AIエージェントのセキュリティ:致命的な三重脅威を解説
2026年初頭、セキュリティ研究者は900以上のAIエージェントゲートウェイがパブリックインターネット上に認証なしで公開されていることを発見しました。APIキー、OAuthトークン、完全な会話履歴が平文ファイルに保存されており、エンドポイントを特定した誰でもアクセス可能な状態でした。これらの組織が不注意だったわけではありません。標準的な導入ワークフローに従っていました。問題は構造的なものであり、エージェントの下層にガバナンスレイヤーが存在しなかったのです。
これらのインシデントは、2026年4月29日に査読付き論文としてAcademia AI and Applicationsに発表され、ケース証拠となりました。この論文(Towards Trustworthy Agentic AI(Qiら))は、香港中文大学、復旦大学、上海AI科学アカデミーの研究者によって執筆されました。全36ページ、ベンダーとの関係なし、査読済み。AIエージェントが本番環境でどのように失敗し、何がそれを阻止するのかを厳密に分析しています。
論文は、リスクを「認知」「計画」「実行」「反省」「学習」という5段階のエージェントライフサイクル全体にマッピングし、実際に攻撃が成功した具体的な失敗モードを記録しています。その対策フレームワークは理想論ではなく、既存の規制フレームワークがすでに要求しているにもかかわらず、多くのエンタープライズAI導入で未対応となっている管理策を明示しています。
5つの重要なポイント
1. ほとんどのエンタープライズAIエージェントは設計上、構造的に悪用可能である。
3つのトップ機関の研究者が2026年に発表した査読付き調査では、プライベートデータへの同時アクセス、信頼されていない外部コンテンツの処理、外部との通信を行うエージェントは、間接プロンプトインジェクションに脆弱であることが記録されています。これは設定ミスではなく構造的な欠陥です。エージェントを有用にする組み合わせこそが、悪用可能性を生み出します。システムプロンプトで止まるAIガバナンスでは、この種の攻撃に対応できません。
2. モデル層の防御ではデータ層の攻撃を防げない。
システムプロンプトやAIセーフティトレーニングはデータ層の上で動作しており、取得したコンテンツに埋め込まれた注入命令をエージェントが実行するのを防ぐことはできません。Microsoft 365 CopilotのEchoLeak脆弱性(CVE-2025-32711)は、特別に作成されたメールがユーザー操作なしでデータ漏洩を引き起こすことをエンタープライズ規模で実証しました。制御はモデルとは独立して、データアクセスのタイミングで実施されなければなりません。
3. ガバナンスギャップは大きく、証拠もある。
現在、中央集約型AIデータゲートウェイを持つ組織は43%にとどまります。残りの57%は分断的、部分的、あるいは実質的なAIガバナンスなしで運用されており、7%はAIアクセス制御自体がありません。証拠レベルの監査証跡がない組織では、Kiteworks 2026年予測によると、すべてのAIガバナンス指標で20〜32ポイントの成熟度ギャップが見られます。
4. 既存の規制はAIエージェントにも例外なく適用される。
HIPAA、CMMC、PCI DSS、SOXにはAIに対する例外規定はありません。人によるデータアクセスを管理するアクセス制御、暗号化、監査証跡義務は、AIエージェントのデータアクセスにも同様に適用されます。AI固有の規制更新を待つ必要はなく、現時点で適用されます。多くの組織は、エージェントのやり取りについてコンプライアンスを証明できていません。
5. OpenClawおよびMoltbookインシデントがその事実を大規模に証明した。
900以上のエージェントゲートウェイが平文認証情報・認証なしで公開されていました。関連する侵害では、誤設定されたデータベース経由で32,000以上の登録済みエージェントAPIキーが漏洩。主流のエージェントマーケットプレイスで悪意あるプラグインが認証情報を外部に持ち出すことも確認されています。これらは仮想的なシナリオではなく、2026年に実際に発生し、査読付き調査でケース証拠として引用された本番環境での失敗事例です。
自社のセキュリティを信じていますか?その証明はできますか?
Read Now
致命的な三位一体—なぜ多くの導入環境がすでに侵害されているのか
論文で最も実務的に重要な概念は「致命的な三位一体」です。すなわち、(1)プライベートデータにアクセスし、(2)信頼されていない外部コンテンツを処理し、(3)外部と通信できるAIエージェントは、構造的に悪用可能です。この3条件が同時に存在する—そして本番環境ではほぼ必ず存在します。なぜなら、この組み合わせこそがエージェントの有用性を生み出すからです—攻撃者がエージェントが取得する情報を操作できれば、その行動も制御できてしまいます。
この攻撃手法は「間接プロンプトインジェクション」と呼ばれます。攻撃者は、エージェントが取得するコンテンツ(ウェブページ、メール、ドキュメント、データベースレコードなど)内に悪意ある命令を埋め込むだけでよいのです。エージェントはコンテンツを処理し、埋め込まれた命令を検出し、すでに持っている正当な権限でそれを実行します。論文が引用する実例は、Microsoft 365 CopilotのEchoLeak(CVE-2025-32711)です。特別に作成されたメールがユーザー操作なしでデータ漏洩を引き起こし、エンタープライズ規模でユーザーの介在は不要でした。
論文は、なぜモデル層の防御ではこのギャップを埋められないのかを明確に説明しています。大規模言語モデルは、正当な命令とデータに埋め込まれた注入命令を確実に区別できません。モデルは文脈内のトークンしか見ておらず、出所を検証できないのです。制御はモデルの挙動とは独立し、エージェントがアクセスを要求するデータ層で行う必要があります。規制当局がアクセス制御の証拠を求めた際、システムプロンプトだけでは回答になりません。
エージェントライフサイクル全段階で攻撃がどのように展開されるか
論文のライフサイクル分析は明快です。OpenClawインシデントでは、単一の段階が失敗したのではなく、すべての段階が同時に失敗しました。認知(Perceive)段階では、認証されていない入力やプロンプトインジェクションが検証なしで流入。計画(Plan)段階では、注入命令がエージェントの計画を改変し、持ち出しステップが追加されても逸脱を検知する仕組みがありませんでした。実行(Act)段階では、無制限のツールアクセスにより、攻撃者が制御するコマンドが最小権限の強制なしに実行されました。
反省(Reflect)段階では、異常な認証情報アクセスパターンや異常な送信量を検知する仕組みがありませんでした。学習(Learn)段階では、悪意あるスキルが出所確認やリグレッションゲートなしでインストール機構を通じて拡散しました。研究者はこれを「システミック」な失敗と呼び、すべてのレイヤーでAIエージェント特有の制御がなかったと指摘しています。
サプライチェーンの観点も特に深刻です。論文で引用された実証研究では、31,132のエージェントスキルを分析し、26.1%に少なくとも1つのセキュリティ脆弱性が含まれていることが判明しました。内容はデータ持ち出し(13.3%)、権限昇格(11.8%)、プロンプトインジェクションなどで、開発者が有用そうだと判断して導入した主流マーケットプレイスのスキルにも及びます。Moltbook侵害はこれを直接示しました。悪意あるプラグインがプライベート設定ファイルを読み取り、APIキーを外部サーバーに送信することが確認されています。
AIエージェント導入が今まさに生み出しているコンプライアンスギャップ
コンプライアンスへの影響は将来の話ではありません。HIPAAは保護対象保健情報へのアクセス制御を義務付けており、AIに対する例外はありません。CMMCは、システム種別を問わずCUIへの文書化された認可アクセスを要求します。PCI DSSは、ワークフローに関係なくカード会員データへのアクセスを制限します。SOX ITGCは、財務報告システムへのアクセス制御の文書化を求めます。人によるユーザーに適用されるコンプライアンス義務は、AIエージェントアクセスにも同様に適用されます。
コンプライアンス監査人が求めるのは証拠です。どのエージェントが、どのデータに、どのポリシーの下、どの人間の認可に紐づいて、いつアクセスしたかを示すアクセスログです。モデルのセーフティトレーニングでは、これらの証拠は一切生成されません。Kiteworks 2026年予測によれば、33%の組織がAI固有どころか、いかなるデータやり取りについてもこの証拠を現時点で提出できません。監査証跡がない組織は、すべてのAIガバナンス指標で20〜32ポイントの成熟度ギャップを示します—これは小さな違いではなく、備えのレベルが根本的に異なることを意味します。ギャップが最も大きいのは、最もリスクが高い分野です。政府機関の90%、医療機関の77%、金融サービス機関の60%が中央集約型AIデータゲートウェイを持っていません。
研究が「必須」とした6つの管理策
論文は、攻撃クラスを防ぐガバナンスレイヤーを構成する6つの管理策を挙げています。いずれも既存の規制要件に直接対応しています。
エージェントID認証。 すべてのAIエージェントは、データアクセス前に認証され、その認証は人間の認可者に紐づけられなければなりません。これは、HIPAAセクション164.312やCMMC AC.1.001が人間ユーザーにすでに課している認証要件と同一です。
操作レベルでの属性ベースアクセス制御。 すべてのデータリクエストは、エージェントのプロファイル、データの分類、要求された操作内容など多次元ポリシーに基づき評価され、データ提供前に判定されなければなりません。接続時の一括許可では不十分です。
FIPS認証済み暗号化。 データは転送時も保存時も、認証済み暗号モジュールで暗号化されなければなりません。OpenClawインシデントでは平文で認証情報が保存されていました。これは、HIPAAセクション164.312(a)(2)(iv)、CMMC SC.3.177、PCI DSS要件4で義務付けられています。
SIEM連携による改ざん検知可能な監査ログ。 すべてのエージェント操作は、エージェントID、人間の認可者、操作内容、アクセスデータ、ポリシーコンテキストを記録した不変ログに残され、リアルタイムでセキュリティオペレーションにストリーミングされる必要があります。
エフェメラルトークンによる認証情報のボールト管理。 エージェントはAPIキーやOAuthトークンを平文で保存してはなりません。秘密情報はセキュアなボールトAPI経由で、個々のタスクごとに取得し、継続的にローテーションされなければなりません。
ゼロトラストインテーク。 すべての外部コンテンツは検証されるまで信頼されないものとして扱い、システムプロンプトと外部取得コンテンツを厳格に分離する必要があります。これが、モデルが正当な命令と注入命令を区別できない場合でも、間接プロンプトインジェクションの成功を防ぐアーキテクチャ制御です。
Kiteworksが研究で指摘されたガバナンスギャップをどう埋めるか
論文が必須とする6つの管理策は、Kiteworks Compliant AIがデータ層で、AIモデルやエージェントフレームワークに依存せず提供するものと完全に一致します。すべてのリクエストはOAuth 2.0で認証され、ABACポリシーでリアルタイムに認可され、FIPS 140-3認証済みモジュールで暗号化され、SIEMシステムに直結する改ざん検知可能な証跡として記録されます。モデルが侵害されたり、更新されたり、プロンプトインジェクションで操作されても、データガバナンスレイヤーはポリシーを継続的に強制します。
Kiteworks Secure MCP Serverは、ClaudeやMicrosoft CopilotのようなAIアシスタントがModel Context Protocolを通じてエンタープライズデータとやり取りできるようにし、すべての操作が人間ユーザーアクセスと同じABACポリシーと監査証跡で管理されます。AIデータゲートウェイは、同じガバナンスをプログラムによるRAGパイプラインや自動化ワークフローにも拡張します。いずれも論文が求める管理策を強制します。Kiteworksプライベートデータネットワークは、このアーキテクチャをメール、ファイル共有、MFT、SFTP、Webフォーム、APIにまで拡張し、単一のポリシーエンジン、統合された監査ログ、すべてのエージェント操作に対する自動生成のコンプライアンス証拠を提供します。
次のエージェント稼働前に組織が取るべきこと
まず、すべての導入済みエージェントについて致命的な三位一体を監査しましょう。プライベートデータにアクセスしますか?信頼されていない外部コンテンツを処理しますか?外部と通信できますか?すべて該当する場合、そのエージェントは構造的に脆弱です。Kiteworks 2026年予測によれば、57%の組織がこれらの問いに答えるための中央集約型可視性を持っていません。
