Deterministic AI vs Agentic AI ── セキュリティ検証アーキテクチャの設計トレードオフと「決定論的ガードレール」実装の経済性

大規模言語モデル（LLM）を中核とするAgentic AIは、計画・実行・外部ツール呼び出しを自律的に反復できる一方、出力は確率的である。したがって本番システムでは「生成」と「許可」を同一レイヤで扱わず、決定論的なポリシー判定層を分離する設計が実務上の標準となりつつある。本稿は2026年時点の一次情報に基づき、Deterministic AI（Policy as Code）とAgentic AIの二層設計を、性能・安全性・運用コストの観点で比較する。

Deterministic層とAgentic層を分離する理由

Agentic層は「最適行動の探索」を担当し、Deterministic層は「実行可否の最終判定」を担当する。前者は不確実性を活用して解空間を探索するが、後者は同一入力に対して同一判定を返す再現性が必要である。この分離により、障害解析時に「モデルの提案ミス」と「ポリシー設計ミス」を切り分けられるため、監査・説明責任のコストを抑えられる。

特に金融・医療では、AIの意思決定自体よりも「誰が、どの条件で、どのデータにアクセスしたか」の統制が優先される。ゆえに生成品質より先に、アクセス制御・最小権限・証跡整合を決定論的に担保する必要がある。

OPA/Cedar/Rego統合パターンの比較

実装は大きく3パターンに分かれる。第一はアプリ内埋め込み（SDK）で、低レイテンシだが言語ランタイムごとの運用差が出やすい。第二はサイドカー/専用判定サービスで、集中監査しやすいがネットワーク往復コストが増える。第三はハイブリッドで、粗い前段判定をローカル、厳密判定を中央で行う方式である。

OPAの公式ドキュメントでは、マイクロサービス認可の予算として「約1msオーダー」を想定し、クエリベンチ例として `ns/op 45032`（約45µs）や99.99パーセンタイル `336493ns`（約0.336ms）の例を示している。また、10,000ルールで約130MB、100,000ルールで約1.1GBというメモリ増加例も提示されている。これは「ルール数とデータ構造を設計変数として扱う」必要性を示す定量的根拠である。

Cedarは形式的検証可能性と可読性を重視した認可言語として設計され、2024年3月8日改訂版の論文で、Rego/OpenFGAとの比較における性能優位を報告している。実務では、Regoを運用している組織が「既存資産重視」でOPAを継続し、新規に認可基盤を作る組織が「検証容易性重視」でCedarを採用する構図が多い。

レイテンシ vs 安全性の設計トレードオフ

安全性を高めるほど判定点は増え、遅延は増加する。したがって重要なのは「許容遅延を先に固定」し、その予算内で検査を多層化することである。以下はAPI 1リクエストあたりの代表的な設計値（実測ではなく設計目標値）である。

• Agent計画生成: 120-400ms
• 前段Policyチェック（ローカル）: 0.05-0.5ms
• 後段Policyチェック（集中判定）: 1-8ms
• 監査ログ署名・送信: 2-15ms

この場合、ガードレール層の追加遅延は総遅延の数%に収まることが多く、重大事故の期待損失（誤送信・不正実行・規制違反）を考えると費用対効果は高い。逆に、低遅延要件が極端に厳しいトレーディングやリアルタイム制御では、ポリシー粒度を粗くし、非同期監査で補う設計判断が必要になる。

金融・医療で要求される実装要件

金融では、米連邦準備制度理事会のSR 11-7（2011年4月4日、2025年6月23日付注記あり）が示すモデルリスク管理の考え方に沿って、モデルの用途定義・検証・継続監視を分離運用する必要がある。Agentic AIを使う場合も、行動提案モデルと実行許可ポリシーを別統制にすることで、監査可能性を高められる。

医療では、HHSのHIPAA Security Rule（45 CFR Part 160およびPart 164 Subpart A/C）に基づき、アクセス制御、監査統制、完全性、伝送保護を満たす必要がある。Agentのツール実行はePHIへのアクセス経路を増やすため、Policy as Codeで「データ分類」「ユーザー属性」「目的制限」を明示的に判定し、監査ログを長期保管する実装が必須である。

実務上の推奨は、(1) 重要アクションは必ず決定論的判定を通す、(2) ポリシー改定はCIで回帰テストする、(3) 例外許可は期限付きで自動失効させる、の3点である。これにより、Agentic AIの生産性を維持しつつ、規制業種で求められる再現性を確保できる。

FAQ

Deterministic AIはLLMを置き換えるのか？

置き換えない。Deterministic AIは「最終判定・実行制御」を担当し、LLMは「提案生成・探索」を担当する補完関係である。

OPAとCedarはどちらが安全か？

安全性は実装運用で決まるため単純比較はできない。既存運用資産、検証要件、チームの言語習熟度で選定するのが現実的である。

レイテンシ悪化が心配な場合の最初の対策は？

すべてを中央判定に寄せず、前段で高速な粗判定を行い、重要操作のみ厳密判定へ送る二段ゲート構成が有効である。

金融・医療で最低限必要な証跡は何か？

入力コンテキスト、適用ポリシーID、判定結果、実行主体、時刻、例外承認情報を一貫して保存することが最低ラインである。

参考文献

• Policy Performance — Open Policy Agent, 2026-05-15アクセス
• Cedar: A New Language for Expressive, Fast, Safe, and Analyzable Authorization — arXiv, 2024-03-08 (v2)
• AI Risk Management Framework — NIST, 2023-01-26公開（2026-04-07更新情報あり）
• Summary of the HIPAA Security Rule — HHS, 2024-12-30最終確認
• SR 11-7 Guidance on Model Risk Management — Federal Reserve, 2011-04-04