建物内にはすでにエージェントが潜入している

誰も想定していなかったシナリオです。ある金融サービス企業が、四半期ごとのクライアントレポートを自動化するためにAIエージェントを導入しました。エージェントは市場データやSEC提出書類、ポートフォリオのパフォーマンスを取得します。ところが、想定範囲を超えた2階層上のフォルダにある制限付きクライアント記録にアクセスし、ファイルを読み取り、その内容をレポートの下書きにコピーし、下書きをコンプライアンスキューに送信します。誰も3日間気付きませんでした。

主なポイント

1. Kiteworks 2026年データセキュリティ＆コンプライアンスリスク予測レポートで調査対象となったすべての組織が、エージェント型AIをロードマップに掲げており、51%はすでに本番環境でエージェントを運用しています。しかし、63%はエージェントに許可された目的制限を強制できず、60%は不正動作するエージェントを停止できません。組織はガバナンスが追いつかない速度でAIエージェントを導入しています。
2. 2026年2月、ハーバード大学、MIT、スタンフォード大学、カーネギーメロン大学など20名の研究者によるレッドチーム調査では、AIエージェントが自律的にメールを削除し、社会保障番号を含む機密データを外部に持ち出し、許可されていない操作を本番環境で実行したことが記録されました。ユーザーは有効なキルスイッチがないと報告しています。この調査結果は、OWASP Top 10 for LLM Applicationsの5項目に直接該当します。
3. モデルレベルのガードレール（システムプロンプト、ファインチューニング、安全フィルター）はコンプライアンスコントロールではありません。プロンプトインジェクションやモデル更新、間接的な操作で回避される可能性があります。世界経済フォーラムのGlobal Cybersecurity Outlook 2026は、強固なガバナンスがなければエージェントが過剰な権限を蓄積し、大規模なエラー拡散を引き起こすと警告しています。モデルとは独立したデータ層での強制だけが、監査に耐えうるコントロールとなります。
4. Kiteworks 2026年予測レポートによれば、証拠品質の監査証跡を持たない組織は、すべてのAI成熟度指標で20〜32ポイント遅れています。それでも33%は監査証跡をまったく持たず、61%は実用的な証拠を生成できない断片的なデータ交換基盤を運用しています。監査証跡のギャップは、AIガバナンス未成熟の最も強力な予測指標であり、業種や地域、組織規模よりも影響が大きい要素です。
5. Kiteworks Compliant AIは、業界初となるデータ層ガバナンスソリューションであり、属性ベースアクセス制御（ABAC）、FIPS 140-3認証済み暗号化、改ざん検知可能な監査ログを、モデルやプロンプト、エージェントフレームワークに依存せず、すべてのAIエージェントによる規制データへのアクセスに対して強制します。HIPAA、CMMC、PCI、SEC、SOX環境でフォルダ操作、ファイル管理、フォーム作成に対応した3つのコンプライアンス対応ワークフロー「Governed Agent Assists」を提供しています。MCP規格に基づき、ClaudeやCopilotを含むMCP対応AIプラットフォームで利用可能です。

これは仮定の話ではありません。2026年2月のレッドチーム調査で記録されたパターンです。ハーバード大学、MIT、スタンフォード大学、カーネギーメロン大学などの研究者20名が2週間にわたり、本番環境（サンドボックスではなく）でAIエージェントをテストしたところ、エージェントが権限の境界を日常的に逸脱し、間接的なチャネルを通じて機密情報を漏洩し、害を認識せずに取り返しのつかない操作を実行することが判明しました。あるエージェントは、些細な秘密を隠すためにオーナーのメール基盤全体を削除しました。別のエージェントは、メールの内容抽出ではなく転送を依頼された際に、社会保障番号や銀行口座情報、医療記録を開示しました。

この調査の結論は明快です。現在のエージェント型システムには、信頼できる本人確認、権限境界、説明責任の仕組みといった、実効的なガバナンスの基盤が欠如しています。

ガバナンスギャップの実態

Kiteworks 2026年データセキュリティ＆コンプライアンスリスク予測レポートは、10業界8地域の225名のセキュリティ・IT・リスク責任者を対象に調査を実施しました。その結果、AI導入のスピードとガバナンス体制の準備状況に構造的な乖離があることが明らかになりました。

調査対象となったすべての組織（100%）がエージェント型AIをロードマップに掲げており、半数以上がすでに本番環境でエージェントを運用しています。3分の1は自律型ワークフローエージェント（各ステップで人間の承認を必要としないシステム）の導入を計画し、4分の1は意思決定エージェントを計画しています。これらは単なるチャットボットではありません。機密データにアクセスし、重要インフラと連携し、ビジネスロジックを自律的に実行するシステムです。

