Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > エージェンティックAIセキュリティのパラドックス:AIを組織防御に導入することが最大の脆弱性になる理由

エージェンティックAIセキュリティのパラドックス:AIを組織防御に導入することが最大の脆弱性になる理由

by Tim Freestone updated 2月 25, 2026 サイバーセキュリティー・リスク管理
Reading Time: 12 minutes

ほとんど誰も語らない落とし穴があります。

セキュリティチームは、AIによる攻撃に対抗するためにAIエージェントを必要としています。しかし、そのエージェントを導入することで、まさに防ごうとしているデータ露出リスクが発生します。

これは仮定ではなく、実際の調査結果です。Ivantiの2026年サイバーセキュリティレポート:分断を埋めるは、世界中の1,200人以上のサイバーセキュリティ専門家の知見をもとに、87%のセキュリティチームがエージェンティックAIの導入を優先事項と考えていることを明らかにしています。77%は自律型システムが人のレビューなしで動作することに抵抗がないと回答。AIによる防御への期待は非常に大きいのです。

しかし、同じレポートはその裏側も明らかにしています。組織はAIを安全に運用するためのプロセスやスキルを持ち合わせていません。脅威の増大、アラート疲労、人材不足、ツールの分断化によるAI導入の急速な進展が、必要なガバナンスを追い越し、AIが解決すべきだった問題そのものを新たに生み出しています。

IvantiのCSOであるDaniel Spicerはこれを「サイバーセキュリティ対応力の赤字」と表現しています。これは、組織が直面する脅威とそれに対抗する能力との間のギャップが年々拡大し続けているということです。本来、AIはこのギャップを埋めるはずでしたが、ガバナンスがなければ、むしろギャップは広がります。

5つの重要なポイント

  1. 87%のセキュリティチームがエージェンティックAIを優先—しかし安全に運用できていない。 Ivantiの2026年サイバーセキュリティレポート(世界中の1,200人以上のサイバーセキュリティ専門家を調査)は、87%のセキュリティチームがエージェンティックAIの導入を優先事項と考えていることを示しました。しかし同じレポートは、ほとんどの組織がAIエージェントを安全に導入するためのプロセスやスキルを欠いているという重大なギャップも明らかにしています。意欲が準備を大きく上回っています。
  2. セキュリティAIエージェントは組織内で最も危険なデータへのアクセスが必要。 効果的に機能するためには、セキュリティAIエージェントはセキュリティログ、脆弱性スキャン結果、脅威インテリジェンス、ID・アクセスデータ、ネットワークトポロジー、インシデント対応記録へのアクセスが必要です。これは攻撃者が組織の防御体制全体を把握するために利用する情報そのものです。ガバナンスなしにAIエージェントへこのデータへのアクセスを許可するのは、見知らぬ人に金庫の設計図を渡すようなものです。
  3. サイバーセキュリティ対応力の赤字は拡大している。 Ivantiは「サイバーセキュリティ対応力の赤字」を指摘しています。これは、組織が直面する脅威とそれに対抗する能力との間のギャップが年々拡大しているということです。すでに77%の組織がディープフェイク攻撃の標的となっており、しかし「十分に備えている」と考えるのはわずか27%。リスク認識と実際の備えの間には21ポイントのギャップがあります。
  4. ITとセキュリティチームが対立している。 セキュリティ専門家の約半数(48%)が、ITチームはサイバーセキュリティ上の懸念に緊急対応しないと回答し、40%はITが組織のリスク許容度を理解していないと考えています。AIエージェントにはITとセキュリティの連携によるクロスファンクショナルなガバナンスが必要なため、この分断は特に深刻です。
  5. バーンアウト(燃え尽き症候群)はシステム的な脆弱性—単なる人の問題ではない。 43%のセキュリティ専門家が高ストレスを訴え、79%が心身の健康に悪影響があると回答。熟練人材の不足がサイバーセキュリティの最大の障壁です。安全にAIエージェントをガバナンスするはずの人材が、すでに限界に達しています。

