セキュリティ専門家の92%がAIエージェントに懸念。データがその理由を示す
従来のセキュリティモデルは、人間が意図的に行動を選択することを前提としています。従業員がファイルを共有したり、メールを送信したり、システムにアクセスしたりすると、セキュリティコントロールがそのアクションを検知・記録・ブロックします。しかし、AIエージェントはこの前提を覆します。AIエージェントは継続的かつ自律的、そして多くの場合見えない形で動作し、人間が各ステップで承認していない一連のアクションを実行します。
権限の問題は構造的なものです。従業員が自分の認証情報でエージェントを展開すると、エージェントは本来人間が人間規模でレビューしながら行う作業のために付与されたアクセス権を引き継ぎます。たとえばGitHubトークンは、本来であればエージェントがリポジトリをクローンし、設定ファイルを読み込み、自動化ワークフローで変更をプッシュするために用意されたものではありません。クラウド認証情報も、エージェントが1時間に1万回もクエリを実行することを想定して付与されたものではありません。1つの設定ミスのあるエージェントや、1回の悪意あるインタラクションによって、複数のシステムに同時に影響が及ぶ可能性があります。
また、AIセキュリティリスクの学際的な性質にも注目すべき点があります。1回の悪意あるAIインタラクションで、アイデンティティ、クラウド、アプリケーション、データ、サプライチェーンセキュリティが同時に関与することもあります。これを単一のセキュリティツールで解決することはできません。あらゆる機密データの流通チャネルを横断して一貫したコントロールを強制する、プラットフォームアプローチが求められます。
5つの重要なポイント
1. AIエージェントへの懸念はほぼ全員一致 ― だがガバナンスギャップは拡大中
Darktrace State of AI Cybersecurity 2026レポートによると、セキュリティ専門家の92%がAIエージェントによる企業セキュリティへの影響を懸念しており、専門家の間でほぼコンセンサスが形成されています。しかし、正式なAIポリシーを持つ組織はわずか37%で、前年から減少しています。52%は依然として「議論中」の段階です。セキュリティチームは懸念を抱きつつも、AIガバナンスの仕組みをまだ構築できていません。
2. エージェントは明示的に付与されていない権限を継承する
従業員が自分の認証情報でAIエージェントを展開すると、エージェントはGitHubやクラウド認証情報、APIトークン、ファイルシステムの権限などを継承し、複数のシステムにまたがる攻撃対象領域が生まれます。これらのアクセス権は本来、人間規模でレビューされる作業のために設計されたものです。エージェントはこれをマシンスケールで継続的に、しかも個々のアクションが人間にレビューされることなく行使します。侵害されたエージェントの被害範囲は、継承した権限の大きさに比例します。
3. 機密データの露出が61%で最大の懸念事項
56%がデータセキュリティやポリシー違反を、51%がツールの誤用・悪用を懸念しています。エージェントはデータベースをクエリし、ファイルを取得し、メールにアクセスし、APIエンドポイントから情報を取得します。これらのコンテンツは、組織が意図しない形で流出・保持される可能性があります。規制環境下では、エージェントの目的が完全に善意であってもコンプライアンス上の影響が生じます。たとえば、エージェントが要約を生成するためにPHIを取得した場合、人間が出力を見たかどうかに関わらずPHIを処理したことになります。
4. ポリシーギャップは無管理の展開が続くごとに拡大する
52%の組織が「議論中」の段階である一方、エージェントは展開され、認証情報は継承され、データはガバナンスの枠外でアクセスされています。Kiteworks 2026予測では、63%の組織がAIエージェントに対して利用目的の制限を強制できず、60%が問題のあるエージェントを停止できないとしています。ポリシーの策定率が年々低下し、展開が加速している現状は、ガバナンスギャップが悪化していることを意味します。
5. 技術的に強制できないガバナンスポリシーはリスクになる
「AIエージェントは必要最小限のアクセス権のみを持つべき」と文書で定めても、システムレベルで技術的に強制されなければ意味がありません。ゼロトラストの原則が適用されます。アクセスは明示的に付与され、すべてのインタラクションが記録され、エージェントは定義された目的以上のアクセス権を持ちません。規制当局やインシデント対応担当者が確認するのは文書ではなく、実際の強制レイヤーです。
自社のセキュリティに自信がありますか?その証明はできますか?
