CISAがエージェンティックAIガバナンスをIAMの課題に変えた

2026年5月1日、CISAおよびファイブアイズのサイバーセキュリティ機関は「エージェンティックAIサービスの慎重な導入」を発表しました。これは、エージェンティックAIを単なる賢いソフトウェア機能として扱うのをやめ、特権IDとして扱うことを求めるものです。本ガイダンスでは、リスクカテゴリを5つ（特権、設計と構成、挙動、構造、アカウンタビリティ）に分類し、推奨される対応策はAIセーフティの文書というより、IAM強化ガイドのような内容となっています。

CSO Onlineの報道によると、このアドバイザリはエージェンティックAIをプロンプトインジェクションやツールの悪用によって操作可能なシステムと位置付け、「高リスクサービスアカウント」と同様のガバナンスが必要であるとしています。すべてのエージェントには名前が付き、すべてのアクションが記録され、すべての認可判断はエージェントの意図を信頼しないポリシーに基づいて評価されます。

これを実務に落とし込むCISOにとって、現実的な課題は「どこで制御を実施するか」です。「AIエージェントを利用するすべてのアプリケーション内で制御する」という答えは誤りです。分散型の制御はスケールしますが、監査の場面で破綻します。CISAのガイダンスは暗黙的に中央集約型のチョークポイント、すなわちすべてのエージェンティックAIリクエストがデータに到達する前に単一のポリシーエンジンを通過する仕組みを前提としています。

5つの重要ポイント

1. 規制当局はAIエージェントをIDとして再分類

CISA主導の共同アドバイザリは、エージェンティックAIをプロンプトインジェクションやツールの悪用によって操作可能な新たなIDクラスとみなし、ガバナンスはアプリケーションセキュリティではなく特権アクセス管理に準じるべきとしています。この再分類により、問題の責任者が変わります：AIセーフティはデータサイエンスの領域ですが、ID管理はCISOの責任です。セキュリティ組織は義務と責任を引き継ぐことになり、AIポリシーの策定が成果物ではなく、AIの監査証跡の提出が求められるようになります。

2. 最小権限が新たな標準

各機関は、役割の限定的な設定、継続的なモニタリング、すべてのエージェントアクションの監査証跡を求めています。AIシステムへの暗黙の信頼はもはや許容されません。例えば、パラリーガルの代理として動作するエージェントが、どんなに巧妙なプロンプトであっても、法務顧問専用の記録を取得することはできません。エージェントのリクエストを評価するポリシーこそが、プロンプトインジェクションを乗り越えて唯一信頼できる基盤です。

3. コントロールギャップは構造的な問題

AIデータゲートウェイを中央集約型で持つ組織は43%に過ぎません。残り57%は分散型：27%は分散制御とポリシー、19%は部分的またはアドホックな制御、7%はAIガバナンス制御が全くありません。アドバイザリが求める「最小権限・継続的モニタリング・認可の記録・正式なリスクレビュー」はすべてゲートウェイ機能です。分散型制御は単一のパイロットには有効ですが、複数の事業部門でエージェンティックワークフローを運用すると監査で破綻します。

4. 監査証跡はテレメトリではなく証拠

AIエージェントが侵害された場合、問われるのは「何をしたか」ではなく「何にアクセスし、誰の代理で、どのポリシーの下で行ったかを証明できるか」です。Kiteworks 2026年予測によると、33%の組織が証拠レベルの監査証跡を持っていません。このギャップは、守れるコンプライアンス体制と訴訟リスクの違いです。規制当局は現在形で監査を求めており、「再現」ではなく「実証」を要求しています。

5. 解決策はアーキテクチャであり、手順ではない

ポリシー文書だけでは監査人を納得させられず、侵害されたエージェントも封じ込められません。ゼロトラストデータアクセス（モデルに依存せず、すべてのリクエストで強制）が唯一の持続的な解決策です。エージェントが侵害された際、被害範囲を制限できるのは「不適切なリクエストを拒否したポリシー」だけです。それ以外はリカバリーに過ぎません。ガバナンスはスライド資料ではなく、データパス上に存在しなければなりません。

「エージェント＝ID」が本当に求めるもの

アドバイザリの中核的な推奨事項は、AIエージェントを「デフォルトで敵対的なアクター」と見なし、すべてのデータリクエストに対して正当性を証明させる4つの運用要件に分解できます：

限定的な役割設定。AIエージェントはユーザーの権限を継承し、それを超えることはできません。エージェントの認可上限はユーザーのものであり、モデルの野心ではありません。

継続的なモニタリング。すべてのエージェントアクション（疑わしいものだけでなく）が記録イベントを生成します。検知は単発の異常ではなく、時間をかけた行動の逸脱から行います。

認可判断の記録。エージェントがデータをリクエストするたび、ポリシーエンジンが評価し、その判断を記録します。承認・拒否いずれも証拠となります。

接続前の正式なリスク評価。エージェントが本番データに接続する前に、ガバナンスチームは特権アクセス管理ワークフローに沿ったリスクレビューの文書化を求めます。

技術的なパターンは、新たなプリンシパルタイプにゼロトラストを適用することです。新しいのはプリンシパルであり、入力チャネルを通じてソーシャルエンジニアリングされ、人間のレビュアーよりもはるかに速く動作するエージェントです。2026年2月のAgents of Chaos研究（ノースイースタン、MIT、ハーバード、スタンフォード、カーネギーメロンなど38名の共著）は、非所有者による不正なコンプライアンス、機密情報の漏洩、破壊的なシステムレベルのアクション、ライブ環境でのIDスプーフィングを記録しました。ファイブアイズのガイダンスは、これらの知見をベースラインのコントロールセットに効果的に落とし込んでいます。

中央集約型ゲートウェイのギャップ

多くの組織がアドバイザリの期待に応えられない理由は、AIアクセスを強制できる単一のチョークポイントがないためです。AIデータゲートウェイを中央集約型で持つ組織は現在43%のみ。残り57%は監査で問題となる形で分断されています：分散型制御は単一のコパイロットパイロットには有効ですが、複数の事業部門で5つ、10のエージェンティックワークフローを運用すると、各部門ごとにポリシー解釈や監査対象が異なり、破綻します。

Kiteworks 2026年予測は、これをコントロールプレーンの欠陥と位置付けています。AIが破綻するのはモデルの挙動ではなく、周辺インフラ（認証、ポリシー強制、監査ログ、SIEM連携）が「非人間IDによる秒間数千リクエストの統治」を前提に設計されていないからです。CISAアドバイザリは、まさに多くの組織が「そのアーキテクチャがない」と気づくタイミングでハードルを引き上げています。

なぜプロンプトインジェクションが脅威モデルを変えるのか

従来のIAMは、プリンシパルが一貫していることを前提としています。サービスアカウントは、許可されていない行為を説得されて実行することはありません。しかしAIエージェントは違います。OWASPはLLM Top 10の最上位にプロンプトインジェクションを挙げており、主要モデル群で24%〜95%の成功率が学術研究で報告されています。毒入りドキュメント、メール内の悪意あるリンク、RAGコーパス内の改ざんウェブページなど、いずれもエージェントを本来の権限外で動作させ、通信上は完全に正当なように見せかけることが可能です。

エージェントの「意図」は信頼できません。信頼できるのは、エージェントのリクエストを評価するポリシーだけであり、そのポリシーはエージェントの主張とは独立して動作しなければなりません。だからこそ、アドバイザリが「認可判断の記録」を強調しているのです。ログは侵害後のフォレンジック証拠だけでなく、「決定者がエージェントではなくポリシーエンジンだった」ことを証明する継続的な記録です。行動モニタリングがシグネチャベースの検知より重要なのも同じ理由です。侵害されたエージェントは壊れて見えるのではなく、生産的に見えます。リクエスト全体のパターンこそがシグナルです。

監査証跡こそが証拠

アドバイザリは監査証跡を運用データから証拠データへと格上げしました。GDPR第30条では処理活動の記録が、32条では適切な技術的・組織的対策の実証が、EU AI法では高リスクAIシステムに詳細な文書化と適合性評価が求められます。いずれも「AIシステムが個人データで何を、いつ、誰の認可で行ったか」を記録する監査証跡が前提です。

Kiteworks 2026年予測によると、33%の組織が証拠レベルの監査証跡を持っていません。3か月前にリスクを警告したDSPMツールが無視されれば原告側の証拠に、リアルタイムでエージェントのブロックリクエストを記録した監査ログは被告側の証拠になります。テレメトリから証拠へのシフトは微妙ですが重大です。テレメトリは「必要な場合のために集める」データ、証拠は「必ず必要になるから集める」データです。規制当局は、事後の再現ではなく、改ざん防止ログによるオンデマンドの実証を求めています。

Kiteworksのアプローチ：AIエージェント向けゼロトラストデータアクセス

Kiteworksは、Kiteworks Secure MCP Server経由のインタラクティブアシスタントであれ、AIデータゲートウェイ経由のRAGパイプラインであれ、すべてのAIリクエストを「認証・ポリシーによる認可・ログ記録」を経て初めてデータ提供を許可する「未信頼リクエスト」として扱います。暗黙的なアクセスは一切認めません。ポリシーエンジンを迂回するエージェントIDも存在しません。

OAuth 2.0認証でエージェントセッションを確立し、トークンはOSキーチェーンに保存され、モデルには一切公開されません。Kiteworksデータポリシーエンジンは、すべての操作をロールベース・属性ベースアクセス制御でリアルタイム評価し、エージェントがユーザー権限を継承し、それを超えないことを保証します。パス検証でシステムファイルアクセスを防ぎ、レート制限で大量抽出をブロック。すべての操作は統合監査ログとSIEMにリアルタイムで記録されます。

Kiteworksプライベートデータネットワークは、メール、ファイル共有、MFT、SFTP、ウェブフォーム、APIにゼロトラスト原則を拡張します。1つのポリシーエンジン、1つの統合監査ログ、AIチームがゼロからガバナンスを構築することなく、AIエージェントをIDとして統治するアーキテクチャを実現します。

次のアドバイザリが出る前に組織がすべきこと

まず、エージェントを棚卸ししてください。本番データに接続するすべてのAIエージェントは、名前・所有者・権限範囲・四半期ごとのレビューが必要なプリンシパルです。「現在本番環境で稼働中のエージェンティックAIワークフローはいくつあるか？」に答えられない組織が大半ですが、今やこれは規制上の問いです。

次に、エージェントをIAM上のIDとしてモデル化しましょう。限定的な役割を割り当て、エージェントの権限を代理ユーザーに紐付けます。これを中央集約型ゲートウェイで強制できる組織は43%のみ。残りはシステム間をまたがないアプリケーションレベルのポリシーに依存しています。

三番目に、すべてのリクエストを記録しましょう。すべてのエージェントアクション（アクセスデータ、ポリシー判断、タイムスタンプ、ユーザーコンテキスト）は、SIEM連携可能なクエリ対応監査証跡に記録されなければなりません。リアルタイムアクセス追跡が、運用上のテレメトリ課題と証拠課題の分水嶺です。

四番目に、接続前の正式なリスクレビューを必須化しましょう。エージェントが本番データに接続する前に、新たな特権サービスアカウントとして扱い、リスク評価の文書化・セキュリティ承認・ロールバック手順を定義します。EU AI法の圧力外にある組織の84%はAIレッドチーミングを実施しておらず、接続前のリスクレビューを省略しがちです。

五番目に、プロンプトインジェクションをベースライン脅威として備えましょう。エージェントがソーシャルエンジニアリングされる前提で、ポリシーエンジンがエージェントの主張とは独立して認可を強制できるよう設計してください。検知は単発の異常ではなく、リクエスト全体の行動逸脱から行います。

エージェンティックAIガバナンスの詳細は、カスタムデモを今すぐご予約ください。

追加リソース

• ブログ記事
  ゼロトラスト戦略で実現する手頃なAIプライバシー保護
• ブログ記事
  AIデータセキュリティに77%の組織が失敗している理由
• eBook
  AIガバナンスギャップ：2025年に91%の中小企業がデータセキュリティでロシアンルーレット状態
• ブログ記事
  あなたのデータに「–dangerously-skip-permissions」は存在しない
• ブログ記事
  規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている