著者:Heather Fyson
2026年、企業に最も深刻な打撃を与えたセキュリティ侵害は、天才的な攻撃者によってではなく、1つの「鍵」から始まりました。つい最近も、ハッカーがMeta AIにInstagramアカウントへのアクセス権を要求したところ、そのまま許可されてしまいました。また今年初めには、自律型エージェントがMcKinseyの機密ファイルにアクセスして持ち出す(抽出する)事案も発生しました。システムは単に、与えられた権限の範囲内で動いただけだったのです。
それより20年前の2006年、AOLの調査チームが65万人以上のユーザーによる2,000万件の検索クエリを公開ウェブサイトに掲載しました。これを公開した人々は、正当なアクセス権限を持っていました。つまり、ハッキング(侵害)があったわけではなく、誰もその影響を深く考えないまま「許可された行動」が実行されただけだったのです。データは、「本当に公開すべきか」を誰も問い直す前に流出してしまいました。
人間であれAIシステムであれ、広範で管理の行き届かないアクセス権が与えられていると、有効な認証情報を使って不適切な行動が実行されてしまい、ビジネスに即座に大打撃を与えます。今日の企業におけるセキュリティ侵害は、過剰なアクセス権限を与えている一方で、監視体制が不十分であるという「アーキテクチャ」の欠陥に起因しています。これらの侵害は、明確な設計思想(デザイン)なしに「利便性」と「セキュリティ」が共存できると思い込んでしまった結果なのです。
だからこそ、AIエージェントのセキュリティ問題は「AIの問題」ではなく、「アーキテクチャの問題」と言えます。
目次
私たちが直面しているのは、かつてExcelのマクロやブラウザの拡張機能がセキュリティ上の脅威となり、権限過剰なサービスアカウントを負債に変えたものとまったく同じリスクです。
これらが普及した理由はどれも同じで、「利便性」にありました。導入が早く、使いやすい反面、システムや認証情報に対して監視のない広範なアクセス権を持ち、内部ロジックの検査や統制が困難になると、一転して重大な負債となります。
今年初め、Microsoftはガードレールのない環境で「Claude(クロード)」などの生成AIを実行するリスクについて警告しました。そのAIの魅力は「すべてを見通せること」ですが、すべてを見るためには、すべてを許可しなければなりません。
私たちは何年もかけてその教訓を学び、「最小権限(least-privilege)アーキテクチャ」を構築し、認証情報管理、コードレビューのゲート、監査トレールを徹底してきました。しかし現在、自律型のAIエージェントは、私たちにそのすべてを忘れさせようとしています。
企業環境におけるAIエージェントの魅力は明白です。CRMを読み込み、データウェアハウスにクエリを投げ、連絡文を起草し、後続のワークフローをトリガーできるエージェントは、まさにビジネスを大きく変革します。複数のシステム間で同時に連携できるエージェント群(エージェントスウォーム)であれば、その効果はさらに高まります。
しかし、その高い能力は、裏を返せば「制御されていないプロセスには絶対に持たせたくない権限」そのものです。
企業システムへの広範なアクセス権(ツール、データソース、外部サービス間での読み取り、書き込み、実行、通信の権限)を持つAIエージェントは、本質的に「権限過剰なサービスアカウント」と変わりません。リスクプロファイルは同じであり、たった一つのコンポーネントが侵害されるだけで、環境全体に被害が拡大する可能性があります。
今この状況が特に危険である理由は、AIレイヤーによって、これまでに存在しなかった「新しい攻撃対象領域(アタックサーフェス)」が生まれているためです。ハッカーがモデルを悪意を持って操作し、セーフガードやフィルターを無視させて意図しない行動を取らせる「プロンプトインジェクション」は、深刻でありながらまだ十分に認識されていない脅威です。
ここで、AIのセーフガードについてより正確な議論が必要になります。
「モデルに『何かをしないように教えること』は、その『権限を制限すること』とは完全に異なります。システムプロンプトによる指示、ファインチューニング、拒否トレーニングなどの行動ガードレールは確率論的なものであり、バイパス(回避)される可能性があります」
―― レオン・ウェンツラー(KNIME、DevSecOpsエンジニア)
エージェントのアーキテクチャにおいて「データの層」と「指示の層」が分離されていない場合、埋め込まれた悪意ある指示によって、プロセスを監視しているはずの人間の目に見えない形で行動が誘導されてしまう可能性があります。
データの層と指示の層を分離することは、エージェントが最初から「データを指示として処理すること」を防ぐための設計上の制約(構造的な例)です。この分離がなされていれば、「悪意ある指示を無視するように訓練されているか否か」という議論はほとんど意味をなさなくなります。これこそが、より広範なAIデプロイ(実装)を律するべきロジックです。一次防衛線として権限レベルの制御とアーキテクチャの境界を置き、行動ガードレールはあくまで二次的なレイヤーとして位置づけるべきであり、その逆であってはなりません。
航空機に予備のパラシュートが搭載されているのには理由があります。主パラシュートが故障しやすいからではなく、万が一故障した際の影響が深刻であるため、単一のセーフガードだけでは不十分だからです。効果的なセキュリティも同様に機能します。1つのレイヤーが失敗しても、各レイヤーが「被害半径(ブラストライディアス)」を限定します。この原則は、AIエージェントの導入にもそのまま当てはまります。
以下は統制リストのすべてではありませんが、個人利用に適したものと、企業(エンタープライズ)グレードのAIデプロイを区別する「5つのアーキテクチャ上の考慮事項」です。
エージェントの実行環境は、他のエージェント、オーケストレーション層、そして広範なネットワークから分離されるべきです。これは決して新しい概念ではなく、信頼できないプロセスを設計する際の標準的な手法(カノニカルな方法)です。新しいのは、導入を急ぐあまり、このプロセスが省略されがちであるという点です。
2026年2月、n8nにおける重大な問題により、何十万もの企業向けAIシステムがリスクにさらされました。n8nはアクセス権を持っていましたが、侵害されたコンポーネントが到達できる範囲を制限する「コンテナ」がありませんでした。アカウントが侵害された瞬間、そのアカウントが人事記録や認証情報など、スコープ内のあらゆるデータを読み取ることを防ぐ手段がなかったのです。
コンテナがあれば状況は変わります。仮にアカウントが侵害されても、コンテナによって影響範囲が限定されます。アーキテクチャによって人事データへの道が遮断されているため、データは安全に保たれます。
実行環境を制限されたネットワークや隔離されたデータ領域(データエンクレーブ)に移動させ、出力が検証されるまで本番システムから隔離しておけば、問題が発生した際にも封じ込めることができます。優れたアーキテクチャは、「いつか問題が起きる」という前提に立って設計されています。
また、適切に設計されたプラットフォームであれば、実行場所をベンダー管理のインフラにするか、自社の物理サーバーやプライベートクラウドにするかを選択できるため、機密性の高い計算場所に対するコントロールを犠牲にすることなく、封じ込めを実現できます。
ロジックが「コード(テキスト)」の中に存在していると、セキュリティリスクはあらゆる場所に潜むことになります。すべての行がデータにアクセスし、外部サービスを呼び出し、認証情報を操作し、システムレベルの操作を実行する可能性を持っているからです。
Pythonやその他のスクリプト言語では、実行可能なアクションを制限するルールを後から追加できますが、それらのルールはコード自体の「外側」に位置します。そのため、見落とされたり、設定ミスが起きたり、バイパスされたりする危険があります。このようなシステムを監査するには、すべての行を読み解く必要があります。すべての行が怪しいからではなく、すべてを読まなければ、どの行が重大なリスクを持っているか判別できないからです。
ビジュアルワークフローモデルはそれを変えます。ワークフローそのものがプログラミング言語であり、設計段階から意図的な制約を設けます。リスクは、明示的に開いた特定の可視化された場所にしか存在し得ません。
各ノードは、設計された通りの機能しか実行しません。カスタムスクリプト、外部API呼び出し、認証情報の使用といったセキュリティ上重要なロジックは、ワークフロー内で視覚的に隔離されており、テキストの行の間に散らばることはありません。監査人は、隠された挙動を探すためにコードベース全体を捜索する必要はなく、任意の厳格なアクションが実行可能なノードに絞ってレビューすれば、残りのワークフローが定義済みの制限された挙動の範囲内で動いていると確信できます。
これには実務上、以下のようなメリットがあります:
これは、後から付け足すセキュリティではなく、プログラミングモデルそのものに組み込まれた「デザインによるセキュリティ」です。
認証情報は、コード内にハードコードされたり、グローバルに利用可能であったり、エージェントの実行環境のどこからでも暗黙的にアクセスできたりしてはなりません。
適切に設計されたシステムでは、認証情報は使用する「その瞬間(ノード)」に明示的に接続されます。その使用は意図的であり、可視化されています。これにより、侵害されたエージェントが最も危険な存在となる原因である「隠れた認証情報の刈り取り(ハーベスティング)」を排除できます。侵害されたコンポーネントから認証情報にアクセスできなければ、それが盗まれることもありません。
エージェントが外部の、あるいは信頼できないコンテンツ(ドキュメント、メール、ウェブデータ、ユーザー入力など)を処理する場合、そのコンテンツが流れるレイヤーは、エージェントに指示を出すレイヤーから構造的に分離されている必要があります。これが、プロンプトインジェクションに対するアーキテクチャ上の回答です。
実務においては、これは「決定すること」と「実行すること」が分離されていることを意味します。
「データ層におけるデータフローを完全に分離することにより、機密情報がエージェントに露出するリスクを確実になくすことができます。エージェントはデータ層を直接把握して直接アクセスすることなく、適切な情報を得た(インフォームドな)状態でデータ層をオーケストレート(制御)します」
―― イヴァン・プリガリン(KNIME、AI開発担当)
たとえば、リサーチエージェント(Research Agent)は、データベースからデータを取得するツールと、ドキュメントリポジトリを検索するツールの2つにアクセスできるとします。どちらのツールもデータ層で動作し、エージェント自体はそのリサーチプロセス全体をオーケストレートします。
>【動画】「KNIMEでリサーチエージェントを構築する方法」を視聴する
しかし、分離はそれだけにとどまりません。
ツール自体、およびそれらが実行するデータフローも同様に、大規模言語モデル(LLM)に何をどのように送信するかを統制するレイヤーから分離されるべきです。
エージェントをツールの実行から分離することで、1つのクラスの攻撃対象領域が排除され、LLMに向かって流れる内容(およびその方法)を統制することで、もう1つの領域が排除されます。
この2つ目の分離を大規模に徹底するには、LLMに到達する内容を中央で一元管理する必要があります。
「KNIMEでは、この課題に対して『AI Gateway』を導入し、すべてのAI通信を指定された信頼できるプロバイダー経由でルーティングできるようにしました。これにより、データが承認されていない不適切なツールに送信されていないという確証を得られます。また、KNIMEは一連のAIガバナンス機能を提供しており、チームはAIの出力にバイアスやハルシネーション(幻覚)がないかを分析したり、データを匿名化したりするガードレール用ワークフローを構築できます」
―― イヴァン・プリガリン(KNIME、AI開発担当)
適切に管理されたワークフローにおいては、いかなる時点であっても、「誰が行動しているのか」「どの認証情報が使用されているのか」「どのシステムにアクセスしているのか」「どんなアクションが実行されているのか」が即座に明白でなければなりません。
この明白さは、複数の認証情報が関与している場合や、エージェント間で処理が引き継がれる場合、そしてそれが大規模に展開される場合であっても維持される必要があります。
再現可能で監査可能なビジュアルワークフローを使用していれば、目に見えない背景でのアクティビティや、暗黙的な権限昇格(特権昇格)、データがどこに流れているかという曖昧さは一切発生しません。
これこそが、セキュリティを「侵害が起きた後に何があったかを突き止めるリアクティブ(事後的)な調査」から、「プロアクティブ(事前的)な設計」へと変貌させる鍵となります。
企業導入のためにAIエージェントや自動化プラットフォームを評価する際、セキュリティに関する質問はアーキテクチャに関するものであるべきであり、表面的なものであってはなりません。「安全ですか?」という質問は役に立ちません。
代わりに、以下のように問いかけてみてください:
もしこれらの回答が、ドキュメントに記載された「約束」ではなく、システムの設計(アーキテクチャ)によって「強制」されているものであれば、それは構築する価値のある強固な基盤です。
これらはすべて、企業におけるAIエージェントの導入に反対するための議論ではありません。生産性の向上や意思決定支援におけるメリットは本物であり、適切に導入した組織は、そうでない組織に対して大きな優位性を持つことになります。
ここで主張したいのは、「導入における規律(ディシプリン)」が重要であるということです。AIエージェントから持続的な価値を引き出せる組織とは、最初のインシデントが起きた後に慌ててガバナンスを後付けするのではなく、アーキテクチャの問題をはじめから最優先事項として扱う組織です。
企業のセキュリティが20年間かけて学んできた教訓は、ここでもそのまま適用できます。しかし、それらは、私たちがかつて統制してきたものよりも遥かに強力で、広く普及しようとしている「新しいクラスの能力」に対して、改めて適用されなければならないのです。
KNIMEは、データ処理からAIエージェントの運用まで、すべてのプロセスを可視化するノーコード・ビジュアルワークフローを提供し、「デザインによるセキュリティ(Security by design)」を強力に支援します。特権の暴走やシャドーAI、プロンプトインジェクションへの対策など、エンタープライズ環境で求められる厳格なデータガバナンスとアーキテクチャの構築についてのご相談、デモンストレーションのご要望など、お気軽にお問い合わせください。
このサイトでは、クッキー (cookie)などの技術を使用して取得したアクセス情報等のユーザ情報を取得しております。
この表示を閉じる場合、プライバシーポリシーに同意いただきますよう、お願いいたします。