セキュリティAIエージェントが本当に必要とするアクセス権—そしてなぜそれが脅威なのか

セキュリティAIエージェントが業務を遂行するために必要なものを考えてみてください。会議メモを要約する生産性向上チャットボットでも、メール文案を作成するマーケティングツールでもありません。脅威検知、インシデント対応、脆弱性管理のために設計されたセキュリティエージェントです。

このエージェントには、セキュリティログやSIEMデータ(ファイアウォールログ、侵入検知アラート、認証ログ、エンドポイントのテレメトリ)へのアクセスが必要です。これが漏洩すれば、攻撃者は組織が何を検知でき、何を検知できないかを把握します。脆弱性スキャン結果(未修正システム、設定ミス、悪用可能な弱点)も必要です。これが漏洩すれば、攻撃者にとって完全な攻撃ロードマップとなります。脅威インテリジェンス(侵害指標、戦術・手法、インシデント対応プレイブック)も必要です。これが漏洩すれば、防御能力や盲点が攻撃者に知られます。ID・アクセスデータ(ユーザーアカウント、特権認証情報、アクセスパターン、認証方式)も必要です。これが漏洩すれば、認証情報窃取や権限昇格の経路が明らかになります。さらにネットワークトポロジー(ネットワーク図、重要システム、データフロー図、セグメント境界)も必要です。これが漏洩すれば、攻撃者は完全な攻撃対象領域を把握できます。

これがIvantiの調査結果の核心にあるパラドックスです。87%のセキュリティチームは、AIエージェントにこれら最も機密性の高いデータへのアクセスを与え、脅威検知と対応を強化したいと考えています。しかし多くの組織は、それを安全に実現するガバナンスを持ち合わせていません。そのため、本来防ぐべき露出リスクを自ら生み出してしまいます。

もしセキュリティAIエージェントが侵害されたり、設定ミスがあった場合、単に顧客情報や財務データが漏れるだけではありません。組織の防御体制全体が露呈します。攻撃者がセキュリティエージェントを侵害すれば、検知できること・できないこと、脆弱なシステム、インシデント対応方法など、「王国の鍵」を手に入れることになります。過去の侵害事例から学び、今後の攻撃をより巧妙にすることも可能です。

自社のセキュリティは万全だと信じていますか。本当に証明できますか

Read Now

デュアルAIエージェントの課題:ビジネスリスクとセキュリティリスクの交錯

Ivantiのレポートが発表された今、組織はすでにビジネス側でAIエージェントのガバナンスに苦慮しています。MicrosoftのCyber Pulseレポートは、フォーチュン500企業の80%以上がAIエージェントを導入しており、「一部の企業が把握できるよりも速いペースで拡大している」と警告しています。Proofpointの2025年データセキュリティランドスケープレポートは、多くの組織が可視性やコントロールを持たない「エージェンティックワークスペース」を指摘。さらにProofpointの調査では、32%の組織が監督されていないAIエージェントのデータアクセスを重大な脅威とみなしています。

ここにもう一つの課題が加わります。組織は同時に、セキュリティ運用(脅威検知、インシデント対応、脆弱性管理)向けのAIエージェントも導入しており、全く異なるデータアクセス要件とリスクプロファイルを持っています。

ビジネスAIエージェントは顧客データ、財務情報、知的財産、契約書にアクセスします。リスクは、パブリックAIモデルへのデータ流出、シャドーAI、プロンプトインジェクションです。セキュリティAIエージェントはログ、脅威インテリジェンス、脆弱性、ID、ネットワーク構成にアクセスします。リスクは、セキュリティ体制全体の露出、攻撃対象領域の可視化、認証情報の漏洩です。

問題を複雑にしているのは、多くの組織が両領域でAIエージェントを導入しているにもかかわらず、どちらにも統一的なガバナンスが存在しないことです。ビジネス側にもガバナンスのギャップがあり、セキュリティ側にも独自のギャップがあります。そして両者はほとんど連携していません。Ivantiのデータでも、48%のセキュリティ専門家が「ITはサイバーセキュリティ上の懸念に緊急対応しない」、40%が「ITは組織のリスク許容度を理解していない」と回答しています。

アラート疲労、人材不足、自動化への圧力

Ivantiのレポートは、なぜセキュリティチームがエージェンティックAI導入を急ぐのか、そしてそのスピード自体がリスクを生む理由を明確に説明しています。

アラート疲労がセキュリティ運用を圧迫。 チームは膨大なアラートのトリアージ、調査、対応に追われています。92%が自動化によって平均対応時間が短縮されると回答。アラートをトリアージし、脅威インテリジェンスを関連付け、対応を優先できるAIエージェントは、もはや贅沢品ではなく「命綱」です。しかし、溺れているときは、投げられたロープの安全性を確認する余裕はありません。

人材不足が状況を悪化させている。 Ivantiの調査によれば、熟練人材の不足がサイバーセキュリティの最大の障壁です。43%のセキュリティ専門家が高ストレス、79%が心身の健康に悪影響があると回答。人が足りず、残された人も燃え尽きている状況では、十分なガバナンスなしにAIエージェントへ業務を委ねたくなる誘惑が強まります。人材不足は単なる人員の問題ではなく、ガバナンスの問題も生み出します。なぜなら、本来AIの安全な導入を担う人材が、すでに手一杯だからです。

ツールの分断化が課題をさらに複雑に。 セキュリティAIエージェントは、SIEM、EDR、脆弱性スキャナー、脅威インテリジェンスプラットフォームなど、複数のツールをまたいでデータにアクセスする必要がありますが、それぞれ異なるアクセス制御や監査機能を持っています。Ivantiのレポートは、この分断化がAI主導の自動化の障壁であると指摘。ツールが分断されていると、ガバナンスも分断されます。各ツールごとにポリシーエンジン、ログ形式、アクセスモデルが異なり、AIエージェントがそれらを横断して動作すると、ガバナンスのギャップが増大します。

その結果、Ivantiのデータが明確に示すように、セキュリティチームは圧力の下、十分なプロセスなしにAIエージェントを急速に導入しています。ビジネス側と同様、導入が準備を大きく上回っています。

AIエージェントへの攻撃はすでに現実

ガバナンスのギャップがコンプライアンス上の懸念だけなら、それでも十分深刻ですが、実際には脅威はすでに現実化しています。

Trend MicroによるAIエージェントの脆弱性調査では、画像や文書に埋め込まれた隠れた指示によってマルチモーダルAIエージェントが操作され、ユーザーの操作なしに機密データが流出することが実証されました。攻撃対象となるカテゴリは、個人データ、財務情報、保護対象保健情報、企業秘密、認証情報、アップロードされた機密文書などです(Trend Microエグゼクティブブリーフ)。

arXivの研究者は、RAGベースのAIエージェントに対するエンドツーエンドの攻撃を構築しました。悪意のあるWebページに隠れた指示を埋め込むことで、エージェントが内部ナレッジベースから秘密情報を取得し、攻撃者が管理するサーバーへ送信させることに成功しました—しかもエージェント自身の正規のWeb検索ツールを流出経路として利用しています。彼らの結論は、現行のツール利用やRAGを持つLLMエージェントは「間接的プロンプトインジェクション」に対して本質的な脆弱性があり、モデル内蔵の安全機能だけでは防御が不十分だというものです。

これらの攻撃手法をセキュリティAIエージェントに適用した場合を考えてみてください。脆弱性スキャン結果にアクセスできるエージェントがプロンプトインジェクションで操作されれば、未修正システムのリスト全体が攻撃者に送信される可能性があります。インシデント対応プレイブックにアクセスできるエージェントが悪意のあるプラグインで侵害されれば、組織の対応手順がすべて漏洩し、攻撃者にとって回避マニュアルとなります。IDデータにアクセスできるエージェントが侵害されれば、特権認証情報や権限昇格経路が露呈します。

これはもはや推測ではありません。攻撃手法は実証済みです。セキュリティAIエージェントがアクセスする必要があるデータは、攻撃者が最も狙うデータそのものです。唯一欠けているのはガバナンスですが、Ivantiのレポートは多くの組織にそれがないことを示しています。

77%がすでにディープフェイク被害。準備できているのは27%。そこにAIエージェントが加わる。

Ivantiのレポートは、AIエージェントのガバナンス問題と直接交差するもう一つの側面を明らかにしています。77%の組織がすでにディープフェイク攻撃の標的となっており、半数以上がディープフェイク技術を使った高度で個別化されたフィッシングに直面しています。48%が合成デジタルコンテンツを重大な脅威と認識している一方、「十分に備えている」と答えたのはわずか27%。認識と備えの間には21ポイントのギャップがあります。

セキュリティ専門家のうち、自社のCEOがディープフェイクを確実に見抜けると自信を持つのはわずか30%。このような環境下で、組織は自律型AIエージェントに広範な機密システムへのアクセスを与えています。

重要なのは、この「収束」です。AIによる攻撃はますます巧妙化し、セキュリティチームはAIエージェントで対抗しようとしています。そのエージェントは組織内で最も機密性の高いセキュリティデータへのアクセスが必要です。しかし、それらすべてを安全に保つためのガバナンスは、多くの組織でまだ整備されていません。

セキュリティAIエージェントのガバナンスに本当に必要なもの

MicrosoftのCyber Pulseレポートは、エージェントにもゼロトラストを適用すること—つまり人間ユーザーと同じ原則(最小権限アクセス、「誰・何」がアクセスを要求しているかの明示的な検証、侵害を前提とした設計思想)—が正しいアプローチだとしています。セキュリティAIエージェントの場合、これは具体的かつ絶対的な要件となります。

セキュリティAIエージェントは、直接データベース接続ではなく、ガバナンスされたゲートウェイ経由で脅威データにアクセスしなければなりません。脅威検知エージェントが脆弱性スキャン結果にアクセスする必要はありません。アラートトリアージエージェントがネットワークトポロジーにアクセスする必要もありません。すべてのエージェントは、その機能に必要な最小限のデータだけにアクセスすべきです。それ以上は不要。すべてのリクエストはデータアクセス前に認証・認可され、すべてのやり取りは不変の監査証跡に記録され、どのデータにいつアクセスし、エージェントが何をしたかを正確に再現できる必要があります。

サンドボックス化された実行環境も不可欠です。AIエージェントは、侵害された場合でも横方向への移動を防ぐ隔離環境で動作しなければなりません。DLP制御により、ログ・脆弱性スキャン・脅威インテリジェンスなどのセキュリティデータが外部AIサービスへ流出するのを防ぐ必要があります。異常検知により、通常は扱わない脆弱性データの一括ダウンロードなど、異常なアクセスパターンを即座に検知することも重要です。

そして何より、ビジネスAIとセキュリティAIの両方に対して統一的なガバナンスが必要です。生産性向上エージェントとセキュリティエージェントで別々のガバナンスフレームワークを運用すると、Ivantiが指摘する分断化と同じ問題が生じます。1つのプラットフォーム、1つのポリシーエンジン、1つの監査証跡—機能を問わず、すべてのAIエージェントをカバーする必要があります。

Kiteworksのプライベートデータネットワークは、このガバナンスレイヤーを提供します。AIデータゲートウェイがAIシステム(セキュリティAIエージェントを含む)と企業データの間にゼロトラストの橋を構築し、機密情報が保護環境外に出ることを防ぎます。Secure MCP Serverは、OAuth 2.0認証、異常検知、既存ガバナンスフレームワークの強制によってAIエージェントの実行をサンドボックス化します。また、統一されたマルチチャネルガバナンスにより、ファイル共有、マネージドファイル転送、メール、Webフォーム、API、AIインタラクションを単一のポリシーエンジンと不変の監査証跡で管理します。

特にセキュリティAIエージェントの場合、脅威検知エージェントはアラートデータへのガバナンスされたアクセスのみ許可され、脆弱性スキャンやネットワークトポロジーにはアクセスできません。インシデント対応エージェントは必要なデータだけにアクセスし、すべてが記録・監査可能です。万が一エージェントが侵害されても、どのデータが露出したかを正確に再現でき、規制当局や監査人も納得する法医学レベルの証拠が残ります。

リスクは単なるデータ侵害以上

AIガバナンスの失敗による経済的損失は、すでに多くの事例で明らかです。平均的なデータ侵害の損失額は488万ドル、ヘルスケア分野では1,093万ドルに上ります(IBMデータ侵害コストレポート2024)。EU AI法違反の罰金は最大3,500万ユーロまたは全世界売上高の7%、GDPR違反は2,000万ユーロまたは売上高の4%です。

しかし、セキュリティAIエージェントが侵害された場合、損害は単なる侵害コストを超えます。攻撃者が脆弱性スキャン結果にアクセスできれば、システムの弱点を探る必要すらありません—すでにリストを持っているからです。インシデント対応プレイブックを入手すれば、防御を回避するための攻撃設計が可能です。ネットワークトポロジーを取得すれば、境界突破前から横方向移動の計画が立てられます。

これは単なるデータ侵害と、戦略的な完全侵害との違いです。そして、ガバナンスなしにAIエージェントを導入することで、87%のセキュリティチームがこのリスクを抱えています。

セキュリティAIエージェント導入時の3つの優先事項

第一に、セキュリティAIエージェントにも人間ユーザーと同等以上の厳格さで最小権限アクセスを適用すること。 アラートトリアージエージェントはアラートデータのみ、脆弱性管理エージェントは脆弱性データのみアクセスできるようにします。相互の領域にはアクセスさせません。すべてのセキュリティAIエージェントのデータ要件を最小限にマッピングし、モデル内蔵の安全機能への信頼ではなく、ガバナンスされたデータゲートウェイで境界を強制します—複数の研究者が内蔵機能だけでは不十分であることを示しています。

第二に、ビジネスAIとセキュリティAIのガバナンスを単一プラットフォームで統合すること。 Ivantiのレポートは、ツールの分断化が効果的なセキュリティ自動化の障壁であると指摘しています。AIガバナンスの分断化はさらに深刻です。生産性向上エージェントとセキュリティエージェントで別々のポリシー、監査証跡、アクセス制御を運用すると、攻撃者が狙う「継ぎ目」に死角が生まれます。組織内のすべてのAIエージェントを単一のポリシーエンジン、単一の監査証跡、単一の可視化レイヤーで管理することが唯一スケーラブルなアーキテクチャです。

第三に、AIエージェント侵害に備えたインシデント対応能力を事前に構築すること。 セキュリティAIエージェントが侵害された場合、どのデータにアクセスしたかを再現できますか?脆弱性スキャン、脅威インテリジェンス、IDデータが流出したかを特定できますか?規制当局に、エージェントが侵害前まで承認された範囲内で動作していたことを証明できますか?不変の監査ログ、SIEM連携、証拠保管の連鎖(Chain of Custody)文書化は必須です—AIインシデント対応の基盤となります。

Ivantiのレポートは、サイバーセキュリティの緊張が高まる瞬間を捉えています。セキュリティチームは、脅威の増大、人材不足、燃え尽き、対応力の赤字拡大という並外れたプレッシャーにさらされています。エージェンティックAIは確かに前進の道を提供します。しかし、それが組織最大のインサイダー脅威とならないためには、ガバナンスの整備が不可欠です。

エージェンティックAIを優先する87%の選択は正しいと言えます。問題は、それが自社データを「間違った相手」に守られる前に、きちんとセキュリティを確保できるかどうかです。

Kiteworksがどのように支援できるか、カスタムデモを今すぐご予約ください

よくあるご質問

ビジネスAIエージェントは通常、顧客情報、契約書、財務データなどにアクセスします—確かに価値は高いですが、範囲は限定的です。一方、セキュリティAIエージェントは、SIEMデータ、脆弱性スキャン結果、インシデント対応プレイブック、ID・アクセスデータ、ネットワークトポロジーなど、機能するためにより広範なデータへのアクセスが必要です。もしセキュリティエージェントが侵害されたり、プロンプトインジェクションで操作された場合、攻撃者は単に機密情報を入手するだけでなく、防御体制全体(検知可能なもの、未修正システム、インシデント対応方法など)を把握できます。セキュリティエージェントが侵害された場合の被害範囲は、根本的に大きくなります。

このパラドックスは、セキュリティチームが高度なAI攻撃に対抗するために必要とするAIエージェントが、組織内で最も機密性の高いセキュリティデータへの広範なアクセスを必要とする—つまり、侵害された場合に壊滅的な標的となるデータそのものを扱う必要がある点にあります。Ivantiの2026年レポートでは、87%のセキュリティチームがエージェンティックAIを優先していますが、多くは安全に導入するためのガバナンスプロセスを持ちません。導入を急ぐ要因(アラート疲労、人材不足、脅威の増大)は、安全な導入をより困難にしています。スピードとプレッシャーこそが、AIエージェントを安全に運用するためのガバナンスの敵なのです。

プロンプトインジェクションは、AIエージェントが処理するコンテンツ(文書、Webページ、データフィードなど)に隠れた指示を埋め込み、元のプログラムを上書きします。Trend Microはユーザー操作なしでこれが可能であることを実証し、arXivの研究者はRAGベースのエージェントのWeb検索ツールを流出経路として利用した実働エクスプロイトを構築しました。脆弱性データや脅威インテリジェンスにアクセスできるセキュリティエージェントでこれが成功すれば、被害は壊滅的です。モデル内蔵の安全機能だけでは不十分であり、防ぐにはゼロトラストアクセスを強制するガバナンスされたデータゲートウェイ、サンドボックス化されたエージェント実行、アウトバウンドデータフローへのDLP制御が必要です。

AIエージェントへのゼロトラスト適用とは、すべてのエージェントを個別の非人間IDとして扱い、各データリクエストごとに明示的な認証を要求することです。アクセス範囲は、エージェント固有のタスクに必要な最小限のデータに限定されます—例えば、脅威検知エージェントはアラートデータのみ、脆弱性スキャンやネットワーク図にはアクセスしません。すべてのやり取りは不変の監査証跡に記録されます。サンドボックス化された実行により、侵害時の横方向移動を防止。異常検知により、大量データリクエストや想定外の宛先への送信などを機械的に検知します。重要なのは、アクセス制御をAIモデル自身の判断ではなく、データ層でガバナンスされたゲートウェイを通じて強制することです。

AIインシデント対応計画では、次の3つの問いに迅速に答えられることが求められます:侵害されたエージェントがどのデータにアクセスしたか、その一部が環境外に流出したか、侵害前にエージェントが承認された範囲内で動作していたことを規制当局に証明できるか。不変の監査ログ(ユーザーID、タイムスタンプ、アクセスデータ、実行アクション)で全エージェントのデータ操作を記録し、SIEM連携によるリアルタイムアラート、証拠保管の連鎖(Chain of Custody)文書化を組み合わせることが必要です。侵害前にこのインフラを構築していれば、インシデントを封じ込め、記録できます。後から構築する場合は、暗闇の中でフォレンジック調査を行うことになります。

追加リソース

  • ブログ記事 ゼロトラストアーキテクチャ:信頼せず、常に検証
  • 動画 Microsoft GCC High:防衛請負業者がよりスマートな優位性を求める理由
  • ブログ記事 DSPMで機密データが検出された後のセキュリティ対策
  • ブログ記事 ゼロトラストアプローチで生成AIへの信頼を構築する方法
  • 動画 ITリーダーのための機密データ安全保管ガイド

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks