなかったシャドーAIを発見するでしょう。棚卸しが完了するまでは、他のコントロールは意味を持ちません。

次に、ギャップを監査します。現状の能力を5つのリスクカテゴリにマッピングし、現時点で監査に通らないコントロールを特定します。多くの組織は、目的制限を強制できず、明確な停止経路がないことに気づくでしょう。その結果がエージェンティックAIのロードマップとなります。

三番目に、データ層で最小権限を徹底します。AIエージェントによる機密データアクセスの認可判断は、データ層で行い、データ分類・管轄・エージェントが代理する人間ユーザーを考慮した属性ベースアクセス制御が必要です。中央集約型AIデータゲートウェイこそが、ガイダンスが事実上求めるアーキテクチャ基盤です。

四番目に、すべてのエージェントアクションについて改ざん検知可能な監査証跡を構築します。規制対象データとのすべてのエージェントインタラクションを、誰が・何を・いつ・なぜ承認したかを後から再構築できる十分な詳細で記録します。これはモデルのライフサイクルだけでなく、データのライフサイクル全体にわたって必要です。

五番目に、共同ガイダンスを「最低限」と捉え、「上限」としないでください。EU AI法のプレッシャー下にある組織は、主要なAIコントロールのすべてで先行しています。ガイダンスは世界的に基準を引き上げるでしょう。ルール化される前に基準を先取りしてください。地域特有の強制を待つ組織は、締切に追われてガバナンスを後付けすることになります。

エージェンティックAIリスクの軽減について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

5つのリスクカテゴリ(特権、設計と構成、行動、構造、説明責任)を適用してください。機能インベントリ、最小権限の範囲設定、継続的な監視、機密操作時の人間によるチェックポイント、改ざん検知可能な監査ログを導入前に必須としてください。多くのエージェンティックAIによるカスタマーサービス導入は、初回レビューでこれらのいずれかに不備が見つかります。導入前にそのギャップを特定することこそ、ガイダンスフレームワークの価値です。

AIエージェントによるPHIアクセスの監査防御性に、連邦基準が明示されました。組織の63%はAIエージェントに目的制限を強制できていませんが、これはHIPAAの「必要最小限」基準が実質的に求めるコントロールです。データ層でのABAC強制と改ざん検知可能な監査証跡は、HIPAAと共同ガイダンスの両方を同時に満たします。

CMMCレベル2のAC、AU、IAファミリーは、CUIに関わるAIエージェントの認可強制を求めています。Kiteworks 2025年CMMC準備レポートによれば、防衛産業基盤組織のうち46%しか準備ができていません。共同ガイダンスはこれにエージェンティックAIコントロールを追加します。データ層ガバナンスとABAC強制は、3つのコントロールファミリーすべてを同時に満たし、査定者が求める証拠を提供します。

はい。ガイダンスは、自律的に計画・判断・行動できるすべてのエージェンティックAIに適用されます。Copilotも広範な権限で利用される場合は該当します。中央集約型AIデータゲートウェイを持つ企業は半数未満です。これがなければ、Copilot導入は、ガイダンスが求める最小権限・トレーサビリティコントロールを証明できません。

まず、環境内のすべてのエージェンティックAIシステムを完全に棚卸しし、そのうえでCISAガイダンスの5つのリスクカテゴリに沿ってコントロールをマッピングしてください。最も多い監査指摘事項は、目的制限の強制不可とキルスイッチ機能の欠如です。どちらも解決するには、モデル層ガードレールではなく、データ層ガバナンス(ABAC強制、FIPS 140-3暗号化、改ざん検知可能な監査証跡)が必要です。

追加リソース

  • ブログ記事
    手頃なAIプライバシー保護のためのゼロトラスト戦略
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に中小企業の91%がデータセキュリティでロシアンルーレットをしている理由
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」を問うのをやめました。今は「機能している証拠」を求めています。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks