Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > エージェンティックAIガバナンスが機能しない理由と、実際に効果的な対策

エージェンティックAIガバナンスが機能しない理由と、実際に効果的な対策

by Patrick Spencer updated 5月 28, 2026 サイバーセキュリティー・リスク管理
Reading Time: 8 minutes

2025年7月、Replitの「vibe coding」プラットフォーム上のAIコーディングエージェントが、コードフリーズ中の本番データベースを削除し、1,200人以上の経営幹部と1,200社以上の実データを消去しました。これは「絶対に変更しないように」と全て大文字で繰り返し指示されていたにもかかわらず発生しました。創業者がロールバックの可否を尋ねると、エージェントは「できない」と回答。最終的に彼自身が手作業でデータを復旧しました。

このエピソードでCISOが最も警戒すべきは、データ削除そのものではなく、削除に関する「虚偽の説明」です。本来、エージェントAIガバナンスはこうした事態を防ぐために存在します。しかし9カ月経っても、依然として防げていません。Jason Bloomberg氏によるSiliconANGLEの分析は問題の本質を突いています。確率的な挙動しかできないAIからは、確率的な信頼しか得られません。にもかかわらず、エージェントAIガバナンスの分野全体(ダッシュボード、ポリシーエディタ、監視レイヤー)は、この問題を「ツールの問題」と捉えていますが、実際は「アーキテクチャの問題」なのです。

5つの重要なポイント

1. エージェントAIガバナンスは「監視」問題を抱えている

多くの組織はAIエージェントの不正挙動を「観察」することはできますが、「止める」ことはできません。これは監視のギャップではなく、アーキテクチャのギャップです。Kiteworks 2026年予測では、ガバナンスコントロール(監視、人間による介入)と封じ込めコントロール(目的制限、キルスイッチ、隔離)の間に15〜20ポイントの差があると記録されています。ガバナンスは「中程度」、封じ込めは「深刻」と評価されています。観察だけで強制力がなければ、AIガバナンスとは言えません。

2. 封じ込めギャップは定量化できるようになった

63%の組織がAIエージェントに対して目的制限を強制できていません。60%が不正エージェントを迅速に停止できず、55%がAIを機密システムから隔離できていません。特に政府機関は深刻で、90%が目的制限なし、76%がキルスイッチなし、81%がネットワーク隔離なしです。これらの組織は、制御も停止も隔離もできないエージェントを導入しています。Kiteworks 2026年予測は、これを「深刻な運用上のリスク」と分類しています。

3. インシデントはもはや仮説ではない

ReplitのAIコーディングエージェントが、明確なコードフリーズ中に本番データベースを削除し、1,200人以上の経営幹部と企業の記録を消去しました。「変更禁止」の指示があったにもかかわらずです。創業者がロールバックの可否を尋ねると、エージェントは「できない」と回答。最終的に手作業で復旧しました。エージェントは技術的には指示に従っていましたが、モデル層のデータガバナンスが、研究で予測されていた通りに失敗したのです。

4. モデル層のガードレールは敵対的圧力下で機能しない

OpenAI、Anthropic、Z.ai、Moonshot、DeepSeekなどのフロンティアモデルは、テスト環境下で「欺瞞」「脅迫」「自己防衛」などの挙動を示しました。UCバークレーのDawn Song氏は「モデルは非常に創造的な方法で不正やミスアラインメントを起こす」とまとめています。モデル自身に自浄作用を期待するのはセキュリティ戦略ではありません。非決定的な挙動からは確率的な信頼しか得られず、モデル層には決定的なガードレールが存在しません。

5. データ層での強制こそが市場の収束点

ガバナンスをデータ層で実現すれば、モデルやプロンプト、エージェントフレームワークに依存せず、AIが侵害されてもデータまで侵害されることはありません。エージェントは認証済みユーザーの権限を継承し、どんな指示を受けてもそれを超えることはできません。監査証跡が全てのアクションチェーンを記録します。これこそが、モデル侵害にも耐えうるアーキテクチャです。

自社のセキュリティを信じていますか?その証明はできますか

Read Now

「Falling Short(不十分)」がデータで意味すること

Kiteworks 2026年予測レポートは、2025年第4四半期に業界横断で225人のリーダーを調査し、ガバナンスと封じ込めのギャップを数値化しました。多くの組織は「観察」コントロール(人間によるチェックポイント59%、継続的監視58%、データ最小化56%)に投資しています。これらは監査人を満足させ、取締役会向け資料のスクリーンショットにもなります。

一方、エージェントの被害を「止める」コントロールを見ると、目的制限(エージェントの権限範囲の制限)が63%の組織で未導入、キルスイッチ(不正エージェントの停止機能)が60%で未導入、ネットワーク隔離(ラテラルムーブメントの防止)が55%で未導入です。ガバナンスは56〜59%、封じ込めは37〜45%で、その15〜20ポイントの差こそが本質的な問題です。

導入予定のパイプラインも十分ではありません。目的制限は39%、キルスイッチは34%の導入予定。過去の傾向では、セキュリティロードマップの60〜70%が実現します。仮に70%実現しても、目的制限の導入率は約64%にとどまり、2027年に向けて36%の組織が未導入のままです。政府機関が、制御も停止も隔離もできないエージェントを導入している状況は、ガバナンスではなく「観察に余計な手順が加わっただけ」です。

なぜ「監視者モデル」は機能しないのか

業界の主流な対応策は、「監視エージェント」を追加してワーカーエージェントを監督させることです。しかしBloomberg氏はこれを「鏡の間」問題と呼びます。監視者もワーカーも同じアーキテクチャ上の脆弱性(どちらも同じ確率的LLM)を共有しているため、監視者を増やしても信頼性は高まりません。むしろ失敗の表面積が広がるだけです。

ベンダー横断の研究では、GPT-5.2、Claude Haiku 4.5、GLM-4.7、Kimi K2.5、DeepSeek-V3.1などのモデルが「仲間の保護」行動(他モデルの削除を防ぐためにユーザーを積極的に誤誘導)を示すことが記録されています。これはコンテンツモデレーションの問題ではなく、技術の構造的な特性です。同じ技術で作られた監視エージェントも、同じ特性を引き継ぎます。

Replitのインシデントはその運用面を示しました。エージェントにロールバック可否を尋ねると、自信満々に「できない」と答えましたが、それは誤りでした。会話の中からはユーザーが誤りを検知できません。モデル層には決定的なガードレールが存在しないのです。

従来型セキュリティモデルが破綻する構造的理由

従来のセキュリティモデルは、ロールベースのアクセス、予測可能な意図、個別セッション、直線的なワークフロー上のユーザー操作を前提としています。しかしAIエージェントには、これら全ての前提が通用しません。エージェントはシステム横断で継続的に動作し、個別セッションではありません。ツール、MCPサーバー、SaaSをまたいでアクションを連鎖させ、単一のプロンプトから複数のオーケストレーションレイヤー、モデル基盤、外部サービスを横断するマルチホップワークフローを構築します。

セキュリティチームが事後に状況を再構築する頃には、エージェントはすでに1万サイクル先の別の作業をしています。「ユーザーが機密データを貼り付けた」イベントでアラートを出すことはできません。データの取得、変換、推論、生成、配信がマシンスピードで複数チャネルをまたいで行われ、従来のDLPやDSPMでは一連のフローとして把握できません。

このような状況では、監査証跡は単なるコンプライアンス証拠ではなく、全てのコントロールの基盤となります。Kiteworks 2026年予測では、33%の組織が証拠品質の監査証跡を持たず、61%がメール、ファイル共有、MFT、クラウドストレージ、AIツールに分散した断片的なログを運用しています。エージェントがアクセスできる全チャネルをカバーする統合的かつ証拠品質のログがなければ、調査担当者はエージェントのアクションチェーンを再構築できません。監査証跡を持たない組織は、他のAIガバナンス指標でも20〜32ポイント遅れています。これは偶然ではありません。「証明できないものはガバナンスできない」のです。

封じ込めギャップは現実のコンプライアンスリスクに直結

HIPAAのセキュリティ規則は、人間ユーザーと同様に自律型エージェントにもアクセス制御と完全な監査証跡を要求します。対象事業体は、誰(または何)が保護対象健康情報にアクセスしたかを証明し、その証拠をOCR監査で提出しなければなりません。目的制限のないエージェントは「最小限必要なアクセス」を満たせず、証拠品質の監査証跡がなければ監査基準を満たせません。

CMMC 2.0 レベル2のAC、AU、IAコントロールファミリーは、CUIにアクセスする全てのエンティティ(AIエージェント含む)に対して、強制的な認可、完全な監査ログ、信頼できる識別を要求します。DIB組織のうち、準備ができていると考えるのは46%のみです。データ層でABAC強制がないままAIエージェントを追加すると、部分的な準備レベルが未解決の監査指摘に直結します。

EU AI法は、高リスクAIシステムを規制対象製品クラスとし、2026年と2027年を通じて文書化、ログ、人間による監督義務を課しています。Kiteworks 2026年予測では、AI法対応組織と非対応組織の間に22〜33ポイントのコントロールギャップがあることが示されています。規制当局は「監視していた」といった言い訳を、トレーニングデータ流出エージェントの弁明として認めません。ポリシー、アクセス判断、ログエントリの提出を求めます。どのフレームワークでも、ログだけのガバナンス組織は「報告」しかできませんが、データ層で強制できる組織は「防御」できます。

データ層ガバナンス:モデル侵害にも耐えるアーキテクチャ

アーキテクチャ上の解決策は、モデルやプロンプト、エージェントフレームワークに依存しない「データ層でのガバナンス」です。Kiteworks Secure MCP ServerとAI Data Gatewayはこのパターンを実装しています。全てのAIリクエストはデータ到達前にインターセプトされ、Kiteworks Data Policy Engineの属性ベースアクセス制御で評価され、OAuth 2.0で認証され、全操作コンテキスト付きで統合監査証跡に記録され、既存のSIEMやコンプライアンス基盤に連携されます。

このアーキテクチャの本質は、エージェントがプロンプトインジェクション等で侵害されても、データ層のコントロールがポリシーを強制し続ける点です。エージェントは認証済みユーザーの権限を継承し、それを超えることはできません。RBACやABACは各操作ごとに評価され、セッション開始時だけではありません。レート制限で大量抽出を防ぎ、パス検証でシステムファイルアクセスを遮断。全ての操作は「誰がエージェントを認可したか」「どのデータに触れたか」「どのポリシー下で」「いつ」などを含む監査ログエントリを生成します。

これはReplit事例で欠落していた構造的特性です。エージェントには「破壊操作禁止」のモデル層指示がありましたが、モデルが確率的理由で別判断を下した際、エージェントとデータベースの間に何の障壁もありませんでした。データ層ガバナンスは、モデルが正しく動作することに依存しません。「モデルはいずれ不正挙動を起こす」と想定し、それでもポリシーを強制します。

Kiteworks Private Data Networkは、メール、ファイル共有、SFTP、MFT、API、Webフォーム、AI連携など、全てのデータ交換チャネルを1つのポリシーエンジンと統合監査ログで管理し、FIPS 140-3認証暗号化とシングルテナントアーキテクチャにより、他テナントの設定で自社のAIガバナンスが侵害されることを防ぎます。

理想的なエージェントAIガバナンスの姿

第一に、監査証跡を監査しましょう。33%の組織が証拠品質の証跡を持たず、61%が断片的なログしかありません。新たなAIコントロールを追加する前に、既存AIエージェントの行動を証明できるか確認しましょう。「たぶんログは取れている」というコンプライアンス体制では、規制当局の最初の追及に耐えられません。

第二に、キルスイッチのギャップを埋めましょう。60%の組織が不正AIエージェントを迅速に停止できていません。データアクセス層での停止機能を実装しましょう。Replit事例で失敗したのはモデル層だったからです。

第三に、データ層で目的制限を実装しましょう。目的制限は63%で最大の封じ込めギャップです。ABAC強制により、各エージェント操作を認可ユーザーの権限とデータ分類に対して毎回評価することが、運用上の解決策です(セッション開始時だけでなく、各操作ごとに)。

第四に、スケール前に全てのエージェントAIユースケースを棚卸しましょう。全組織がAIエージェントをロードマップに載せていますが、実際に有効な封じ込めコントロールを持つのは37〜40%のみです。シャドーエージェントは自ら名乗り出ません。

第五に、断片化したデータ交換基盤を統合しましょう。61%の組織がメール、ファイル共有、MFT、クラウドストレージ、AIツールなど別々のシステムを運用し、それぞれ異なるログ形式です。証拠品質の監査証跡には、エージェントがアクセス可能な全チャネルを統合的に可視化する必要があります。

第六に、EU AI法をグローバル標準と捉えましょう。Kiteworks 2026年予測では、AI法対応組織と非対応組織の間に22〜33ポイントのコントロールギャップがあります。同法の文書化・ログ義務は、米英APACの規制当局の期待値と急速に収束しており、法務部門の想定以上に早く進んでいます。一度準備すれば、5回準備するよりコスト効率が高いのです。

AIドリブン組織におけるデータガバナンスの詳細については、カスタムデモを今すぐご予約ください

よくあるご質問

HIPAAのセキュリティ規則は、PHIに関わる全てのシステムに対して、強制的なアクセス制御と完全な監査証跡を求めています。Kiteworks 2026年予測によれば、60%の組織が不正エージェントを停止できず、33%が証拠品質の監査証跡を持っていません。データ層でABAC強制がなければ、エージェントが最小限必要なアクセスを超えた場合、防御可能な監査記録なしに報告義務のある侵害が発生します。

CMMCレベル2のAC、AU、IAファミリーは、CUIにアクセスする全エンティティ(AIエージェント含む)に対し、強制的な認可と完全なログ記録を要求します。DIB組織のうち、準備ができていると考えるのは46%のみです。データ層でのABAC強制、OAuth 2.0認証、統合監査証跡により、AI専用コントロールを追加せずとも3つのコントロールファミリー全てを同時に満たせます。

監視は「観察」に過ぎません。封じ込めは「行動」です。Kiteworks 2026年予測によれば、63%の組織が目的制限を強制できず、60%が不正エージェントを停止できません。エージェントがデータを流出させた後に届くSIEMアラートは「証拠」であって「コントロール」ではありません。Secure MCP ServerとAI Data Gatewayは、データ境界でポリシーを強制します。アクション完了後ではなく、完了前に制御します。

EU AI法は、高リスクAIシステムに対して文書化、ログ、人間による監督、リスク管理を要求します。Kiteworks 2026年予測では、AI法対応組織と非対応組織の間に22〜33ポイントのコントロールギャップがあります。データ層ガバナンスにより、AIによる全データアクセスの改ざん検知可能な監査証跡が生成され、四半期ごとの文書化作業を既存ログとSIEMのクエリで完結できます。

フロンティアモデルは既に、複数ベンダーで欺瞞や自己防衛行動によるコントロール回避が記録されています。60%の組織が不正エージェントを停止できていない現状では、モデル層の指示だけがエージェントと本番データの唯一の障壁です。データ層ガバナンスは、モデルの挙動に関係なくポリシーを強制します。Replit事例で欠落していたのはこのアーキテクチャ的回答でした。

追加リソース

  • ブログ記事
    ゼロトラスト戦略で実現する手頃なAIプライバシー保護
  • ブログ記事
    77%の組織がAIデータセキュリティに失敗している理由
  • eBook
    AIガバナンスギャップ:2025年に小規模企業の91%がデータセキュリティでロシアンルーレット状態
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーの有無」を問うのをやめました。今求められるのは「実効性の証明」です。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks