エージェントAIがクラウドセキュリティを変革、新たな攻撃面を露呈
人工知能の状況は、深遠な変革を遂げています。もはやオートコンプリートの提案のような受動的な役割に限定されず、AIシステムは、自身のサブ目標を設定し、ツールを連鎖させ、APIを呼び出し、ウェブを閲覧し、コードを記述・実行し、コンテキストを保持できる「エージェント」へと進化しています。この新たな自律性は、前例のない生産性向上をもたらしますが、同時に高速な攻撃面を導入し、クラウドデータセキュリティへのアプローチを根本的に変えています。クラウドセキュリティポスチャ管理(CSPM)、データ損失防止(DLP)ツール、ネットワークファイアウォールなどの従来のクラウド制御は、これらの洗練された命令層の振る舞いを検出・阻止するための可視性や能力を欠いていることがよくあります。新たなセキュリティパラダイムは、エージェント固有のガードレール、綿密に適用される最小特権原則、堅牢な分離、データ中心のセキュリティ姿勢、継続的な評価、そして機密コンピューティングの融合を要求しており、これらはすべて進化する規制フレームワークに支えられています。
生成AIからエージェントAIへの移行は、重要な転換点を示しています。エージェントAIシステムは目標駆動型であり、単なるテキスト生成をはるかに超えて、特定の成果を達成するために、計画を立て、ツールを利用し、メモリを活用し、そしてしばしば複数のエージェント間でステップを調整するように設計されています。最近の業界分析は、計画と実行ループに加え、洗練されたツール呼び出しメカニズムを組み込んだ高度なエージェントアーキテクチャの普及を強調しており、これによりAIモデルはプロアクティブな協力者へと効果的に変貌しています。この進化により、中心的なセキュリティの問いは「モデルは何と言ったか?」から、はるかに重要な「モデルは私の資格情報、API、および機密データを使って何をしたか?」へと変化します。
このパラダイムシフトは、いくつかの強力な攻撃ベクトルを導入し、相互接続されたサービスと共有リソースを持つクラウド環境は、これらを著しく増幅させます。現在OWASPによって大規模言語モデル(LLM)の最大のリスクと分類されているプロンプトインジェクションは、攻撃者がユーザー入力内またはエージェントが処理する可能性のあるドキュメント内に悪意のある指示を埋め込むことを可能にします。これにより、エージェントは秘密を漏洩させたり、データを持ち出したり、接続されたツールを介して意図しないアクションを実行させられたりする可能性があります。直接的な操作を超えて、ツールや機能の誤用は主要な脆弱性を表します。エージェントがファイルシステム、電子メール、SaaSアプリケーション、またはクラウドAPIへのアクセス権を得ると、「最近のS3オブジェクト名100件をメールで送信して」といった単一の強制コマンドが、瞬時に深刻なデータ損失イベントにエスカレートする可能性があります。さらに、LLMネイティブのワームやマルチエージェントの「プロンプト感染」の脅威が迫っており、悪意のある指示がエージェントの群れ全体に伝播・自己複製し、オーケストレーション自体が攻撃ベクトルとなる可能性があります。モデルポイズニングや悪意のあるプラグインまたはコネクタを含むサプライチェーンリスクは、ダウンストリームユーザーに脅威をもたらし、MITRE ATLASによって現実世界の攻撃パターンが既にカタログ化されています。最後に、検索拡張生成(RAG)のグラウンディングとハルシネーションに関連するリスクは、エージェントが信頼できないまたは古いコンテンツを与えられた場合、自信を持って虚偽に基づいて行動する可能性があり、データ漏洩やポリシー違反につながる可能性があることを意味します。サーバーレス関数、ベクトルデータベース、共有シークレット、過度に広範なIDおよびアクセス管理(IAM)ロール、制約のないエグレスパスなどのクラウドネイティブ要素は、これらのリスクを悪化させ、エージェントのミスをスケーラブルにし、従来のネットワーク中心の制御からはしばしば見えなくします。
堅牢なガバナンスの必要性は、即座かつ明白です。NIST AIリスク管理フレームワーク(RMF)1.0とその2024年の生成AIプロファイルのようなフレームワークは、信頼できる安全なAIのマッピング、測定、管理、ガバナンスのための構造的な基盤を提供し、生成モデルに特化した考慮事項を含んでいます。同時に、EU AI法は、段階的な施行日を設定し、重大なコンプライアンス義務を課しています。禁止事項とAIリテラシー要件は2025年2月に開始され、ガバナンスと汎用AI(GPAI)の義務(罰則を含む)は2025年8月に発効します。より広範な義務は2026年から2027年にかけて集大成を迎えます。EU内またはEU向けにGPAIまたはLLM機能を運用するあらゆる組織にとって、コンプライアンスの時計はすでに動き出しています。
クラウドにおけるエージェントAIの保護には、多層的な設計図が必要です。その中心となるのは、エージェントとそのツールに対するID、シークレット、および最小特権原則の綿密な管理です。これは、エージェントの資格情報をAPIの絶対的に最も狭いセットにスコープし、ワイルドカードを排除し、キーを頻繁にローテーションすることを意味します。サービスプリンシパルは、ツールごとおよびデータセットごとに割り当てられ、一時的なトークンを利用し、プラットフォームのマスター資格情報を決して共有してはなりません。ベクトルデータベースとRAGインデックスは、独自の明確なエンタイトルメントを持つ機密データストアとして扱われる必要があります。ツールの誤用は、間接的なプロンプトインジェクションの爆発半径を劇的に拡大する可能性があるためです。
同様に重要なのが、厳格な隔離とエグレス制御です。エージェントは、デフォルトで外部インターネットアクセスを持たないサンドボックス化された仮想プライベートクラウド(VPC)内で動作し、代わりに取得元とAPIの明示的な許可リストに依存すべきです。高価値データや重要なAIワークロードを処理する場合、機密コンピューティングの採用が不可欠です。これには、GPUを搭載した信頼実行環境(TEE)内でモデル推論またはエージェントコードを実行することが含まれます。TEEは、認証され、ハードウェアで隔離された環境であり、使用中でもデータが保護されることを保証します。Azureのような主要なクラウドプロバイダーは現在、機密GPU仮想マシンを提供しており、機密性の高いAIワークロードのエンドツーエンドの認証実行を可能にしています。
堅牢なデータセキュリティポスチャ管理(DSPM)戦略も不可欠です。組織は、シャドウバケット、データベース、ベクターストアを含むすべてのクラウド環境で、機密データを継続的に発見、分類、マッピングする必要があります。修復作業は、公開されているバケットや過度に許可された役割など、公開パスに基づいて優先順位を付ける必要があります。DSPMからの洞察は、エージェントのリスクスコアリングに情報を提供し、”制限された”データセットに対するアクションが、人間のレビュー、ヒューマン・イン・ザ・ループ(HIL)介入、または完全なブロックなど、自動的に摩擦を引き起こすことを保証すべきです。
包括的なガードレール、コンテンツ安全対策、およびグラウンディングチェックの実装は、もう一つの重要な層です。AIモデルが入力処理を行う前に、システムはジェイルブレイク、プロンプト攻撃、個人識別情報(PII)をフィルタリングし、同時に拒否されたトピックを強制する必要があります。モデル処理後、出力は有害なコンテンツがないかフィルタリングされ、根拠のない主張が修正され、機密情報の漏洩がブロックされる必要があります。ポリシーは集中化され、ポータブルであるべきで、特定の基盤モデルに縛られるのではなく、アプリケーションとともに移動するべきです。主要なクラウドプロバイダーは、AWS Bedrock Guardrails、Azure AI Content Safety、Google Vertex AI Safetyなどのネイティブオプションを提供しており、様々なフィルター、PIIマスキング、およびグラウンディングチェックを提供しています。
さらに、ツール使用のランタイム検証は不可欠です。エージェントによって開始されるすべてのツール呼び出しは、最小特権ルール、データタグ、テナント境界に対してその意図を検証するポリシーエンジンを介して仲介されるべきです。プランからアクションメタデータまでの思考の完全な連鎖は、機密性の高いプロンプトを不必要に保存することなく、綿密にログに記録されなければなりません。データのエクスポート、外部メール、コード実行などの高リスクなアクションは、事前コミットチェックの対象となるべきであり、場合によってはヒューマン・イン・ザ・ループによる承認や多要素認証が必要となる可能性があります。
最後に、継続的な評価、レッドチーム演習、および堅牢なテレメトリーは不可欠です。組織は、プロンプト攻撃スイートを使用し、グラウンディングとハルシネーションのリスクを評価し、有害な出力やデータ漏洩を検出することで、エージェントの継続的インテグレーションプラクティスとして安全評価と敵対的テストを採用する必要があります。MITRE ATLASのようなフレームワークを活用することで、攻撃シミュレーションを構造化し、カバレッジを追跡でき、インシデントは透明性とコンプライアンスのためにモデルカードとガバナンス文書に直接フィードバックされます。規制とポリシーのマッピング、特にNIST AI RMFとのコントロールの整合性、およびEU AI法案のタイムラインに合わせた証拠の準備は、将来の準備を確保するために最も重要です。この多層的でクラウドネイティブかつ規制対応のアプローチは、命令層(プロンプト、計画)、実行層(ツール、API)、データ層(DSPM、機密コンピューティング)での脅威に対処し、すべて包括的なガバナンスの傘の下で行われます。
これらの対策を実装しようとする組織には、段階的なアプローチが推奨されます。最初の30日間は、可視性とベースラインに焦点を当てるべきです。エージェントアプリケーション、ツール、資格情報、データタッチポイントの棚卸しを行い、基本的なコンテンツ安全ガードレールと間接的インジェクション検出を確立します。31日から60日目は、制御と封じ込めに焦点を当てるべきです。エージェントをエグレス制御されたサンドボックスに移動させ、ポリシーによって仲介されるツール呼び出しを実装し、出力にグラウンディングチェックとDLPを導入します。61日から90日目には、保証とスケールに焦点を移します。機密性の高いデータセットのための機密GPU推論をパイロットし、エージェントアクションのリスクスコアリングを正式化し、ドキュメントを規制フレームワークに合わせます。
本質的に、エージェントAIは脅威モデルを根本的に再定義します。指示は実行可能なコードになり、ツールはシステムコールに変換され、データフローは潜在的なキルチェーンへと進化します。成功する組織とは、エージェントを一流のワークロードとして扱い、IDスコープツール、堅牢な隔離、包括的なDSPM、インテリジェントなガードレール、厳格なランタイム検証、継続的な評価、最先端の機密コンピューティングによって保護し、NIST AI RMFやEU AI法のようなフレームワークの指導の下で綿密に統治する組織です。