Read Now
AIポリシーギャップに関する実際のデータ
Darktraceレポートにおけるポリシーギャップは、見出しの懸念度以上に深刻です。92%の専門家が懸念を抱いている一方、正式なAIポリシーを持つ組織はわずか37%で、前年から減少しています。多くの組織が重大なリスクを認識しつつも、ガバナンスをまだ構築できていません。
正式なAIポリシーは「コンプライアンスのためのパフォーマンス」ではなく、強制を可能にする仕様そのものです。定義されたポリシーがなければ、セキュリティチームはツールの設定や権限境界の設定、アクセスレビュー、インシデント対応を体系的に行うことができません。懸念を表明することはできても、組織的な対応はできません。
依然として「議論中」の52%の組織は、複雑化する問題に直面しています。正式なAIポリシーがないままの1週間ごとに、エージェントは展開され、認証情報は継承され、データはガバナンスの枠外でアクセスされ続けます。ポリシー策定率が前年から低下しているという事実は、導入が加速する中でガバナンスギャップがさらに悪化している可能性を示唆しています。
機密データの露出が最大の懸念事項である理由
レポートで挙げられた具体的な懸念事項の中で、機密データの露出は61%で最も高い割合を占めています。AIエージェントの誤用や侵害による最も直接的な被害は、システム障害ではなく、組織の管理下からデータが流出することです。
この問題は、規制環境下でさらに深刻化します。たとえば、エージェントが患者の医療記録を要約生成のために取得した場合、人間が出力を見たかどうかに関わらずPHIを処理したことになります。また、エージェントが契約書を読み取って条項を抽出した場合、機密性の高い情報にアクセスしたことになります。AIエージェントによるデータアクセスのコンプライアンス上の影響は現実的であり、エージェントの目的が完全に善意であっても適用されます。
HIPAA、CMMC 2.0、ITAR、その他の規制フレームワークの対象となる組織では、AIエージェントが作業を行っている場合でもコンプライアンス義務は停止しません。ガバナンスの枠外で動作するAIエージェントに起因するデータ侵害は、他の原因による侵害と同様の規制上の結果をもたらします。
コンプライアンス対応AIにはポリシーだけでなくインフラが必要な理由
Darktraceレポートが示す「AIセキュリティにはアイデンティティ、クラウド、アプリケーション、データ、サプライチェーンセキュリティを横断する学際的アプローチが必要」という論点は、Kiteworksが別の観点から導き出す結論と一致します。これはポリシーの問題ではなく、インフラの問題です。
AIエージェントによる機密データへの無許可アクセスを禁止するポリシーがあっても、それを強制する技術的コントロールがなければ意味がありません。現在の多くのエンタープライズ環境では、AIエージェントがツールやシステム、データストアを横断して動作しており、それらを統合的に管理する仕組みは設計されていません。データレイヤー、すなわちエージェントが実際に読み書き・送信するコンテンツには、AIエージェント専用の強制メカニズムが存在しない場合が多いのです。
Kiteworks Secure MCP Serverは、AIエージェントと機密コンテンツの間にガバナンスされたインターフェースを提供します。AI Data Gatewayは、RAGパイプラインや自動化ワークフローにも同様のガバナンスを拡張します。すべてのエージェントインタラクションは認証され、属性ベースアクセス制御で評価され、FIPS 140-3認証済み暗号化による改ざん検知可能な監査証跡に記録されます。Kiteworks Private Data Networkは、メール、ファイル共有、MFT、SFTP、Webフォーム、APIにわたり、単一のポリシーエンジンと統合監査ログでこれを実現します。
AIガバナンス構築のための実践的ステップ
まず、既存のエージェント展開状況を監査しましょう。多くの組織では、ガバナンスフレームワークが存在する前からAIエージェントが本番環境で稼働しています。これらの展開状況(保持している認証情報、アクセス可能なデータ、既存のログ)を監査することが、実際のリスク露出を把握する出発点です。新しいAIポリシーは、すでに存在するリスクには効果がありません。
次に、正式なAIポリシーを策定しましょう。数か月かけて完成させる包括的な文書ではなく、どのエージェントが何にアクセスできるか、どの条件下で許可されるか、誰がそのアクセスをレビューする責任を持つかを定めた実用的なポリシーが必要です。
三番目に、そのポリシーを強制する技術的コントロールを導入しましょう。ゼロトラストデータ原則が適用されます。アクセスは明示的に付与され、すべてのインタラクションが記録され、エージェントは定義された目的以上のアクセス権を持ちません。技術的に強制できないAIガバナンスポリシーはリスクとなります。
四番目に、従業員がエージェントを展開する際、自身の権限を拡張していることを理解させましょう。組織のデータプライバシーおよびガバナンスポリシーは、エージェントの行動にも人間の行動と同様に適用されます。これはまだ広く理解されている概念ではありません。
医療、防衛、金融、政府などの規制業界では、技術的強制のステップは必須です。ガバナンスの枠外で動作するAIエージェントに起因するデータ侵害は、他の原因による侵害と同様の規制上の結果をもたらします。
AIの導入が進む組織で機密データを守る方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください。
よくあるご質問
セキュリティ専門家の92%がAIエージェントによる企業セキュリティへの影響を懸念しています。セキュリティリーダーの61%が機密データの露出を主な懸念事項に挙げ、56%がデータセキュリティやポリシー違反、51%がツールの誤用・悪用を懸念しています。正式なAIポリシーを持つ組織はわずか37%で、前年から減少しており、半数以上が「議論中」の段階です。懸念はほぼ全員一致ですが、ガバナンスはそうではありません。
従業員の認証情報で展開されたエージェントは、その従業員のGitHubトークン、クラウド認証情報、APIアクセス、ファイルシステム権限を継承し、その後はマシンスケールで継続的に、人間による個別アクションのレビューなしに動作します。本来人間規模の作業のために設計されたアクセス権が、自律システムによってレート制限や監督なしに行使されます。Secure MCP Serverは、継承された広範な権限ではなく、範囲を限定しガバナンスされたアクセスを提供することでこの課題に対応します。
ポリシーはエージェントが許可されている行動を定義しますが、システムレベルでそれを強制するものではありません。展開が拡大するにつれ、人間による設定やレビューに依存したポリシーは機能しなくなります。Darktraceの調査で52%の組織が「議論中」の段階にあることは、ポリシーの意図が文書レベルで止まっていることを示しています。ゼロトラスト原則では、常に検証し、常に記録し、常に強制する技術的な実装が求められます。AI Data Gatewayや監査ログは、その強制と証拠のレイヤーを提供します。
すべての義務が適用されます。HIPAA、CMMC 2.0、ITAR、その他のフレームワークは、AIエージェントが作業を行ったからといって適用が停止されることはありません。エージェントがPHIを取得して要約を生成した場合、完全なコンプライアンス上の影響を伴ってPHIを処理したことになります。ABACによる強制と改ざん検知可能な監査証跡によるガバナンスされたAIアクセスは、規制業界においては必須であり、人間によるデータアクセスと同じ基準が適用されます。
3つのステップがあります。既存のエージェント展開を監査し、実際に保持している認証情報やアクセス可能なデータを把握すること。許可されるアクセスや責任範囲を定義した実用的なAIポリシーを策定すること。そのポリシーを明示的なアクセス付与、包括的なログ記録、利用目的を限定したエージェントスコープで技術的に強制するコントロールを実装すること。Kiteworks AI Data Gatewayは、その強制レイヤーを構築するための実践的なエントリーポイントであり、特に技術的強制が必須となる規制環境に最適です。
追加リソース
- ブログ記事
ゼロトラスト戦略で実現する手頃なAIプライバシー保護 - ブログ記事
77%の組織がAIデータセキュリティで失敗している理由 - eBook
AIガバナンスギャップ:2025年、91%の中小企業がデータセキュリティでロシアンルーレット状態に - ブログ記事
あなたのデータに「–dangerously-skip-permissions」は存在しない - ブログ記事
規制当局は「AIポリシーがあるか」の質問を終えました。今求められるのは、その実効性の証明です。