Google Cloud Community Tech Surge 2026 presented by Jagu'e'r
公募セッション(30分)
配信会場(東京)

セキュリティ in the AI Agent Era

pict3desu 廣山 豊 pict3desu

◻︎セッション概要(500文字以内)
本セッションは、「セキュリティ in the AI Agent Era」と題し、AI Agentの飛躍的な進化とそれに伴うセキュリティリスクを解説したものです。 2025年は、Googleによる「Gemini 3」や開発環境「Antigravity」の発表など、AIが単なる補助(Co-pilot)から自律的な「相棒(Partner)」へと変貌を遂げたパラダイムシフトの年と位置づけています。一方で、AI Agent特有の「自律ループ処理」や「ツール使用」は、従来のセキュリティ境界を突破する新たな脅威を生み出しました。 セッションでは、間接的プロンプトインジェクションや権限昇格などの具体的リスクを詳説し、多層防御やHuman In The Loop(HITL)といった対策を提示します。さらに2026年の課題として「シャドーエージェント」への対応や、ISO42001(AIMS)等のガバナンス構築の必要性を提言しています。

◻︎想定オーディエンス・得られる学び(500文字以内)
想定オーディエンス
• Google Cloudを利用してAI開発・運用を行うエンジニア
• 組織内のAI導入におけるセキュリティリスクを懸念するIT管理者・セキュリティ担当者
• AI Agentの最新トレンドとガバナンス戦略に関心がある経営層・リーダー
得られる学び
• AI Agentの仕組みと進化: 従来のチャットボットと異なり、目的達成のために自律的に計画・行動・修正を行うエージェントのアーキテクチャ(認知・思考・行動ループ)を理解できます。
• 最新のセキュリティ脅威: ユーザーに悪意がなくても被害に遭う「間接的プロンプトインジェクション」や、エージェントがユーザーの権限を超越する「混乱した代理人(Confused Deputy)」問題など、自律型AI特有のリスクシナリオを学べます。
• 実践的な防御策と未来の課題: エージェントの暴走を防ぐためのHuman In The Loop (HITL) やOn-Behalf-Of (OBO) 認証といった具体的な技術対策に加え、従業員が勝手に強力なエージェントを使用する「シャドーエージェント」問題など、2026年に向けた組織的な課題と対策指針が得られます。

◻︎セッション詳細(1000文字程度)

  1. 2025年の振り返り:AI Agentへのパラダイムシフト 2025年はAI Agentにおいて飛躍的な進化があった年です。Googleからは、思考プロセスを経て回答する「Thinking Mode」や、エージェント開発基盤「Vertex AI Agent Engine」、そして年末には「Gemini 3」やAIエディタ「Antigravity」がリリースされました。 これによりAIは、指示待ちの「副操縦士(Co-pilot)」から、抽象的なゴールを与えれば自律的にツールを使い、試行錯誤(ループ処理)を繰り返して完遂する「相棒(Partner)」や「優秀な新入社員」へと役割を変えました。
  2. AI Agent特有の新たなリスク この自律性は、従来の決定論的なソフトウェアとは異なる新たな攻撃面を生み出しています。
    • 間接的プロンプトインジェクション: 攻撃者がWebサイトやメールに不可視の命令を埋め込み、エージェントがそれを読み込むことで、ユーザーの意図しない動作(情報の外部送信など)を強制させられます。
    • 権限の不一致(混乱した代理人): エージェントが高い権限(管理者権限など)を持っている場合、一般ユーザーがエージェントを介して本来アクセス権のない人事データ等にアクセスできてしまうリスクです。
    • メモリポイズニング: エージェントの長期記憶(Vector DB等)に悪意ある情報を潜伏させ、将来的にその情報を参照したタイミングで攻撃が発動する、いわば時限爆弾のような攻撃です。
    • IDEsaster: 自律型エージェントを搭載したIDEにおいて、リポジトリのREADMEを開くだけで設定が書き換えられるなどの脆弱性も確認されています。
  3. リスク対策:多層防御アーキテクチャ これらのリスクに対し、以下の対策が推奨されています。
    • HITL (Human In The Loop): 重要な操作(決済、本番環境への変更など)の直前には、必ず人間の承認プロセスを挟み、AIの完全な独走を防ぎます。
    • OBO認証とJITアクセス: エージェント独自の権限ではなく、依頼したユーザーの権限代理(On-Behalf-Of)として振る舞わせ、かつその権限を一時的(Just-In-Time)なものに制限します。
    • サンドボックス化: コード実行などの危険なタスクは、コンテナやWebAssemblyなどの隔離環境で行い、システムへの影響を遮断します。
  4. 2026年の予測: 最後に、重要なポイントに対する2026年の予測として、いくつか紹介します。「権限管理の課題」では、権限管理の複雑化と管理の難しさを。「シャドーエージェント」は従業員が企業の承認を得ずに強力な自律型エージェントを導入・運用してしまう問題について触れます。 現在、組織の63%がAIポリシーを欠いているとされ、ISO 42001 などの国際認証を活用し、開発から運用までのライフサイクル全体でリスクを管理するガバナンス体制の構築が急務とされています。
    AI Agentは発展をもたらす一方で破壊のリスクも孕んでおり、技術とガバナンスの両輪で立ち向かう必要があります。