Agentic AI を安全に導入するための CISO のハンドブック

過去 1 年間、私が同僚の最高情報セキュリティ責任者 (CISO) と交わしたほぼすべての会話は、リスクを増大させずに Agentic AI を企業に導入するにはどうすればよいかという同じ緊張を中心に展開していました。

最近、UiPath の共同創設者兼 CEO のダニエル・ダインズ氏は、「企業は AI エージェントと自動化のスピードとインテリジェンスを望んでいますが、セキュリティや制御を犠牲にすることは決してありません」と書いています。この観察は、さまざまな業界のセキュリティ リーダーから聞いた意見を反映しています。

もはや問題は、エージェントが企業内で活動するかどうかではありません。 2025年がそれに答えました。本当の問題は、重要なワークロードをクラウドに移行したときに適用したのと同じ厳格さでそれらを管理しているかどうかです。

自律性の転換点

少し前まで、私たちのセキュリティ モデルはソフトウェアが指示に従うことを前提としていました。今では、それが決定を下します。

2025 年、エージェント AI は実験から運用展開に移行しました。自律システムは、委任された権限を使用してエンタープライズ環境全体でアクションを計画し、実行します。

CISO にとって、これは別のツール サイクルではありません。これは、デジタル アクションの開始、承認、管理の方法における構造的な変化です。

静的アプリケーションは保護されなくなりました。デジタルアクターを確保しています。

ガバナンス モデルは進化していますが、導入のペースがそれを上回っています。これにより、自律性と監視の間に信頼のギャップが生じます。

このギャップを埋めるには、ポリシー、定期的なレビュー、静的な制御以上のものが必要です。これには、これまでのすべての主要なテクノロジーの変化にもたらしたのと同じ厳格さと精度で適用され、同じスピードで機能するガバナンスが必要です。

脅威モデルは変化しました

従来のサイバーセキュリティは、次の 4 つの基本的な前提に基づいていました。

• 決定的な動作

• 固定された役割と権限

• 予測可能な実行パス

• 各意思決定層における人間の責任

エージェント システムは、これらの仮定のそれぞれに疑問を投げかけます。彼ら：

• 実行時に適応する

• ツールを動的に選択する

• インタラクション全体にわたって記憶を保持する

• 中間の決定を独立して行う

これらの機能は、ワークフローの圧縮、システム間のオーケストレーション、運用の高速化を通じて価値を生み出します。

彼らはまた、露出を再定義します。

セキュリティ チームは、システムが何にアクセスできるかだけでなく、システムがどのようにアクションを順序付け、どのように意図を形成し、その意図が時間の経過とともにどのように影響を受けるかを評価する必要があります。

プロンプト注入は実行操作になります。記憶の持続は長期的なリスクをもたらします。委任された権限は影響を集中させます。

これは構成ミスの特殊なケースではありません。それは自律性そのものに固有のものです。コントロールの質問は、「アクセスは適切でしたか?」から変わります。 「意思決定の経路は管理されていましたか?」。

ID が強制層になる

自律システムが当社の顧客関係管理 (CRM) やその他の SaaS プラットフォームにアクセスしたり、インフラストラクチャを変更したり、支払いを開始したりできる場合、特権を持つ人間のオペレーターと同じ厳格さで管理する必要があります。

すべての AI エージェントは次のことを行う必要があります:

• 独自の管理されたアイデンティティを持つ

• 強制的な最小権限で操作する

• 認証情報のライフサイクル制御の対象となる

• 不変の監査証跡を生成する

• 継続的に行動を監視する

多くの組織は、エージェントを人間以外のアイデンティティとして分類しています。このフレーミングは便利ですが、不完全です。

従来のサービス アカウントとは異なり、エージェントは自分の権限をどのように使用するかを検討します。

エージェント時代では、アイデンティティはもはや単なるアクセス層ではありません。これは自律性の強制層です。

ゼロトラスト原則は、より広範な企業制御環境全体に適用されるのと同じ厳格さで、デジタルアクターに完全に拡張される必要があります。人間によるオンボーディング用に設計された手動プロビジョニング モデルは、自律的なスケールでは失敗します。アイデンティティ ガバナンスは、動的かつポリシー主導型であり、継続的に検証される必要があります。

自律性が拡大すると、アイデンティティがインフラストラクチャになります。デジタルアクターは孤立して活動するわけではありません。これらは相互接続されたエンタープライズ ワークフロー内で動作し、統一された方法で管理する必要があります。

ログからコグニティブ テレメトリへ

従来の可観測性は、何が起こったのかという遡及的な質問に答えます。

エージェント システムでは、「なぜそれが起こったのか?」という別の質問に答える必要があります。

ガバナンスは現在、以下の可視化に依存しています。

• 意思決定の来歴シグナル (入力、制約、結果)

• ツール呼び出しシーケンス

• ポリシーの評価

• 記憶の相互作用

• 決定は無効になります

観察可能な実行とポリシーの成果物を使用して、意図がどのように形成され、アクションが選択されたかを再構築できない場合、ガバナンスは理論的になってしまいます。

説明可能性と監査可能性がなければ、AI のガバナンスとセキュリティは脆弱になります。 CISO はコグニティブ テレメトリを、障害後の法医学的証拠としてではなく、実行と並行して動作し、セキュリティ情報およびイベント管理 (SIEM) ツールで表示できる継続的な保証層として要求する必要があります。

マシンスピードで自律的に動作するには、マシンスピードで動作する監視が必要です。

人間によるレビューだけではその要件に対応できません。自律システムは、他の自律システムの監視、ポリシーの強制、動作の検証、および事前定義されたリスクしきい値を超えた場合にのみエスカレーションすることにますます参加するようになります。ガバナンスは手動チェックポイントではなく分散機能になります。

ガバナンスは実行時に実行する必要がある

文書に書かれたポリシーは自律システムを制約しません。実行時にガバナンスが確実に機能するようにする必要があります。

それには以下が必要です:

• 実行前ポリシーの適用

• 継続的な適合性モニタリング (承認されたポリシーに対する)

• バージョンとモデルのトレーサビリティ

• 影響の大きいアクションに対する明示的な人間参加型 (HITL) 承認しきい値

• 人間のオーバーライド経路を明確にする

これは、静的なコンプライアンスから動的な監視への移行を表しています。

それに応じて取締役会と規制当局も進化しています。意欲的かつ責任ある AI ステートメントの時代は終わろうとしています。経営陣のリーダーシップには、証拠に裏付けられた実証可能な管理環境がますます求められています。

ガバナンスは、モニタリング パイプライン、ID システム、複数のモデルにわたるオーケストレーション レイヤ、外部 AI サービス、エンタープライズ オートメーションで通常見られるさまざまな持ち込みコンポーネントに組み込む必要があります。

ガバナンスは単一のモデル境界を想定することはできません。既存のセキュリティとガバナンスのフレームワークを置き換えるのではなく、統合して、異種モデル環境全体で継続的かつ一貫して動作する必要があります。

保証は交渉の余地のないものになりつつあります

企業顧客は、AI が安全かどうかを尋ねなくなりました。彼らはそれをどのように証明するかを尋ねています。

独立した検証、構造化された AI 管理システム、形式化されたリスク フレームワークは急速に成熟しています。調達に対する期待は、機能の速度から検証可能なガバナンスへと移行しています。

実証的な保証がなければ自律性は取締役会レベルで行き詰まってしまいます。業界全体で、ガバナンスの原則を測定可能な説明責任に変換する、構造化された成熟度モデルと正式な認証経路が出現し始めています。

信頼はイノベーションによって暗示されるものではありません。それは証拠によって得られます。

安全な自律性のための青写真

2026 年にリーダーとなる組織は、AI エージェントを最も多く導入している組織ではありません。彼らは意図的に支配しているのです。安全なエージェント展開を定義する 5 つの柱:

1. まずアイデンティティを確立する

すべての AI エージェントは、最小限の権限と継続的な検証が強制された管理された ID です。

2. ツールの分割

影響力の高いシステムは、明示的な承認しきい値を備えたコンテキスト承認ゲートウェイの背後にあります。

3. メモリ保護

永続的な状態は暗号化され、整合性が検証され、アクセスが制御され、監査可能です。

4. 実行時のガードレール

実行前の制約と実行時の異常監視は継続的に動作します。成熟した環境では、監視エージェントがこれらのガードレールの適用を支援し、大規模な継続的な検証を可能にする場合があります。

5. 監査可能性、観察可能性、意思決定の出所

自律システムは、タスク完了ログだけでなく、入力、ポリシー評価、結果として得られるアクションの追跡可能な記録を提供する必要があります。

6. 人間によるエスカレーション経路

明確なガバナンスのしきい値は、自律性がいつ役員の責任に屈するかを定義します。

ガバナンスはイノベーションを遅らせるものではありません。それは経営陣の信頼を解き放ちます。信頼は導入を加速します。

2026 年の CISO の任務

軌道は明確です。

• 2024 年、ほとんどの組織は実験を行っていました

• 2025 年に自律性が本番環境に移行しました

• 2026 年は、ガバナンスがペースを維持できるかどうかを試されるでしょう

敵対者は自律性を活用して偵察と搾取を拡大しています。取締役会は明確な監視を求めています。規制当局は、AI のリスク管理と運用管理に関する期待を公式化しています。

リーダーシップのギャップは技術的なものではありません。それはガバナンスの成熟度に対する信頼の欠如です。

CISO としての私たちの使命は、変革に抵抗したり、変革を遅らせたりしないことです。それは、それを企業の信頼できるコンポーネントに形作ることです。

私たちは、デジタル アクターがマシンの速度で安全に動作できるようにする統合コントロール プレーンをエンジニアリングし、デジタル アクターの自律性が意図的に導入され、透過的に管理され、継続的に監視され、独立して検証されることを保証する責任を負います。

自律性は責任を取り除くものではなく、責任を増幅させるものです。企業セキュリティの次の時代は、ファイアウォールやモデルによって定義されるものではありません。それは私たちが自律的な行動をどれだけうまくコントロールできるかによって決まります。

主導する組織は、最初にエージェント AI を導入した組織ではありません。彼らはそれを確保し、統治し、それを証明した者たちとなるでしょう。

そしてその責任は私たちにあります。