AIエージェントが「二重スパイ」になる日
「御社のAIエージェント、何台動いてますか?」
この質問を投げると、だいたい2つの反応に分かれる。「えーと、たぶん5つくらい?」と曖昧に答える人と、「正直、把握しきれてない」と苦笑する人。後者のほうが圧倒的に多い。
2026年3月、Microsoftがある衝撃的なフレームワークを発表した。「Zero Trust for AI(ZT4AI)」——AIエージェントを「社員」と同じように身元確認し、権限を管理し、行動を監視する仕組みだ。
なぜ今これが必要なのか。IDCの予測では、2028年までにAIエージェントは世界で13億体に達する。そして現時点で、企業のAIエージェントの半数以上がセキュリティの監視なしに稼働している。Microsoftはこれを「ダブルエージェント(二重スパイ)問題」と呼んでいる。本来業務を助けるはずのAIが、意図せず情報漏洩や不正アクセスの片棒を担いでしまうリスクだ。
この記事では、MicrosoftがなぜZero Trust for AIを作ったのか、具体的に何が変わるのか、そして日本企業が今すぐ確認すべきことを整理する。
「うちは大丈夫」が一番危ない——数字が示す現実
まず、現状の数字を見てほしい。
| 指標 | 数値 | 出典 |
|---|---|---|
| AIエージェント関連のセキュリティインシデントを経験した企業 | 88% | Gravitee AI Agent Security 2026 Report |
| 「既存ポリシーで十分」と確信している経営層 | 82% | Gravitee(同上) |
| エージェントの権限・ツール使用・データアクセスを完全に把握している経営層 | わずか21% | Gravitee(同上) |
| セキュリティとIT部門の正式承認を得て本番稼働したAIエージェント | 14.4% | Gravitee(同上) |
| 一貫したセキュリティ監視なしに稼働しているAIエージェント | 50%超 | Gravitee / HiddenLayer |
| シャドーAI(未承認AIツール使用)を問題視する企業 | 76% | HiddenLayer 2026 AI Threat Report |
82%の経営者が「うちは大丈夫」と思っている。でも実態を見ると、エージェントの動きを把握しているのはたった21%。この61ポイントのギャップが、いま企業が抱えている最大のリスクだ。
さらに怖い数字がある。シャドーAI起因のセキュリティインシデントは、通常のインシデントより平均67万ドル(約1億円)コストが高い。「勝手に使われているAIツール」が、気づかないうちに会社の機密データを外部に流出させている——これは想定シナリオではなく、すでに起きている現実だ。
MicrosoftがZero Trust for AIで解決しようとしていること
2026年3月19日、MicrosoftはZero Trust for AI(ZT4AI)を正式に発表した。従来のZero Trust(ゼロトラスト)セキュリティをAIの世界に拡張する、包括的なフレームワークだ。
ゼロトラストの3原則はそのまま踏襲する。ただし、適用対象が「人間」から「AIエージェント」にまで広がった。
原則1:常に明示的に検証する(Verify Explicitly)
AIエージェントのIDと行動を継続的に評価する。人間の社員がIDカードで認証されるように、AIエージェントにも固有のIDを持たせる。
原則2:最小権限を適用する(Least Privilege)
モデル、プロンプト、プラグイン、データソースへのアクセスを必要最小限に制限する。「とりあえず管理者権限」はAIエージェントにも許さない。
原則3:侵害を前提とする(Assume Breach)
プロンプトインジェクション、データポイズニング、ラテラルムーブメント(横展開攻撃)に対してAIシステムを耐性のある設計にする。
「原則自体は新しくない。新しいのは、これをAI環境に体系的に適用する方法だ」——Microsoftのセキュリティブログにはこう書かれている。正直な言い方で好感が持てる。
具体的に何が変わるのか——5つの新ツール
フレームワークだけでは絵に描いた餅だ。Microsoftは具体的なツール群を同時にリリースしている。
1. Microsoft Entra Agent ID——AIエージェントに「社員証」を発行
これが今回の発表で最もインパクトが大きい。AIエージェントに固有のIDを付与し、人間の社員と同じゼロトラスト管理を適用する仕組みだ。
- 条件付きアクセス:エージェントのコンテキストとリスクを評価してからリソースへのアクセスを許可
- ID保護:異常な行動を検知してリスクベースのアクセスポリシーを適用
- IDガバナンス:エージェントのアクセスライフサイクルを管理。必ずオーナーを設定し、期限付きのアクセス権を付与
- エージェントレジストリ:組織内の全エージェントのインベントリを維持
要するに、「誰がこのエージェントの責任者で、このエージェントは何にアクセスできて、いつアクセス権が切れるか」を全部管理できるようになる。当たり前のことだが、現状これをやっている企業は21.9%しかない。
2. Agent 365——エージェントの「管制塔」
Agent 365は、組織内のすべてのAIエージェントを一元管理するコントロールプレーンだ。Microsoft製のエージェントだけでなく、エコシステムパートナーのエージェントも対象になる。
- エージェントの活動をリアルタイムで可視化
- スプロール(エージェントの無秩序な増殖)を検知・管理
- リソース使用量を制御
一般提供開始:2026年5月1日
3. Microsoft 365 E7: The Frontier Suite
Agent 365に加えて、Microsoft 365 Copilot、Entra Suite、Defender、Intune、Purviewの高度なセキュリティ機能を統合した包括的スイート。ユーザーとエージェントの両方を保護する。
一般提供開始:2026年5月1日
4. Zero Trust Workshop(AIピラー追加)
既存のZero Trust Workshopに、AIに特化した新しい柱を追加。700のセキュリティコントロールを116の論理グループ、33の機能スイムレーンに整理している。セキュリティチームが「何をすべきか」から「どう実行するか」に素早く移行できる設計だ。
具体的には以下の4つを評価する:
- AIアクセスとエージェントIDのセキュリティ
- AIが使用・生成する機密データの保護
- 企業全体でのAI使用状況と行動の監視
- リスクとコンプライアンスに沿った責任あるAIガバナンス
5. パターン&プラクティス(実践ガイド)
Microsoftは5つの実践パターンも公開した。ソフトウェア設計のデザインパターンのように、AIセキュリティの定型的な課題に対する再利用可能なアプローチだ。
| パターン | 内容 |
|---|---|
| AIの脅威モデリング | 従来の脅威モデリングがAIで破綻する理由と、再設計の方法 |
| AIオブザーバビリティ | エンドツーエンドのログ、トレーサビリティ、監視 |
| エージェント型システムの保護 | エージェントのライフサイクル管理、ID・アクセス制御、ポリシー適用 |
| 堅牢な安全工学の原則 | 実運用AIシステムの安全設計原則 |
| 間接プロンプトインジェクション防御 | 入力処理、ツール分離、ID管理、メモリ制御、ランタイム監視による多層防御 |
特に間接プロンプトインジェクション(XPIA)のパターンは実務で即使える。外部の信頼できないコンテンツに埋め込まれた悪意ある指示が、AIエージェントを操作する攻撃だ。従来の単一の対策では防げないため、多層防御(Defense-in-Depth)が必要——という具体的なガイダンスが提供されている。
Before → After:何が変わるのか
Zero Trust for AIの導入前後で、企業のAIセキュリティ状態がどう変わるかを整理した。
| 項目 | Before(現状) | After(ZT4AI導入後) |
|---|---|---|
| エージェントのID管理 | 共有アカウントやAPIキーで運用。誰が何を動かしているか不明 | Entra Agent IDで個別ID付与。条件付きアクセスとリスク評価を適用 |
| エージェントの権限 | 「とりあえず管理者権限」で動かす。過剰な権限が常態化 | 最小権限の原則。期限付き・スコープ限定のアクセス権 |
| エージェントの可視性 | 何台稼働しているか把握できていない(エージェントスプロール) | Agent 365で全エージェントを一元管理。レジストリで棚卸し |
| インシデント対応 | エージェント起因のインシデントを検知できない | AIオブザーバビリティで異常行動をリアルタイム検知 |
| データ保護 | エージェントが機密データにアクセスし放題 | Purviewでデータ分類・ラベリング・DLP(情報漏洩防止)を適用 |
| セキュリティ評価 | 手動で設定を確認。時間がかかりミスも発生 | Zero Trust Assessmentで自動評価。700コントロールを体系的にチェック |
落とし穴と、正直に伝えるべきこと
ここからは少しシビアな話をする。
落とし穴1:Microsoftエコシステムへの依存度が上がる
Entra Agent ID、Agent 365、Purview、Defender……全部Microsoft製品だ。これを全面導入すれば、セキュリティスタックがMicrosoftに一極集中する。マルチクラウド・マルチベンダー戦略を取っている企業にとっては、ベンダーロックインのリスクが無視できない。
ただしMicrosoftは「エコシステムパートナーのエージェントも管理対象」と明言している。実際にどこまでサードパーティのエージェントをサポートするかは、5月1日のGA以降に検証が必要だ。
落とし穴2:中小企業にはオーバースペック?
M365 E7スイートの価格は未公開だが、E5の上位版であることを考えると安くはない。AIエージェントを数台しか使っていない中小企業にとって、700コントロールの評価フレームワークは明らかにオーバースペックだ。
対策として、まずは無料のZero Trust Workshop(公開ガイド)から始めるのが現実的だ。
落とし穴3:「ツール入れれば解決」ではない
ツールは手段であって、組織の運用体制が伴わなければ意味がない。特に以下の3つは、ツール導入前に整備すべきだ:
- エージェントオーナーシップの明確化:すべてのAIエージェントに「責任者」を割り当てる
- インベントリの棚卸し:今動いているAIエージェントとAIツールの全リストを作る
- インシデントレスポンス計画の更新:「AIエージェントが暴走した場合」のシナリオを追加する
日本企業が今週やるべき3つのこと
「Zero Trust for AIは大企業の話でしょ?」と思ったかもしれない。でも、88%の企業がAIエージェント関連のインシデントを経験しているという数字は、規模を問わない。ChatGPTを社内で使っている時点で、あなたの会社もこの話の当事者だ。
1. 今週中:AIエージェント・AIツールの棚卸し
まず「うちの会社で誰が何のAIツールを使っているか」を把握する。公式に導入したものだけでなく、シャドーAI(個人が勝手に使っているChatGPT、Claude、Geminiなど)も含めて洗い出す。
チェックリスト:
- 各AIツール/エージェントの名前と用途
- アクセスしているデータの種類(顧客情報、財務データ、社内文書など)
- 誰が管理・運用しているか(オーナー不在なら即アサイン)
- 認証方法(APIキーの共有は即刻やめる)
2. 今月中:利用ガイドラインの策定 or 更新
すでにAI利用ガイドラインがある企業は、以下の観点で見直す:
- AIエージェント(自律的に動くAI)に関する条項はあるか?
- 機密データをAIに入力する際のルールは明確か?
- 新しいAIツールの導入プロセス(承認フロー)はあるか?
まだガイドラインがない企業は、AIエージェント導入完全ガイドを参考に、最低限のルールを作ることから始めてほしい。
3. 来月:Microsoftの無料リソースで自己評価
5月1日のAgent 365 GA前に、無料で使えるリソースを活用する:
- Zero Trust Workshop(AIピラー含む):自社のセキュリティ態勢を評価
- Zero Trust Assessment:ID、デバイス、データ、ネットワークの自動評価(AI柱は2026年夏に追加予定)
- エージェント型システム保護パターン:具体的な実装ガイダンス
この先どうなるか
MicrosoftはRSAC 2026(2026年3月23日〜26日)で、Zero Trust for AIに関する3つのセッションを予定している。ここで追加のガイダンスや事例が公開される可能性が高い。
また、Zero Trust Assessment のAIピラーは2026年夏に提供予定だ。これが出れば、AIに特化したセキュリティ評価を自動化できるようになる。
大きな流れとして、AIエージェントのセキュリティは「あったらいいね」から「なければ致命的」なフェーズに入った。Gartnerは2028年までにセキュリティインシデント対応の50%がAIアプリ起因になると予測している。Microsoftがこのタイミングでフレームワークを出してきたのは、まさにその危機感の表れだ。
AIエージェントの導入を「業務効率化」の文脈だけで考える時代は終わった。「セキュリティ設計込みの導入」が、これからの標準になる。
参考・出典
- New tools and guidance: Announcing Zero Trust for AI — Microsoft Security Blog(参照日: 2026-03-20)
- Secure agentic AI for your frontier transformation — Microsoft Security Blog(参照日: 2026-03-20)
- HiddenLayer 2026 AI Threat Landscape Report — PR Newswire(参照日: 2026-03-20)
- State of AI Agent Security 2026 Report — Gravitee(参照日: 2026-03-20)
- AI Agent Security in 2026: The Risks Most Enterprises Still Ignore — Beam.ai(参照日: 2026-03-20)
- Microsoft Entra Agent Identities for AI Agents — Microsoft Learn(参照日: 2026-03-20)
—
この記事はUravation編集部がお届けしました。
あわせて読みたい:
- AIエージェントの半数は「無監視」で動いている — 5つの調査が示すガバナンスの危機
- Gartner衝撃予測|セキュリティ対応の半分がAIアプリ起因になる日
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
