*元論文:[https://arxiv.org/abs/2605.22985](https://arxiv.org/abs/2605.22985)* 誰も信頼しないことを前提にしたセキュリティ対策のことをゼロトラストと呼びます。例えば、電子薬歴にIDとパスワード(または生体認証など)を設定したり、アカウントごとに必要最小限の権限のみを付与したりして、第三者になりすました不正な操作を防ぐアプローチは、ゼロトラストの一部に該当します。 ただ、AIエージェントが人間の代わりに大量のデータにアクセスする現代においては、従来のゼロトラストに基づいた考え方だけでは不十分になると著者らは指摘しており、今回の論文では、アクセス制御の単位をアプリ単位から「個別のデータに対する個別の操作」という単位へと細かく設定する、「Beyond Zero」という考え方が提案されています。 ## Beyond Zeroとは Beyond Zeroは、**Googleが以前から提案してきたBeyondCorp(ゼロトラスト型の企業セキュリティ)を、AIエージェントが活躍する時代に合わせて拡張する構想です。** AIエージェントは、短時間に多数の文書を読み取り、要約し、比較し、最終的に別のシステムに転送することも可能なので、「このアプリを使って(アクセスして)よいか」というレベルの制御のままだと、アプリ内でのAIエージェントの細かい行動を十分に制御できない可能性があります。 そこでBeyond Zeroでは、**「この人物(またはAIエージェント)が、この特定の機密文書を、今この目的で開いてよいか」というレベルで制御する**ことを目的としています。 ## Beyond Zeroの構成要素 Beyond Zeroは、以下の4つの要素で構成されています。 1. **Autonomous Governance(自律的なガバナンス)** 企業内の人物、AIエージェント、業務内容、データの関係を理解するための仕組みです。例えば、誰がどの部署に属しているのか、どの業務を担当しているのか、どのデータが機密情報なのか、どのチームが通常その情報を扱うのか、などといった部分を整理します。 2. **Event Intake(イベントの取り込み)** サーバー側のアクセスログ、端末側のシグナル(端末IDやOSの種類といった様々な情報)、AIエージェントに送信されたプロンプト、各種ツールの使用ログなどを取り込む仕組みです。AIエージェントの動作を追跡するためには、「AIエージェントがどのような指示を受け、どのツールを使い、どのデータにアクセスしたか」が重要になるため、最終的な出力部分だけを見るのではなく、その過程も確認する必要があります。 3. **Reasoning Engine(推論エンジン)** 人物、AIエージェント、対象のデータ、直近の行動履歴、業務の流れなどをもとに「この操作は安全か」を判断する仕組みです。結果は「許可」「拒否」「追加確認」のいずれかで判定されます。論文では、「同僚グループと比べて500%多くファイルにアクセスしているユーザー」のような異常を検出し、拒否や追加の確認につなげる例が示されています。 4. **Challenge Infrastructure(追加の確認)** 先程少し触れましたが、Beyond Zeroは怪しい現象に遭遇した際、必要に応じて追加の確認を実施します。例えば、「なぜこのファイルにアクセスする必要があるのか説明してください」「セキュリティキーにタッチしてください」「大量エクスポートはマネージャーの承認を取ってください」「本人確認のためセルフィーチェックをしてください」といったイメージです。 ## 「SalesGenie」の、架空のシナリオを見てみましょう ### 1. シナリオの内容・前提条件 SalesGenieは、社内の営業レポートを読む権限を持っているAIエージェントです。ある日、SalesGenieは以下のような特徴を持つ機密性の高い文書にアクセスを試みました。 - 対象の文書は、会社全体の戦略データが記載されている - その文書は「非常に機密性が高い」文書に分類されている - 通常この文書にアクセスするのは、経営戦略や財務を担当するチームである - その文書の情報は、インサイダー取引に使われる可能性がある SalesGenieを動かしたユーザー(社員)は、北東部の金融サービスのお客さんに関する業務のみを担当していますが、最近は自分の業務とあまり関係のない情報へのアクセスを試みており、リスクスコアが高くなっています。 ### 2. 従来のゼロトラスト型(BeyondCorp)の場合は… 従来型のBeyondCorpによるチェックの場合、主に以下のような内容が確認されます。 - AIエージェントのIDは有効か - そのAIエージェントを動かした(指示をした)人間のIDは有効か - 端末や証明書は正当か - その人間とAIエージェントは、対象のアプリやツールを使う権限を持っているか チェックの結果、**「AIエージェントと指示した人間の双方が、有効な証明書・承認済みデバイス・IDを持ち、営業レポートへのアクセス権を持っているため、アクセスを承認」**しました。BeyondCorpによるチェックは、「このアプリやツールを使ってよいか」というレベルの制御であるため、**「SalesGenieが機密性の高い文書にアクセスする目的」までを十分に評価できなかった**と解釈できます。 ### 3. Beyond Zeroの場合は… 先程のBeyondCorpによるチェックでは、例えば以下のような情報を見落としてしまいます。 - その文書が、機密性の高い文書であること - その文書は、ふだんは経営戦略や財務を担当するチームだけが扱うものであること - 今回のシナリオにおけるAIエージェントに指示をした社員の業務は、北東部の金融サービスのお客さんに関する業務に限られていること - そのユーザーが最近、自分の仕事とはあまり関係のない情報を見ようとしていたこと - AIエージェントが、本当に人間の指示どおりに動いているのかがはっきりしないこと これらは、Beyond Zeroの仕組みで初めて評価されます。 文書の機密性、担当業務との不一致、最近の行動やリスクスコアなどを確認したうえで、「このユーザーやAIエージェントが、今この文書に、この目的でアクセスするのは妥当か」を判断できるので、**今回のシナリオにおける「本来不要な機密文書へのアクセス」を許容してしまうリスクを減らすことが可能になる**と考えられます。 ## 「ambient authority」の問題を、調剤薬局と関連させて見てみましょう ### 1. ambient authorityとは 今回の論文におけるambient authorityとは、**AIエージェントが独自に厳密な権限の制御を受けるのではなく、そのAIエージェントを使っているユーザーの権限を丸ごと引き継いでしまう状態**を指しています。 例えば、「電子薬歴」「薬歴とは別で保管されている在宅患者さんの情報」「検査値」などにアクセスできる薬剤師が、AIエージェントに「明日の訪問の準備をしてください」と指示した場合を考えてみます。この場合、本来AIエージェントに必要なのは「明日訪問する患者さんに関する範囲の情報」だけですが、仮にAIエージェントがその薬剤師と同じ権限を持っていた(もしくは引き継いだ)場合、 - 今回の訪問とは直接関係のない患者さんの情報 - 今回の訪問と無関係な過去の情報 - 家族背景や保険情報などの情報 これらの内容まで参照できてしまう可能性があります。これがambient authorityの問題です。  ### 2. 人間とAIエージェントそれぞれにおける、許される権限の範囲 基本的にセキュリティ対策をするにあたっては**「最小権限の原則」**が重要になり、人間であろうとAIエージェントであろうと、本来不要な権限を付与すべきではありません。 ただ、人間の薬剤師は急な問い合わせや患者さんの対応、夜間の対応、さらには他店舗への応援などに対応することもあり、ある程度広めのアクセス権が業務上必要になることもあります。ゆえに、現実的な折衷案として「常にではないが、場合によっては必要になる権限」があらかじめ付与されているケースが多いと考えられますが、これは**人間の薬剤師であれば「今この情報を見る必要があるか」を職業倫理や経験に基づいて判断でき、少なくとも業務の目的や社会的責任を理解していることが前提**となっています。 一方**AIエージェントは、与えられた指示や目的を達成するために、必要以上に広く情報を探しに行く**可能性があります。加えて、プロンプトの曖昧さ、外部からの入力、外部ツールとの連携、プロンプトインジェクションなどによって、ユーザーの意図とずれた行動をするリスクもあるため、**少なくとも人間の薬剤師に与える権限と同等の権限を、AIエージェントに与えるべきではありません。**  ### 3. Beyond Zeroはambient authorityを解決できるか もし先述の状況でBeyond Zeroによるチェックが介入した場合、 - このAIエージェントの操作は、薬剤師が意図した業務の範囲内か - この患者さんの情報へのアクセスは、今回の訪問に必要か - 普段と比べて不自然に多くの患者情報を見ていないか - 外部への送信や大量のデータ出力といった、高リスクな操作をしていないか このような観点からチェックが入り、不適切なアクセスを遮断することができる可能性があります。 ただし、**Beyond Zeroの判断材料になる情報が常に正しいとは限らない**ことには注意が必要です。前提として、各ユーザーの担当業務、データの機密性の分類、AIエージェントの目的、通常業務の範囲などが誤っていた場合、Beyond Zeroもそれに追随して判断を誤ることになります。 また、**Reasoning Engine自体が誤判定してしまう可能性**があります。本来止めるべきアクセスを許可してしまう場合もあれば、本来必要な業務をストップさせてしまう場合もあります。 さらに、**追加の確認があってもユーザー側が深く考えずに承認してしまう可能性**もあります。極端な話、「このAIエージェントに許可されていないアクセスを承認しますか?」と言われても、忙しい現場では反射的に承認してしまうことも考えられます。いわゆる「アラート疲れ」にも似ているかもしれません。  まとめると、**Beyond Zeroはambient authorityのリスクを減らすことに寄与するものと予想されますが、そもそも仕組みが完璧に機能するかどうかは(検証されていないので)未知数ですし、設計部分に粗があった場合は精度の低下を招く可能性があるため、過信は禁物**でしょう。 それでも、AIエージェント時代における新しいセキュリティ対策として、重要な考え方であることは間違いありません。人間の手作業だけでは防げない部分をシステム側で制限することができれば、より安全にAIエージェントと協働できるようになるでしょう。