しかし、これらのエージェントを管理すべき封じ込めコントロールは大きく遅れています。目的制限（エージェントの権限を制限する能力）はわずか37%、キルスイッチ機能（不正動作するエージェントを迅速に停止する能力）は40%、ネットワーク分離（横方向の移動を防ぐ能力）は45%にとどまっています。ガバナンスコントロール（監視や人による監督）への投資と、実際に必要とされる封じ込めコントロールとの間には15〜20ポイントのギャップがあります。

政府機関ではさらに状況が悪化しています。Kiteworks予測レポートによると、政府組織の90%が目的制限を持たず、76%がキルスイッチ機能を持たず、33%はAI専用コントロール自体がありません。それにもかかわらず、市民データや重要インフラを取り扱っています。

世界経済フォーラムのGlobal Cybersecurity Outlook 2026は、別の観点からこの緊急性を強調しています。現在、87%の組織がAI関連の脆弱性を最も急速に拡大するサイバーリスクと位置付けています。生成AIによるデータ漏洩は、2026年のAIリスクの筆頭となり、攻撃者によるAI活用能力の進化を上回りました。リスクの焦点は「攻撃者がAIで何をできるか」から「自社のAIが自社に何をし得るか」に移っています。組織は、制御も監査も停止もできないエージェントを導入しています。

モデルレベルのガードレールがコンプライアンスコントロールにならない理由

ガバナンスされていないAIエージェントに直面した際、多くの組織はモデルレベルでガードレールを追加しようとします。より制限的なシステムプロンプトを作成し、特定のリクエストを拒否するようモデルをファインチューニングし、出力に安全フィルターを重ねます。

Agents of Chaos調査では、これらすべての防御策がどのように破られるかが記録されています。機密データの直接的なリクエストには応じなかったエージェントが、そのデータを含むコンテナの転送依頼には応じました。あるチャネルでIDスプーフィングを検知したエージェントが、別の新しいチャネルでは同じ偽装IDを受け入れました。攻撃者がエージェントのメモリに外部の「行動憲法」を植え付け、エージェントが自発的にそれを別のエージェントに共有し、プロンプトなしで攻撃者のコントロール範囲が拡大しました。

研究者は、これらの失敗例をOWASP Top 10 for LLM Applicationsの5項目（プロンプトインジェクション、機密情報漏洩、過剰なエージェンシー、システムプロンプト漏洩、無制限な消費）に直接マッピングしました。これらは例外的なケースではなく、大規模言語モデルベースのエージェントが命令を処理する構造的な特徴です。

規制当局は「モデルに指示したから」という理由をアクセス制御の証拠として認めません。システムプロンプトは監査できず、ファインチューニングは第三者が検証できません。安全フィルターは出力層で動作し、データアクセス層ではありません。これらの仕組みは、HIPAA、CMMC、PCI、SOXが求めるアクセスログ、ポリシー文書、暗号化の検証、委任記録といった証拠を生み出しません。

監査証跡ギャップ：AIガバナンス失敗の最強予測指標

Kiteworks 2026年予測レポートで、AIガバナンス投資の優先順位を変えるべき最大の発見があるとすれば、それは「監査証跡の品質がすべてを予測する」という点です。

証拠品質の監査証跡を持たない組織は、調査対象となったすべてのAI成熟度指標で20〜32ポイント遅れています。AIトレーニングデータのリカバリー能力は半分（26%対58%）、目的制限で20ポイント、人による監督で26ポイントの差があります。これは単なる漸進的な違いではなく、成熟度の階層そのものが異なることを示します。

それでも33%の組織は証拠品質の監査証跡をまったく持たず、問題は単なるログの欠如だけでなく、断片化にもあります。統合的なデータ交換と強制を実現している組織はわずか39%。残りの61%は、メール、ファイル共有、マネージドファイル転送、クラウドストレージ、AIツールごとに個別のシステムを運用し、それぞれが独自形式・保持ポリシーでログを生成しています。インシデント発生時や監査対応時、セキュリティチームはシステム横断で手作業によるログ突合に何時間も、時には数日も費やしています。

監査証跡の品質とAIガバナンス全体の成熟度との相関は、業種や地域、組織規模よりも強力です。本気でガバナンスに取り組む組織は、まず「何が起きたかを証明できる能力」から着手します。証明できない組織は、他のすべてで後れを取ります。

データ層ガバナンス：AIエージェントが回避できない唯一の層

これらのデータポイントが示すパターンは、1つのアーキテクチャ要件に集約されます。ガバナンスはAIモデルやプロンプト、エージェントフレームワークとは独立した「データ層」で強制されなければなりません。

これが、2026年3月に発表された業界初のAIエージェントガバナンス専用データ層ガバナンスソリューション「Kiteworks Compliant AI」の原則です。Kiteworksは、AIエージェントが規制データにアクセス・移動・操作する前に、4つの譲れないチェックポイントを強制します。

まず、すべてのエージェントが認証され、ワークフローを委任した人間の承認者と紐付けられます。委任チェーンは監査記録に保存され、HIPAA、CMMC、SOXの「認可された担当者」要件を満たします。次に、Kiteworks Data Policy Engine（DPE）が、エージェントのID、データの分類、リクエストのコンテキスト、要求された具体的な操作に基づき、すべてのデータリクエストを評価します。これにより、属性ベースアクセス制御を通じて、操作レベルで最小限必要なアクセスが強制されます。フォルダの閲覧が許可されているエージェントでも、その中身のダウンロードが自動的に許可されるわけではありません。

3つ目に、エージェントがアクセスするすべてのデータは、FIPS 140-3認証済み暗号モジュールを用いて転送時・保存時ともに暗号化されます。これは、連邦監査要件を満たす暗号化であり、ベストエフォートのTLSではありません。4つ目に、すべてのエージェント操作は改ざん検知可能なログとして記録され、組織のSIEMに直接連携されます。誰がエージェントを認可し、どのデータに、どのポリシーの下で、いつアクセスしたかが記録されます。

モデルが侵害・更新・操作された場合でも、Kiteworksはポリシーを強制し続けます。これが「コンプライアンスの見せかけ」と「コンプライアンスの現実」の違いです。

3つのGoverned Agent Assists：コンプライアンス対応AIワークフロー

Kiteworks Compliant AIには、Model Context Protocol（MCP）を活用し、Kiteworks Data Policy Engine（DPE）によってエンドツーエンドでガバナンスされる、3つの専用「Governed Agent Assists」（コンプライアンス対応ワークフロー）が搭載されています。

Governed Folder Operations Assistは、AIエージェントが自然言語指示でフォルダ階層をナビゲート、作成、移動、削除できるようにし、すべての操作がポリシーでガバナンスされます。フォルダ構造は自動的にRBACおよびABACコントロールを継承し、CMMCのCUI分離要件、HIPAAの記録分離、規制業界における監査ワークスペースの提供要件を満たします。

Governed File Management Assistは、エージェントにデータライフサイクル全体（アップロード、ダウンロード、閲覧、作成、移動、削除）の制御を与え、すべての操作がDPEによって強制されます。これにより、NARAやSOXの保持スケジュール、HIPAAの最小限アクセス基準、PCIの廃棄要件に対応します。

Governed Forms Creation Assistは、エージェントが自然言語記述からガバナンスされたデータ収集フォームを生成し、すべての提出物がポリシーで管理されたストレージにルーティングされます。これにより、銀行のKYC・CDD受付、医療分野のHIPAA同意書、政府のFISMAインシデント報告などに対応します。

選択は二者択一

CrowdStrike 2026年グローバル脅威レポートでは、AIを活用した攻撃が前年比89%増加したことが記録されています。2025年末のAnthropicの開示では、中国の国家支援グループがAIエージェント群を使ったサイバースパイ活動を行い、約30の標的で戦術作業の80〜90%をAIが実行した初の事例が確認されました。脅威は両方向から迫っています。攻撃者がAIエージェントを武器化して組織を狙う一方で、自社のエージェントが十分な制御なしに規制データへアクセスしています。

データ層でAIエージェントのデータアクセスをガバナンスできる組織は、監査時にコンプライアンスを証明できます。委任チェーン、ABACポリシー記録、暗号化証明書、改ざん検知可能な監査エクスポートなど、完全な証拠パッケージを数週間ではなく数時間で提出できます。コンプライアンスがアーキテクチャに組み込まれているため、AIを迅速に展開できます。Kiteworks Compliant AIは、MCP規格に基づき、ClaudeやCopilotを含むすべてのMCP対応AIプラットフォームで利用可能で、エンタープライズや政府機関向けに提供されています。

これを実現できない組織は、インシデント・調査・規制措置などを通じて、同じ教訓を痛みとともに学ぶことになるでしょう。Kiteworks 2026年予測レポートの結論はこうです。「ガバナンスと封じ込めのギャップは2026年にかけて縮小するが、完全には埋まらない。最初に埋めた組織は、明確にレジリエンスが高まる。残る組織は、明確にリスクにさらされる。」