何が起きたか
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、オーストラリアの豪州シグナルズ・ダイレクトレート(ASD)、カナダ・サイバーセキュリティセンター、ニュージーランドの国家サイバーセキュリティセンター、および英国の国家サイバーセキュリティセンター(NCSC)と協力して、エージェンティック AI システムの設計、開発、およびデプロイメントガイドラインを概説する共同勧告を発表しました。この勧告は、最小権限原則の厳密な遵守、継続的な監視と監査、機密でないタスクに対する人間が関与するループ制御、DevSecOps の基本原則に基づくセキュアな開発慣行、および定期的なインシデント対応テストを義務付けています。
なぜ重要か
これは、エージェンティック AI セキュリティを特に対象とした最初の調整された多国間ガイダンスです。この勧告は、プロンプトインジェクション、ツールの悪用、権限の段階的な拡大、ID スプーフィング、およびエージェント偽装を明確に扱っています。これらは従来のアプリケーションセキュリティモデルが処理するように設計されていない攻撃ベクトルです。エージェント(ユーザーだけでなく)に対する最小権限と継続的な監査に関する CISA の強調は、AI エージェントが分散システム全体でマシン速度で動作し、静的な信頼境界でセキュアにすることが困難であることの認識の高まりを反映しています。これらの制御を実装せずにエージェントをデプロイする組織は、攻撃者に昇格された権限を持つ永続的で自動化されたフットホールドを与えるリスクがあります。
必要な対応
CISO は、デプロイされたすべての AI エージェントのインベントリを実施し、各エージェントがアクセスできるデータ、ツール、およびシステムを文書化する必要があります。エージェントの権限を各タスクに必要な最小限度に制限する最小権限ポリシーを実装します。欺瞞的なエージェント動作、異常な API 呼び出し、またはスコープの拡大にフラグを立てるための継続的な監視を確立します。ツール使用機能を持つエージェント(MCP サーバー、LangChain ツールなど)の場合、インフラストラクチャを変更する、機密データにアクセスする、またはコードを実行するアクションに対して人間による承認を実施します。特にエージェンティック AI 侵害シナリオについてインシデント対応計画を確認およびテストします。