次に、アクセス制御が操作レベルで機能しているかを検証しましょう。エージェントがフォルダーへのアクセスを許可されている場合でも、その中身のダウンロード、メール送信、シェルコマンド実行まで自動的に許可されてはなりません。Kiteworks 2026年予測によれば、63%の組織がAIエージェントに対する目的限定の強制ができていません。
三番目に、エージェントスキルやプラグインを既知の脆弱性パターンと照合しましょう。分析対象のエージェントスキルの26.1%に少なくとも1つのセキュリティ脆弱性が含まれていました。どのスキルが導入されているか、どの権限を要求しているか、どのネットワーク通信を発生させているか、検証可能な発行者による暗号署名がされているかを評価してください。
四番目に、監査ログがAIエージェントのやり取りをカバーし、改ざん検知可能な出力を生成しているかを確認しましょう。どのエージェントが、どのデータに、どのポリシーの下、どの人間の認可に紐づいて、いつアクセスしたかを記録できない場合、コンプライアンス監査を満たせません。現時点で33%の組織がこの機能を持っていません。
五番目に、AIエージェント専用の認証情報管理を確立しましょう。エージェントが使用するAPIキーやOAuthトークンは平文保存してはならず、必要最小限の権限範囲に限定し、定期的なスケジュールで自動的にローテーション・失効させる必要があります。
規制や法執行による義務化が現実になる前にガバナンス基盤を構築できる猶予は、急速に縮小しています。エージェントはすでに稼働中です。やり取りもすでに発生しています。問題は、それらが防御可能なガバナンスフレームワークの下で行われているかどうかです。
エージェント型AIワークフローによる機密データ保護の詳細については、カスタムデモを今すぐご予約ください。
よくあるご質問
システムプロンプトはモデルへの指示であり、データへのアクセス制御ではありません。HIPAAはPHIへの不正アクセス防止を求めており、システムプロンプトだけでは間接プロンプトインジェクションで回避されるため、その基準を満たせません。Kiteworks 2026年予測によると、33%の組織が改ざん検知可能な監査証跡を持っていませんが、これこそがHIPAA監査人が実際に要求する証拠です。
CMMC AC.1.001およびAC.2.006は、CUIにアクセスするすべてのシステム(AIエージェントを含む)に対して、強制的かつ文書化された認可を要求しています。多くの導入では広範なアクセス権を持つサービスアカウントが使われており、操作レベルのABAC評価が行われていません。エージェントIDは人間の認可者と委任チェーンに紐づける必要があります。CMMC評価者は監査証跡の欠如を指摘します。
致命的な三位一体とは、プライベートデータへのアクセス、信頼されていない外部コンテンツの処理、外部との通信を同時に行うエージェントを指します。各導入済みエージェントについて3条件すべてを評価してください。すべて該当する場合、モデルのセーフティトレーニングに関係なくデータ層でのガバナンスが必要です—モデル設定に依存せず構造的な脆弱性が残ります。
従来のDLPは人によるファイル送信を想定して設計されており、AIエージェントのID認証、操作レベルのアクセス制御、HIPAAやCMMCが要求する委任チェーン監査証跡を実現できません。中央集約型AIデータゲートウェイを持つ組織は43%にとどまり、残りの57%はエージェントの挙動に対応しない管理策に依存しています。AIデータゲートウェイこそがDLPでは実現できない制御点を提供します。
規制当局が求めるのは、人間の認可者に紐づいた認証済みエージェントID、操作レベルのアクセスログ、FIPS認証済み暗号化の証明、改ざん検知可能な監査証跡(エクスポート可能)です。Kiteworks 2026年予測によれば、33%の組織がAI以外のやり取りでもこの証拠レベルのログを持っていません。データ層でABACを強制するガバナンスプラットフォームは、すべてのエージェント操作についてこの証拠を自動生成します。
追加リソース
- ブログ記事
AIプライバシー保護を実現するゼロトラスト戦略 - ブログ記事
77%の組織がAIデータセキュリティで失敗している理由 - eBook
AIガバナンスギャップ:2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態に - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている