AI・テクノロジー
Googleが提唱する、AIエージェント時代のセキュリティ対策
Takahiro Hamaguchi
2026年5月25日・10分で読める
@t_hamaguchi
日本メディカルAI学会所属 愛媛県の調剤薬局で働く薬剤師です。 薬剤師が自信を持ってAIを活用するためのWebサイト「薬剤師のためのAIノート」の管理者です。 noteの記事は「https://note.com/pharma_i_cist」からどうぞ。 <資格等> 日本薬剤師研修センター 研修認定薬剤師 日本メディカルAI学会公認資格 基本情報技術者試験合格 JDLA G検定 2024#5 <修了プログラム> Google AI Essentials(Coursera) IBM Data Science(Coursera) Google AI Professional(Coursera)
なるほど、AIエージェントが自律行動する時代にゼロトラストをどう適用するかは本質的な問いですね。人間前提の認証設計をそのままエージェントに使うのは無理がある。エージェント固有のIDや権限管理、どう標準化していくんでしょう?
コメントありがとうございます! NIST(サイバーセキュリティの世界的権威)は、2026年2月にAI Agent Standards Initiativeを立ち上げていますが、そこではエージェントの認証やIDインフラの基礎研究も進める予定であることが説明されています [1] 。 恐らく、既存のID・認証の標準を拡張しながら、AIエージェント用のプロファイルが作られていくものと想像します。 [1] https://www.nist.gov/artificial-intelligence/ai-agent-standards-initiative
元論文:https://arxiv.org/abs/2605.22985
誰も信頼しないことを前提にしたセキュリティ対策のことをゼロトラストと呼びます。例えば、電子薬歴にIDとパスワード(または生体認証など)を設定したり、アカウントごとに必要最小限の権限のみを付与したりして、第三者になりすました不正な操作を防ぐアプローチは、ゼロトラストの一部に該当します。
ただ、AIエージェントが人間の代わりに大量のデータにアクセスする現代においては、従来のゼロトラストに基づいた考え方だけでは不十分になると著者らは指摘しており、今回の論文では、アクセス制御の単位をアプリ単位から「個別のデータに対する個別の操作」という単位へと細かく設定する、「Beyond Zero」という考え方が提案されています。
Beyond Zeroは、Googleが以前から提案してきたBeyondCorp(ゼロトラスト型の企業セキュリティ)を、AIエージェントが活躍する時代に合わせて拡張する構想です。
AIエージェントは、短時間に多数の文書を読み取り、要約し、比較し、最終的に別のシステムに転送することも可能なので、「このアプリを使って(アクセスして)よいか」というレベルの制御のままだと、アプリ内でのAIエージェントの細かい行動を十分に制御できない可能性があります。
そこでBeyond Zeroでは、「この人物(またはAIエージェント)が、この特定の機密文書を、今この目的で開いてよいか」というレベルで制御することを目的としています。
Beyond Zeroは、以下の4つの要素で構成されています。
SalesGenieは、社内の営業レポートを読む権限を持っているAIエージェントです。ある日、SalesGenieは以下のような特徴を持つ機密性の高い文書にアクセスを試みました。
SalesGenieを動かしたユーザー(社員)は、北東部の金融サービスのお客さんに関する業務のみを担当していますが、最近は自分の業務とあまり関係のない情報へのアクセスを試みており、リスクスコアが高くなっています。
従来型のBeyondCorpによるチェックの場合、主に以下のような内容が確認されます。
チェックの結果、「AIエージェントと指示した人間の双方が、有効な証明書・承認済みデバイス・IDを持ち、営業レポートへのアクセス権を持っているため、アクセスを承認」しました。BeyondCorpによるチェックは、「このアプリやツールを使ってよいか」というレベルの制御であるため、「SalesGenieが機密性の高い文書にアクセスする目的」までを十分に評価できなかったと解釈できます。
先程のBeyondCorpによるチェックでは、例えば以下のような情報を見落としてしまいます。
これらは、Beyond Zeroの仕組みで初めて評価されます。
文書の機密性、担当業務との不一致、最近の行動やリスクスコアなどを確認したうえで、「このユーザーやAIエージェントが、今この文書に、この目的でアクセスするのは妥当か」を判断できるので、今回のシナリオにおける「本来不要な機密文書へのアクセス」を許容してしまうリスクを減らすことが可能になると考えられます。
今回の論文におけるambient authorityとは、AIエージェントが独自に厳密な権限の制御を受けるのではなく、そのAIエージェントを使っているユーザーの権限を丸ごと引き継いでしまう状態を指しています。
例えば、「電子薬歴」「薬歴とは別で保管されている在宅患者さんの情報」「検査値」などにアクセスできる薬剤師が、AIエージェントに「明日の訪問の準備をしてください」と指示した場合を考えてみます。この場合、本来AIエージェントに必要なのは「明日訪問する患者さんに関する範囲の情報」だけですが、仮にAIエージェントがその薬剤師と同じ権限を持っていた(もしくは引き継いだ)場合、
これらの内容まで参照できてしまう可能性があります。これがambient authorityの問題です。
基本的にセキュリティ対策をするにあたっては「最小権限の原則」が重要になり、人間であろうとAIエージェントであろうと、本来不要な権限を付与すべきではありません。
ただ、人間の薬剤師は急な問い合わせや患者さんの対応、夜間の対応、さらには他店舗への応援などに対応することもあり、ある程度広めのアクセス権が業務上必要になることもあります。ゆえに、現実的な折衷案として「常にではないが、場合によっては必要になる権限」があらかじめ付与されているケースが多いと考えられますが、これは人間の薬剤師であれば「今この情報を見る必要があるか」を職業倫理や経験に基づいて判断でき、少なくとも業務の目的や社会的責任を理解していることが前提となっています。
一方AIエージェントは、与えられた指示や目的を達成するために、必要以上に広く情報を探しに行く可能性があります。加えて、プロンプトの曖昧さ、外部からの入力、外部ツールとの連携、プロンプトインジェクションなどによって、ユーザーの意図とずれた行動をするリスクもあるため、少なくとも人間の薬剤師に与える権限と同等の権限を、AIエージェントに与えるべきではありません。
もし先述の状況でBeyond Zeroによるチェックが介入した場合、
このような観点からチェックが入り、不適切なアクセスを遮断することができる可能性があります。
ただし、Beyond Zeroの判断材料になる情報が常に正しいとは限らないことには注意が必要です。前提として、各ユーザーの担当業務、データの機密性の分類、AIエージェントの目的、通常業務の範囲などが誤っていた場合、Beyond Zeroもそれに追随して判断を誤ることになります。
また、Reasoning Engine自体が誤判定してしまう可能性があります。本来止めるべきアクセスを許可してしまう場合もあれば、本来必要な業務をストップさせてしまう場合もあります。
さらに、追加の確認があってもユーザー側が深く考えずに承認してしまう可能性もあります。極端な話、「このAIエージェントに許可されていないアクセスを承認しますか?」と言われても、忙しい現場では反射的に承認してしまうことも考えられます。いわゆる「アラート疲れ」にも似ているかもしれません。
まとめると、Beyond Zeroはambient authorityのリスクを減らすことに寄与するものと予想されますが、そもそも仕組みが完璧に機能するかどうかは(検証されていないので)未知数ですし、設計部分に粗があった場合は精度の低下を招く可能性があるため、過信は禁物でしょう。
それでも、AIエージェント時代における新しいセキュリティ対策として、重要な考え方であることは間違いありません。人間の手作業だけでは防げない部分をシステム側で制限することができれば、より安全にAIエージェントと協働できるようになるでしょう。
