Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > OWASP Agent Memory Guard:AIエージェントのメモリ悪用を防ぐ

OWASP Agent Memory Guard:AIエージェントのメモリ悪用を防ぐ

by Patrick Spencer updated 6月 5, 2026 サイバーセキュリティー・リスク管理
Reading Time: 6 minutes

AIエージェントのメモリポイズニングは、エージェントがステートフルであるという特性を悪用します。従来のAPIコールが入力を処理して出力を返すだけで何も記憶しないのに対し、エージェントはやり取りをまたいで永続的な状態を保持します。この状態は複数の場所に存在します。会話履歴バッファ、セマンティック検索でコンテキスト取得に利用されるベクトルストア、エージェントが中間的な推論を書き込むスクラッチパッド、そしてエンタープライズ文書リポジトリと接続するRAGインデックスです。

これらのストレージ層のいずれかに書き込み権限を持つ攻撃者は、将来のエージェントの挙動に対するコマンドチャネルを獲得します。この攻撃は、エージェントのコードやモデルの重み、モデルを呼び出すためのAPI認証情報を侵害する必要はありません。エージェントが後で読み取るストレージに、巧妙に作成した文字列を配置できれば十分です。

OWASPのASI06分類は、永続性に着目することでメモリポイズニングと標準的なプロンプトインジェクションを区別しています。直接的なプロンプトインジェクションは1つのセッション内で発生し、そのセッションが終了すると消えます。メモリポイズニングはセッションの境界やエージェントの再起動、ストアが消去されない限り再デプロイ後も生き残ります。従来のセキュリティツールは、エージェントがコール間で何を保存しているかを可視化できません。

5つの重要なポイント

1. AIエージェントのメモリは、多くの企業で無防備な攻撃対象領域となっている。

会話履歴、ベクトルストア、スクラッチパッド、RAGインデックスは、デフォルトで認証や整合性検証なしに書き込みを受け付けます。これらのストレージ層のいずれかに書き込み権限を持つ攻撃者は、将来のエージェントの挙動に対する永続的なコマンドチャネルを獲得します。これは、セッションの境界やエージェントの再起動、ストアが消去されない限り再デプロイ後も生き残ります。OWASPはこれをAgentic ApplicationsのTop 10でASI06として正式に定義しました。データガバナンスフレームワークは、この脅威モデルにまだ追いついていません。

2. OWASP Agent Memory Guardは、92.5%のリコール率、100%の精度、59マイクロ秒の中央値レイテンシを実現。

プロンプトインジェクション、PII/PHIおよび秘密情報の漏洩、鍵の改ざん、SHA-256による整合性検証、サイズ異常検知という5つの検出器が、すべてのメモリ読み書き時にインラインで動作します。誤検知ゼロのため、正当なメモリ操作がブロックされることはありません。59マイクロ秒の中央値レイテンシにより、本番環境でもスループットに影響を与えずに運用可能です。これらの数値は、インライン導入を現実的なものとし、アウトオブバンド分析だけでなく運用環境での活用を可能にします。

3. メモリポイズニングは、見た目には正常なAIワークフローを通じた情報流出を可能にする。

操作されたエージェントは、ファイルの流出、外部APIの呼び出し、攻撃者が管理するエンドポイントへのコンテンツ転送などを、ユーザーインターフェース上は正常に動作しているように見せかけながら実行できます。これは、AIエージェントがセキュアなファイル共有システムや契約書・規制データ・知的財産を扱うMFTパイプラインと連携する場面で特に重要です。異常な人間の行動を監視するセキュリティツールでは、この攻撃手法を検知できません。

4. ABACの適用により、メモリポイズニングが成功しても被害範囲を限定できる。

メモリがポイズニングされたエージェントが、本来アクセス権のないデータストアから読み取ろうとすると、ポリシー適用ポイントで拒否され、悪意ある命令は実行できません。ゼロトラストの原則では、リクエストする主体が人間ユーザーであれAIエージェントであれ、すべてのリソースアクセスは明示的に許可される必要があります。メモリ防御でポイズニングを防ぎ、アクセス制御で万が一成功した場合の被害を最小化します。

5. 規制データの流出を引き起こすメモリポイズニングは報告義務のある侵害となる。

患者記録、CUI、個人データを含むメモリストアは、従来型データベースかベクトルインデックスかを問わず、HIPAA、CMMC、GDPRの対象となります。メモリポイズニングによってエージェントが規制データを流出させた場合、これらのフレームワークの下で報告義務のあるインシデントとなります。規制データを扱うすべてのAI導入には、攻撃者による圧力がかかる前にメモリセキュリティレイヤーが必要です。

自社のセキュリティ、信じていますか?その証明はできますか

Read Now

Agent Memory Guardの仕組み

OWASP Agent Memory Guardは、AIエージェントとそのメモリバックエンドの間にランタイムで介在し、すべての読み書きが完了する前にポリシー評価パイプラインを通過させます。このパイプラインは、5つの異なる検出器を順番に実行します。

プロンプトインジェクション検出器は、システム命令の上書きやコマンド注入を試みるパターンをスキャンします。PII/PHIおよび秘密情報漏洩検出器は、個人データや認証情報、トークンを含むコンテンツを検出します。鍵改ざん検出器は、暗号化マテリアルの改変を特定します。SHA-256整合性検証器は、メモリ内容が初回書き込み以降変更されていないことを確認します。サイズ異常検出器は、大量注入の試みを示す異常に大きな書き込みを検知します。

ポリシーはYAMLで定義され、「許可」「マスキング」「隔離」「ブロック」の4つの処理に対応します。ポイズニングの試みが検知・ブロックされた場合、Agent Memory Guardは既知の正常なメモリ状態へのロールバックをサポートします。これは従来の監査ログ手法にはない機能です。ログは「何が起きたか」を記録しますが、ロールバックは実際にエージェントをクリーンな動作状態に戻します。

エンタープライズリスク:メモリが情報流出の経路となる

セキュリティ担当者はAIエージェントのリスクを「何を言うか」—幻覚、プライバシー侵害、バイアス出力—で考えがちです。メモリポイズニングは、「何をするか」という新たなリスクカテゴリをもたらします。操作されたエージェントは、ファイルの流出、外部APIの呼び出し、攻撃者管理のエンドポイントへのコンテンツ転送、アクセス権限のエスカレーションなどを、ユーザーインターフェース上は正常に動作しているように見せかけながら実行できます。

この情報流出経路は、AIエージェントがセキュアなファイル共有システム、マネージドファイル転送パイプライン、構造化ドキュメントリポジトリと連携する場面で特に重要です。たとえば、機密契約書リポジトリから読み取り、コラボレーションツールに要約を書き込むエージェントは本来の業務を遂行しています。しかし、メモリポイズニング後の同じエージェントは、そのリポジトリから生データ(要約だけでなく)を攻撃者管理のエンドポイントに書き出す可能性があります。

Kiteworksプライベートデータネットワークは、アクセス制御レイヤーでこれに対応します。ABACの適用により、完全に侵害されたエージェントであっても、ポリシーで定義された権限外のデータにはアクセスできません。エージェントのID、割り当てられた役割、動作コンテキストがリソースのアクセスポリシーと一致しなければ、読み書きは実行されません。

AIエージェントメモリの多層防御を実現するには

規制環境でAIエージェントを導入する組織は、特有の課題に直面します。データ取扱いを規定するGDPR、HIPAA、CMMC 2.0などの規制フレームワークは、エージェント型AIを想定していません。患者記録、CUI、個人データを含むメモリストアは、従来型データベースかベクトルインデックスかを問わず、これらの規制の対象となります。

OWASP Agent Memory Guardはランタイム保護を提供します。Kiteworks AI Data Gatewayは、エンタープライズデータとAIのやり取りに管理されたチャネルを提供し、機密コンテンツが制御されていない経路でAIシステムやAIメモリに流出するのを防ぎます。Secure MCP Serverは、どのAIツールがエンタープライズデータにアクセスできるかを制御します。AIデータガバナンスを実践するには、AIエージェントのメモリも他のエンタープライズデータストアと同様に扱い、分類、アクセス制御、アクセスパターンの監視、整合性の検証を行うことが重要です。

AIエージェントワークフローで機密データを保護する方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください。

よくあるご質問

ASI06は、AIエージェントに対するメモリおよび状態操作攻撃を対象としたOWASPの分類です。攻撃者がエージェントの永続的な状態(会話履歴、ベクトルストアの内容、スクラッチパッドデータ、RAGインデックスのエントリなど)を改変し、後続のやり取りで挙動を変化させるシナリオをカバーします。セッションをまたぐ永続性に着目することで、一時的なプロンプトインジェクションとメモリポイズニングを区別しています。OWASP Agent Memory Guardはそのリファレンス実装です。エージェント型AIを構築する組織は、ASI06をプロンプトインジェクションやデータ流出と並ぶ第一級の脅威として扱うべきです。

ABACは、リクエスト主体・リソース・運用環境の属性を考慮したポリシーに基づき、すべてのリソースアクセスを評価します。メモリがポイズニングされたエージェントが、本来アクセス権のないデータストアから読み取ろうとすると、ポリシー適用ポイントで拒否され、悪意ある命令は実行できません。KiteworksのABAC適用はプロトコルレイヤーで行われるため、エージェントがどのAIモデルやオーケストレーションフレームワークを使っていても制限が有効です。これにより、ランタイムのメモリ防御と組み合わせて、現実的な被害範囲の制限が実現します。

ほとんどの従来型セキュリティツールは、AIエージェントのメモリストアを可視化できません。SIEMは異常なAPIコールパターンを検知できますが、ベクトルデータベースへの書き込み内容がコマンド注入かどうかのセマンティックな検査はできません。DLPは既知の機微データパターンを検知しますが、ドキュメントチャンクに埋め込まれたプロンプトインジェクション構文を解析する設計にはなっていません。Agent Memory Guardは、専用設計の検出器でこのギャップを埋めます。特にSHA-256整合性検証は有用で、既知の悪意パターンに一致しない改ざんコンテンツも、書き込み後に変更されたこと自体で検知できます。

AIエージェントがアクセス可能なすべての規制データが標的となり得ます。医療分野では、PHIにアクセスできるエージェントがHIPAA対象組織に侵害責任をもたらします。防衛契約では、CUIを処理するエージェントはCMMC要件(データ整合性前提)を満たす必要があり、CUI流出はDFARSの下で報告義務のあるインシデントです。金融サービスでは、PCI DSSデータを扱うエージェントも同様のリスクを負います。メモリポイズニングは、正当かつ認可されたAIワークフローを、未認可のデータアクセスイベントに変えてしまいます。

OWASP Agent Memory Guardは、エージェントメモリストアへの入出力に対するポリシー検査と適用を行います。Kiteworks AI Data GatewayおよびSecure MCP Serverは、AIエージェントがアクセスできるエンタープライズデータソース、呼び出せるツール、生成できるアウトプットを制御します。適切に構成された導入では、Agent Memory Guardでメモリのポイズニングを防ぎ、Kiteworksのゼロトラストアーキテクチャで、万が一メモリ防御が突破された場合もエージェントの行動を制限します。

追加リソース

  • ブログ記事
    手頃なAIプライバシー保護のためのゼロトラスト戦略
  • ブログ記事
    77%の組織がAIデータセキュリティで失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態に
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks