AIエージェントセキュリティのベストプラクティス

Wiz エキスパートチーム
主要なポイント
  • AIエージェントセキュリティとは、自律型システムを制御することです。悪意のある入力、曖昧な入力、予期しない入力があっても、エージェントが意図した操作のみを実行するようにします。

  • エージェントは従来のAIモデルとは異なります。ツール、API、ワークフローを呼び出すことができるため、一つの誤った判断が単に不正確な応答を生成するだけでなく、実際のシステムを変更する可能性があります。

  • 最も重要なリスクは、エージェントが環境内でどのように動作するかに起因します。これには、プロンプトインジェクションや間接的なプロンプトインジェクション、ツールおよびAPIの悪用、メモリポイズニング、過剰に広範なアイデンティティ権限が含まれます。

  • 強固なIAM(アイデンティティとアクセス管理)、ガードレール、ランタイムモニタリングがエージェントセキュリティの基盤を形成します。最も安全なアプローチは、エージェントがアクセスできる範囲を制限し、各ステップを検証し、本番環境でのエージェントの動作を継続的に監視することです。

AIエージェントセキュリティとは

AIエージェントセキュリティとは、自律型AIシステムが実際のシステム上でアクションを実行する際に、安全で予測可能かつ制御された状態を維持するための取り組みです。エージェントはツール、API、ワークフローを呼び出す能力を持ち、一つの判断がデータの変更や環境内での操作の実行につながる可能性があります。

AIエージェントはモデルを使用してタスクを推論し、実行手順を計画して実行します。例えば、ログの調査、クラウドAPIの呼び出し、レコードの変更、メッセージの送信など、すべてを各コマンドに対する人間の介入なく実行します。

クラウド環境では、エージェントはコンテナ、サーバーレス関数、またはワークフローエンジン内で動作し、サービスアカウント、APIキー、クラウドロールを使用してリソースにアクセスします。これにより、各エージェントは正当な権限を持つマシンID(非人間アイデンティティ)として機能します。

AIエージェントセキュリティは、エージェントに許可される操作の定義、アクセス可能なシステムの制限、および動作を意図されたパラメータ内に維持するため実行される操作を包括的に検証することを含みます。

25 AI Agents. 257 Real Attacks. Who Wins?

From zero-day discovery to cloud privilege escalation, we tested 25 agent-model combinations on 257 real-world offensive security challenges. The results might surprise you 👀

AIエージェントが新たな攻撃対象領域(アタックサーフェス)を生み出す理由

AIエージェントを介した重大な攻撃経路を特定するリスク課題(出典:Wiz)

AIエージェントは、アクションを実行するため、従来のAIモデルとは異なるリスクカテゴリをもたらします。エージェントがツールの呼び出し、ワークフローの起動、クラウドAPIの利用が可能な場合、その推論の操作は誤解を招く応答の生成にとどまらず、環境内での実質的な変更へと変化します。

攻撃対象領域を拡大するリスク特性

  • 応答ではなくアクション:プロンプトインジェクションは、もはやテキストの変更にとどまらず、システムの状態を変更することが可能になります。

  • 本番システムへのアクセス:エージェントは認証情報とロールを使用して動作し、正当な権限での操作実行を可能にします。

  • ツールとAPIの連鎖:単一のリクエストが、エージェントによって自律的に選択された複数の連続したステップを起動する場合があります。

  • 外部からの影響:エージェントは直接のプロンプトだけでなく、取得した情報を通じて誘導される可能性があります。

  • 永続的な状態:メモリとコンテキストは、後続の動作に影響を与える指示を保持できます。

  • サプライチェーンへの露出:フレームワーク、プラグイン、検索システムが新たな依存関係を導入します。

セキュリティの問いの転換

重要なセキュリティの問いは次のように変化します。

「誰かがモデルに影響を与えられるか?」から「もし影響を与えた場合、エージェントは何にアクセスし、何を変更できるか?」へ。

テキスト生成からアクセス権限を伴う実行へのこの移行こそが、AIエージェントセキュリティを従来のモデルセキュリティとは異なる専門分野として区別するものです。

リスクに対応する脅威カテゴリ

OWASP LLM Top 10に基づくコンプライアンス態勢の測定(出典:Wiz)

AIエージェントに関するインシデントの大半は、再現可能なパターンの限定されたセットに対応しています。これらのリスクが注目に値するのは、モデルの推論への影響正当な権限を活用した意図しないアクションへと変換するためです。

1.エージェントロジックによる不正なアクション

入力やコンテキストへの軽微な変更が、エージェントを意図された範囲を超えたステップの実行に誘導する可能性があります。例として以下が挙げられます。

  • ワークフローの早期起動

  • 破壊的なAPI呼び出しの実行

  • 予期しない方法でのツールの連鎖

これは従来のコードの脆弱性とは異なる、ビジネスロジックの悪用に該当します。

2.アイデンティティの悪用と権限昇格(Privilege Escalation)

エージェントは利便性のために広範な権限で動作することが多くあります。攻撃者がエージェントの意思決定を操作した場合、それらの権限を掌握できます。侵害されたエージェントのアイデンティティは以下が可能です。

  • ロールの引き受け

  • リソースの変更

  • 新しいアクセス経路の作成

クラウド環境では、このエスカレーションはアカウント全体の侵害に発展する可能性があります。

3.無制限な取得によるデータの露出

エージェントはツールを通じてデータアクセスを抽象化します。適切な入力により、エージェントは以下のように誘導される可能性があります。

  • リポジトリから機密データを開示する

  • プライベートなレコードを統合する

  • 外部に情報をエクスポートする

これはデータベースへの直接的な侵害ではなく、自動化を通じデータの不正な持ち出しに該当します。

4.ビジネスロジックのバイパスとサイレント障害

エージェントはプロンプト、ポリシー、ツール定義内にビジネスロジックを埋め込みます。不完全なガードレールにより、攻撃者は以下が可能になります。

  • 承認メカニズムの回避

  • 検証なしでのアクションの実行

  • 長大なツールシーケンス内での危険なステップの隠蔽

これらの障害は「悪意がある」と判断されるログを生成しないことが多く、検出を困難にします。

5.エージェントのツールとプラグインによるサプライチェーンリスク

エージェントはフレームワーク、プラグイン、リトリーバー、エンベディングモデルに依存しています。いずれかのコンポーネントが侵害されると、エージェントは以下のようになります。

  • その出力を信頼する

  • 改ざんされたコンテキストに基づいて行動する

  • 悪意のある情報を取得する

これはコード層を超えた、ツール層でのサプライチェーンリスクを生み出します。

6.安全でないアクションにつながるモデルレベルの悪用

prompt injectionや間接的なプロンプトインジェクションは、異常な応答の生成にとどまらず、意図しない状態変更を引き起こす可能性があります。攻撃は以下の形態を取り得ます。

  • 取得したコンテンツ内に隠された指示を挿入する

  • 認識されたタスクを再定義する

  • ツール使用を起動するロジックループを生成する

これにより、モデルの操作システムの操作に変換されます。

カテゴリ全体のパターン認識

これらのカテゴリは集合的に一つのパターンを示しています。

  • モデルは影響を受ける可能性がある

  • エージェントはアクセス権を持っている

  • ツールがその結果を実行する

この組み合わせが攻撃経路(Attack Path)を形成します。これらのパターンを理解することにより、あらゆる指示を防ぐのではなく、エージェントのアクセス範囲を制限し、意図されたアクションを確認するための制御を設計できます。

AIエージェントのためのIAM(アイデンティティとアクセス管理)

AIエージェントを制御する最も効果的な手段は、そのアイデンティティを制御することです。エージェントに権限がなければ、推論への影響に関係なく、その操作は実行不可能です。

すべてのエージェントを、サービスアカウントやユーザーアカウントから広範なロールを継承させるのではなく、範囲を限定した独自のアクセス権限を持つ個別のマシンID(非人間アイデンティティ)として扱ってください。

エージェント向けの安全なIAMパターン

  • 個別のアイデンティティ:各エージェントは独自のロールまたはサービスアカウントを使用し、共有認証情報を避けます。

  • 最小権限の原則:エージェントのタスクに必要な権限のみを付与し、リソースやアカウントへの包括的なアクセスは付与しません。

  • 短期間の認証情報:自動ローテーションにより迅速なアクセス失効を可能にする一時トークンを使用します。

  • コード内にシークレットを含めない:認証情報はシークレットマネージャーに保管し、プロンプト、環境変数、構成ファイルには含めません。

クラウド環境での実装

  • AWS:STS一時認証情報を使用したIAMロール

  • Azure:Managed Identities

  • GCP:Workload Identityを使用したService Accounts

  • Kubernetes:RBACおよびクラウドフェデレーション(例:IRSA)を使用したService Accounts

権限レビューの確認事項

  • どのエージェントのアイデンティティが管理者レベルの権限を保持しているか?

  • どの権限が未使用のまま残っており、削除が必要か?

  • このエージェントは機密データや強力なAPIにアクセスできるか?

エージェントのアクセスを制限し、各エージェントが専用のアイデンティティを維持していることを確認することで、エラーや操作による潜在的な影響を最小限に抑えられます。エージェントセキュリティは、モデルの動作だけでなく、エージェントの機能制限から始まります。

AIエージェントセキュリティのベストプラクティス

エージェントセキュリティは、別個の「AIセキュリティスタック」を構築するのではなく、クラウドネイティブの原則に従うことで拡張性を実現します。最も信頼性の高い方法論は段階的なアプローチです。

可視性を確保し、主要なアタックパスを排除し、ランタイムで継続的に防御し、セキュリティ態勢を段階的に強化します。

各フェーズは前のフェーズの上に構築され、環境コンテキストを活用して影響の大きい部分に作業を集中させます。

1.可視性から始める:すべてのAIエージェントとワークロードのインベントリを作成する

  • すべてのAI関連ワークロード(エージェント、推論エンドポイント、データ処理フローなど)の最新のインベントリを維持し、依存関係(モデル、SDK、ライブラリ、リトリーバー、データストア)を含めます。

  • すべてのエージェントのアイデンティティ、権限、関連リソースが集中モニタリングの対象となるようにします。

  • 未管理のエージェントは高リスクとして扱います。不明なアイデンティティ+不明な権限=重大な不確実性です。

2.一律的なルールではなく、コンテキストを考慮したリスクの優先順位付けを適用する

  • 各エージェントについて、アクセス可能なコンテンツ(データストア、シークレット、API)と操作方法(ネットワーク露出、クラウドロール、外部インターフェース)を考慮してリスクを測定します。

  • 広範なアクセス+広範なリーチを持つエージェント、特に外部露出と機密データアクセスが混在するエージェントに対して修復を集中させます。

  • アタックパスの排除を重視します。個別の誤構成だけでなく、権限、アクセスパス、アイデンティティスコープの組み合わせに対処してください。

3.セキュアな構成とガードレールをデフォルトで適用する

  • エージェントのデプロイメント向けに、基盤となる構成テンプレート(IaCまたはPolicy as Code)を実装し、保守的なデフォルト設定を適用します。具体的には、最小限の権限、不要なネットワーク露出の排除、制約されたツールスコープです。

  • エージェントまたは推論エンドポイントのデプロイメント前に、すべてのAI固有のパラメータ(例:モデル権限、入出力のサニタイズ、ネットワークポリシー)を検証します。

  • 危険な組み合わせを生む変更(例:インターネットへの露出+機密データストアへの書き込み機能を持つエージェント)を拒否します。

GenAI Security Best Practices [Cheat Sheet]

This cheat sheet provides a practical overview of the 7 best practices you can adopt to start fortifying your organization’s GenAI security posture. Inside you’ll find:

4.ランタイムの動作を監視し、ドリフトや不正使用を検出する

  • エージェントのアクティビティを記録します。ツール呼び出し、APIインタラクション、データアクセス、ネットワークのアウトバウンド通信など、アクションの再構成に必要なコンテキスト(アイデンティティ、リソース、データの機密性)を十分に保持します。

  • エージェントまたはエージェントカテゴリごとに動作のベースラインを確立します。予期しないAPI呼び出し、異常なデータアクセスパターン、外部宛ての通信などの変動に対してアラートを設定します。

  • ランタイムのシグナルをアイデンティティおよび環境コンテキストと統合し、単なる異常な事象ではなく、真の悪用の試みを特定します。

100 Experts Weigh In on AI Security

Learn what leading teams are doing today to reduce AI threats tomorrow.

WizによるAIエージェントセキュリティの強化

Wizは、AIエージェントセキュリティを別個のテクノロジーインフラとしてではなく、クラウドの攻撃対象領域(アタックサーフェス)の延長として扱います。

Wiz AI-Application Protection Platform(AI-APP)の一部として機能し、エージェント、それらが使用するアイデンティティ、アクセス可能な情報、実行ワークロードをコードおよびクラウドコンテキストとともにWizセキュリティグラフにマッピングします。これにより、エージェントのアクセスがプロンプトインジェクションの操作を実際のアタックパスに変換する仕組みを可視化します。

この統合された視点は、重大な有害な組み合わせ、いわゆる危険な組み合わせ(Toxic Combination)を強調します。例えば、インターネットにアクセス可能なエージェントのランタイムが広範な機密データストアへのアクセスを維持している場合や、オペレーションエージェントがCI/CDパイプラインを変更し本番環境のシークレットを取得できる場合などです。個別の検出結果を追うのではなく、Wizはチームが完全なアタックパスを遮断できるよう支援し、適切なチームによる修復のための明確な所有者情報を提供します。

誤構成の再発を防止するため、Wizはエージェントのアイデンティティと権限を、それらを定義するコードおよびIaCに関連付け、インスタンスレベルではなくテンプレートレベルでの修正を可能にします。

このフレームワークを使用して、WizはクラウドAIリソース全体にAIセキュリティ態勢管理(AI-SPM)を実装しています。Wizは推論エンドポイント、エージェントのランタイム、エージェントオーケストレーションワークフローにおけるAIの誤構成を検出します。

これには、ガードレールのないデプロイメント、安全でないツールスコープ、過度な機密データアクセスが含まれます。これらの発見はグラフコンテキスト内で提示され、誤構成がアイデンティティおよびネットワークのリーチと組み合わさって実際の悪用パスを生成する仕組みを可視化します。単なる構成のドリフトにとどまりません。

可視性から実装への進展を目指すチーム向けに、AI-Powered Wizは同一のグラフコンテキストに基盤を置く専門的なエージェントでこのパラダイムを拡張します。Red AgentはAIアプリケーションとAPIにおける悪用可能なリスクを検証し、Blue Agentは疑わしいruntimeアクティビティを検査し、Green Agentは適切なコード、アイデンティティ、構成に向けた修復を支援します。一方、必要な場面では、人間による承認を経て処理が実行されます。

Develop AI Applications Securely

Learn why CISOs at the fastest growing companies choose Wiz to secure their organization's AI infrastructure.

Wiz がお客様の個人データをどのように取り扱うかについては、当社のプライバシーポリシーをご確認下さい: プライバシーポリシー.