KiteworksコンプライアントAI

AIエージェントのためのセキュアなデータガバナンス

AIエージェントは、すでに最も機密性の高いワークフローの内部に存在しています。彼らは保護対象保健情報を読み取り、制御されていない分類情報を取り扱い、顧客の財務記録を取得し、法的特権のある文書にもアクセスしています。しかも、その規模は人間の従業員では到底実現できないレベルです。監査担当者もその事実を把握しており、規制当局も急速に追いつきつつあります。さらに、HIPAA、サイバーセキュリティ成熟度モデル認証、PCIデータセキュリティ基準、SEC、SOXにはAIエージェントに対する例外規定はありません。すべてのアクセス制御要件、すべての暗号化義務、すべての監査ログ義務は、規制対象データに対するあらゆるエージェントの操作にも適用されます。しかし、多くのエンタープライズ企業は、その証明に必要なガバナンス基盤を持たずにエージェントを導入しています。Kiteworks Compliant AIは、データ層を直接ガバナンスすることでこの状況を変えます。すべてのエージェントが認証され、すべてのアクセス方針が強制され、すべてのデータ操作が米国連邦情報処理規格140-3で暗号化され、改ざん検知可能な監査ログに記録されてから、データが移動します。

Regulators Govern Data, Not Models or Agents

規制当局が管理するのはデータ、モデルやエージェントではありません

組織がClaude、GPT-4o、独自モデルのいずれを運用していても、コンプライアンス監査人にとって重要なのはそこではありません。重視されるのは、エージェントがどのデータにアクセスしたか、そのアクセスが許可されていたか、暗号化されていたか、ログが記録されていたかです。Kiteworksは、すべてのエージェントのやり取りについて、これら4つの問いに自動で答えを提供します。

AIエージェントにはデータアクセスに対する良心がありません

ポリシー違反を認識してエスカレーションする人間の従業員とは異なり、AIエージェントは明確に禁止されていない限り、あらゆるデータにアクセスし、ツールを呼び出し、機能を実行します。システムプロンプトやモデルレベルのガードレールは、監査に耐えうるコントロールとは言えません。本当に有効なのは、データ層で強制されるガバナンスだけです。

AI Agents Have No Scruples About Data Access

Governance Built Into the Architecture, Not Bolted On

アーキテクチャに組み込まれたガバナンス、後付けではなく

Kiteworks Compliant AIは、AIエージェントと規制対象データの間に配置されます。すべてのやり取りは、本人確認、ポリシー評価、検証済み暗号化、監査ログ記録を経てからデータが移動します。監査人から「AIによる機密データアクセスをどう管理していますか」と問われた際、調査ではなく証拠パッケージで回答できます。

すべてのエージェント操作に対する4つのガバナンス基盤

Kiteworks Compliant AIは、すべてのエージェントによるデータ操作に対して、データが移動する前に4つのコントロールを強制します：

人間の承認者と紐付けられた認証済みエージェントID
操作レベルで強制される属性ベースアクセス制御ポリシー
転送時・保存時のFIPS 140-3認証済み暗号化
改ざん検知可能な監査ログを直接SIEMに連携

Four Governance Pillars for Every Agent Interaction

Purpose-Built Governed Assists for Regulated Data Operations

規制データ運用のための専用ガバナンス支援

Kiteworksは、データポリシーエンジンによってエンドツーエンドで強制される3つのGoverned Assistを提供します：

Governed Folder Operations Assist：AIエージェントが自然言語でコンプライアンス対応のフォルダ階層を作成・管理し、アクセス制御が自動適用されます
Governed File Management Assist：AIエージェントがデータライフサイクル全体を管理し、保持・アクセス・廃棄要件を満たします
Governed Forms Creation Assist：AIエージェントがガバナンス対応フォームを生成し、提出データはポリシー管理されたストレージにルーティングされます

Flowchart illustrating a wealth management data workflow where an agent processes public unregulated data alongside regulated data secured by the Kiteworks MCP and Data Policy Engine to securely generate a Client Portfolio Review Package

すべてのステークホルダーが求める答え

CISO：すべてのエージェント操作は認証され、ポリシーで管理され、FIPS 140-3で暗号化され、改ざん検知可能な監査ログとしてSIEMに連携されます。
CCO：HIPAA、CMMC、PCI DSS、SEC、SOXに事前マッピングされた監査対応の証拠パッケージを数時間で作成可能です。
CIO：ガバナンスがアーキテクチャに組み込まれているため、AIプロジェクトを迅速に展開でき、コンプライアンス負債も発生しません。
GC：すべてのエージェント操作が記録され、ポリシーで管理されています。調査や訴訟が発生した際も、証拠はすでに揃っています。

コンプライアンスはアーキテクチャの決定事項、後付けではありません

多くの企業は、AIコンプライアンスを手動レビューで対応しており、展開のボトルネックとなりスケールできません。Kiteworksは、ガバナンスをデータアクセス層に直接組み込むことで、すべてのエージェントワークフローが自動的にコンプライアンスコントロールを継承します。

導入後のパッチ作業は不要。
手動レビュー層も不要。
新たなエージェント導入ごとにコンプライアンス負債が蓄積することもありません。

Compliance Is an Architecture Decision, Not an Afterthought

よくあるご質問

規制当局は、AIシステムがアクセスするデータに注目しており、使用されている特定のモデルやエージェント自体には重点を置いていません。アクセスが正当に許可されているか、データが暗号化されているか、やり取りが記録されているか、適切なガバナンスが確立されているかを重視します。Kiteworksは、すべてのエージェントのやり取りに対してこれらの懸念事項を自動的に対処し、コンプライアンスを確保します。

Kiteworks Compliant AIは、AIエージェントと規制対象データの間に位置し、すべてのやり取りに対して本人確認、ポリシー評価、検証済み暗号化、監査ログ記録を徹底することでガバナンスを実現します。この組み込みアーキテクチャにより、監査対応の証拠パッケージが提供されます。

Kiteworksは、すべてのAIエージェントによるデータのやり取りに対して、4つの主要なコントロールを徹底しています：人間の承認者と紐づいた認証済みエージェントID、操作レベルでの属性ベースアクセス制御ポリシー、転送時および保存時のFIPS 140-3認証済み暗号化、SIEMシステムと連携した改ざん検知可能な監査ログです。

ウェルスマネジメント分野では、KiteworksによりAIエージェントが四半期ごとのポートフォリオレビュー資料など、SECに対応したワークフローを生成できます。エージェントの認証、クライアントごとのアクセス範囲の強制、やり取りの暗号化、完全な監査証跡の提供により、手作業によるコンプライアンスレビューが不要になります。

機密コンテンツ通信を保護する

デモを受け取る