何が起きたか
Infosecurity Europe中のOWASP GenAI Security Summit(2026年6月4日)において、OWASP GenAI Security Projectは、2023年6月3日論文「State of Agentic AI Security and Governance v2.01」から導出されたエージェンティックAIのエンタープライズ導入成熟度モデルを紹介しました。このモデルは、6つのエージェントデプロイメントレベル(AT0シャドウAIからAT5カスタムインハウスエージェントまで)を4つのガバナンス成熟度レベル(アドホックから継続的なgovernance-as-codeまで)に対応させ、ガバナンスがデプロイメントに合致していない箇所をフラグする赤/黄/緑マトリックスを生成します。OWASPはまた、エージェンティックシステムの継続的なセキュリティ研究を調整するためのAgentic Research Councilの形成を発表しました。
なぜ重要か
エージェントをデプロイしているほとんどの組織は「赤セル」で運用されています — AT3~AT5自律型エージェントを展開しながら、AI copilotのために設計されたAT1レベルのガバナンスを実行しています。成熟度モデルは、脅威モデリング、調達要件、監査基準に関する共通言語を提供し、コンサルティングチームとCISOが特定のコントロール投資または自律性削減を正当化するために即座に適用できます。
必要な対応
OWASPデプロイメント-ガバナンスマトリックス上に組織がデプロイしたエージェントをプロット化してください。赤セル内のすべてのエージェントは、命名されたオーナー責任、AI-SBOM、リアルタイムログ、および自律性の制限を獲得して(レベル2に到達するために)いずれかを実行するか、既存のコントロールで十分になるまでそのツールの範囲とパーミッションを削減する必要があります。