なぜAIエージェントにZero Trustが必要なのか
2026年に入り、企業でのAIエージェント導入が急速に進んでいる。Cloud Security Alliance(CSA)とStrata Identityが2025年9月〜10月に実施した調査(回答者285名)によれば、58%の組織がすでに1〜100のエージェントを稼働させており、今後12か月で70%の組織が数十〜数百規模への拡大を見込む。しかし、現行のIAM(Identity and Access Management)システムでエージェントIDを管理できると「高い自信がある」と回答した組織はわずか18%にとどまる。
さらに深刻なのは、84%の組織が「エージェントの行動やアクセス制御に焦点を当てたコンプライアンス監査に合格できるか疑わしい」と回答している点である。44%が静的APIキー、43%がユーザー名・パスワードの組み合わせをエージェント認証に使用しており、エージェントの行動をリアルタイムに追跡できるレジストリを維持している組織は21%に過ぎない。
従来のZero Trustモデルは人間ユーザーを前提に設計されている。予測可能な行動パターン、決定論的なルール適用、一度確立すれば持続する信頼——これらの前提はすべて、確率的に応答し、コンテキストに応じて自律的に意思決定するAIエージェントの前では崩壊する。2026年2月2日、CSAはこの課題に正面から応答する仕様「Agentic Trust Framework(ATF)」を公開した。
Agentic Trust Frameworkの全体設計
ATFは、AIエージェントにZero Trust原則を適用する初のオープン仕様であり、Creative Commons(CC BY 4.0)ライセンスで公開されている。特定のベンダー製品やクラウドサービスに依存せず、オープンソースコンポーネントで実装可能な点が大きな特徴である。
フレームワークの核心は、エージェントに対して常に問い続ける「5つの問い」にある。これは技術者だけでなく経営層にも理解可能なメンタルモデルとして設計されている。
5つの問いとセキュリティ制御
| 問い | 対応するZero Trust領域 | 主要な制御 |
|---|---|---|
| Who are you?(Identity) | 認証・認可・セッション管理 | JWT認証、OAuth2/OIDC、アイデンティティチェーン検証 |
| What are you doing?(Behavior) | 可観測性・異常検知・意図分析 | 行動監視、リアルタイム異常スコアリング |
| What are you eating/serving?(Data Governance) | 入力検証・PII保護・出力ガバナンス | データ分類、入出力フィルタリング |
| Where can you go?(Segmentation) | アクセス制御・リソース境界・ポリシー施行 | ABAC、policy-as-code、マイクロセグメンテーション |
| What if you go rogue?(Incident Response) | サーキットブレーカー・キルスイッチ・封じ込め | 即時停止機構、影響範囲限定、フォレンジック |
各問いの背後には、エージェントの自律レベルに応じた包括的なセキュリティ制御セットが定義されている。自律レベルが上がるほど、より厳格なガバナンス要件が適用される仕組みである。
6段階の自律レベルとプロモーションゲート
ATFの最大の革新は、エージェントの自律性を「実証された信頼性を通じて獲得すべきもの」として扱う点にある。CSA会長Jim Reavisが2026年1月28日に公開した自律レベルモデルは、SAE J3016(自動運転レベル)やUAS(無人航空機システム)のガバナンスモデルを参考に、6段階の自律レベルを定義している。
Level 0:No Autonomy(人間実行)
AIは情報提供と推奨のみを行い、すべてのアクションは人間が実行する。リスクプロファイルは最小限で、出力品質の管理に焦点を置く。現在の多くのチャットボット型AIアシスタントがこのレベルに該当する。
Level 1:Assisted(人間決定+AI実行)
提案されたアクションごとに人間の明示的な承認が必要。人間が意思決定者であり続け、AIは実行を担当する。承認ゲートがアカウンタビリティのチェックポイントとなる。
Level 2:Supervised(人間承認+バッチ実行)
人間はより高い抽象度でプランやアクションのバッチを承認する。チェックポイントベースのロールバック機能が必要となる。ATFにおける「Intern」レベルに相当し、最低4週間の運用と95%以上の推奨受容率が昇格条件となる。
Level 3:Conditional(境界内AI自律決定)
AIは定義された境界内で自律的に意思決定し、境界を超える状況でのみ人間にエスカレーションする。ATFの「Senior」レベルに対応し、最低8週間の運用とゼロ重大インシデントが昇格条件である。技術的要件として、機械可読な境界定義、技術的な施行メカニズム(検知だけでなく強制)、堅牢なエスカレーションワークフロー、包括的なログ記録が求められる。
Level 4:High Autonomy(最小限の監督)
AIは広範に稼働し、人間の関与は監視と例外処理にシフトする。ATFの「Principal」レベルに対応し、継続的(24時間365日)の監視、高度な異常検知、即時キルスイッチ、完全な監査証跡、経営層レベルのリスク受容承認が求められる。
Level 5:Full Autonomy(自己指向型)
AIが自ら目標を設定し、戦略的な人間の監督のみが存在する。Reavisは「Level 5は現時点で企業展開には適切ではない」と明言しており、適切な制御メカニズムは現在存在しないとされている。
5つのプロモーションゲート
あるレベルから次のレベルへの昇格には、以下の5つのゲートすべてを通過する必要がある。
- 精度と信頼性:評価期間中に実証された精度と信頼性
- セキュリティ監査:対象レベルに適したセキュリティ監査の通過
- 測定可能なインパクト:ポジティブな影響の定量的実証
- クリーンな運用履歴:現在のレベルでの清潔な運用実績
- ステークホルダー承認:権限を持つステークホルダーからの明示的承認
このゲートモデルにより、エージェントの自律性拡大は段階的かつ検証可能なプロセスとなる。一足飛びの権限付与を防ぎ、各段階での学習と実績蓄積を義務付ける設計である。
OWASPとの連携とエージェント脅威への対応
ATFは、OWASPエージェントセキュリティイニシアティブおよびCoSAI(Coalition for Secure AI)との整合性を明示的に確保している。特に、2025年12月にリリースされた「OWASP Top 10 for Agentic Applications」が識別した脅威に対するガバナンス制御を運用化する位置づけにある。
OWASP Top 10 for Agentic Applicationsは、100名以上のセキュリティ研究者と実務者の1年以上にわたる研究成果であり、従来のLLM Top 10がコンテンツ生成リスクに焦点を当てるのに対し、自律的なアクション実行に伴うリスクに特化している。主要な脅威には以下が含まれる。
- ASI01 – Agent Goal Hijack:隠されたプロンプトにより、コパイロットがサイレントな情報窃取エンジンに変貌
- ASI02 – Tool Misuse:正当なツールを破壊的な出力に転用
- ASI03 – Identity & Privilege Abuse:漏洩した認証情報による権限範囲を超えた操作
- ASI06 – Memory & Context Poisoning:メモリ汚染による長期的な行動変容
- ASI07 – Insecure Inter-Agent Communication:エージェント間通信の偽装によるクラスタ全体の誤誘導
- ASI10 – Rogue Agents:意図との不整合、行動の隠蔽、自己指向的な行動
ATFの5つの問いは、これらの脅威に対する防御層として機能する。例えば、Identity制御はASI03を、Behavior監視はASI10を、Data GovernanceはASI06を、SegmentationはASI02を、Incident ResponseはASI01とASI07への対応をそれぞれ主導する。
実装パターンと技術的考慮事項
ATFの実装は、エージェントの自律レベルに応じて段階的に高度化する。以下に主要な技術的実装パターンを整理する。
アイデンティティ管理の段階的強化
初期展開(Level 0–1)では、JWT(JSON Web Token)ベースの認証とロール割り当てが基盤となる。エージェントの自律レベルが上がるにつれて、以下の技術が追加される。
- OAuth2/OIDC:承認ワークフローの統合(Level 2以上)
- ABAC(Attribute-Based Access Control):動的な認可のための属性ベース制御(Level 3以上)
- Policy-as-Code:監査可能・テスト可能な認可ルールのコード化(Level 3以上)
すべてのエージェントは、リソースにアクセスする前に検証済みかつ監査可能なアイデンティティを持つ必要がある。単純な認証を超えて、「誰がこのエージェントを所有しているか」「目的は何か」「どのような能力を主張しているか」というアイデンティティチェーン全体の検証が求められる。
行動監視と異常検知
Level 3以上のエージェントには、継続的な行動監視が必須となる。ATFは以下のパターンを推奨している。
- リアルタイム異常スコアリング:エージェントの行動を常時評価し、逸脱を検知
- トランザクション制限:個々のアクションの影響を上限で制御(Level 3で適用)
- 完全な監査証跡:すべてのアクションを人間またはシステムにトレース可能に記録
現状では、エージェントの行動をすべての環境で人間やシステムに確実にトレースできる組織は28%未満である。ATFの実装にあたっては、このトレーサビリティ基盤の構築が最優先課題となる。
シンガポールMGFとの補完関係
ATFが技術実装仕様としての性格を持つ一方、シンガポール情報通信メディア開発庁(IMDA)が2026年1月22日に公開した「Model AI Governance Framework for Agentic AI」は、ガバナンスの枠組みとして補完的な役割を果たす。シンガポールMGFは「アクション空間」(エージェントがアクセス可能なツールとシステム)と「自律性」(指示とヒューマンオーバーサイトによる定義)の2つの概念を軸に、リスクの事前評価、人間の有意義な責任体制、技術的制御、エンドユーザー責任の4次元でガバナンスを構成する。ATFの技術制御とシンガポールMGFのガバナンス原則を組み合わせることで、より包括的なエージェント管理体制の構築が可能となる。
FAQ
Agentic Trust Framework(ATF)は誰が策定したのか?
Cloud Security Alliance(CSA)が策定し、2026年2月2日にオープン仕様として公開した。CC BY 4.0ライセンスで提供され、特定ベンダーに依存せずオープンソースで実装可能である。
ATFの自律レベルとSAEの自動運転レベルはどう対応するのか?
ATFの自律レベル(Level 0〜5)はSAE J3016を参考に設計されている。Level 0(人間実行)からLevel 5(完全自律)まで段階的に自律性が拡大し、各レベルで要求されるセキュリティ制御が比例的に強化される点が共通する。
エージェントの自律レベルを上げるにはどうすればよいか?
5つのプロモーションゲート(精度・信頼性、セキュリティ監査通過、測定可能なインパクト、クリーンな運用履歴、ステークホルダー承認)すべてを満たす必要がある。例えばLevel 2からLevel 3への昇格には最低4週間の運用と95%以上の推奨受容率が要求される。
ATFはOWASP Top 10 for Agentic Applicationsとどう関係するのか?
ATFは、OWASPが2025年12月に発表したエージェント向けTop 10が識別した脅威(Agent Goal Hijack、Tool Misuse等)に対するガバナンス制御を運用化する仕様として設計されている。ATFの5つの問いが各脅威への防御層として機能する。
現時点でLevel 5(完全自律)のエージェント展開は可能か?
CSA会長Jim Reavisは「Level 5は現時点で企業展開には適切ではない」と明言している。適切な制御メカニズムが存在せず、戦略的な人間の監督のみでは安全性を担保できないとされている。
参考文献
- Agentic Trust Framework: Zero Trust for AI Agents — Cloud Security Alliance, 2026年2月2日
- Autonomy Levels for Agentic AI — Cloud Security Alliance(Jim Reavis), 2026年1月28日
- CSA-Strata Survey: Enterprises in "Time to Trust" Phase — Cloud Security Alliance / Strata Identity, 2026年2月5日
- OWASP Top 10 for Agentic Applications — OWASP GenAI Security Project, 2025年12月
- Model AI Governance Framework for Agentic AI — Singapore IMDA, 2026年1月22日
- Agentic AI Identity & Access Management: A New Approach — Cloud Security Alliance
