2026年4月、Microsoft はオープンソースプロジェクトとして Agent Governance Toolkit(AGT)をリリースした。OWASP が2025年12月に公表した「Agentic AI Top 10 for 2026」の全10リスクカテゴリに対応し、サブミリ秒(p99 < 0.1ms)でポリシーを実行する初のランタイムセキュリティフレームワークである。Cisco の調査によれば、83%の企業がエージェンティックAIの導入を計画しながらも、セキュリティ準備が整っている企業はわずか29%にとどまる。この54ポイントの「ガバナンス・ギャップ」を埋めるために設計されたAGTは、DID暗号化アイデンティティ・動的実行リング・サーガオーケストレーションなど7つの独立パッケージで構成される。本稿では、AI生成コード脆弱性92%の構造的危機に続き、AIエージェント時代のランタイムセキュリティがどう設計されるべきかを技術仕様とともに解析する。

OWASP Agentic AI Top 10 の全体像 ── なぜ従来のLLMセキュリティでは不十分なのか

2025年12月にOWASPが公表した「Top 10 for Agentic Applications for 2026」は、100名以上のセキュリティ研究者によるピアレビューを経た、自律型AIエージェント固有のリスク分類体系である。従来の「OWASP Top 10 for LLM Applications」がプロンプトインジェクションや幻覚といったLLM単体の入出力リスクに焦点を当てていたのに対し、Agentic版はエージェントが「行動する」ことから生じるリスク──API呼び出し、コード実行、ファイル操作、意思決定──を体系化した点で根本的に異なる。

10のリスクカテゴリは以下の通りである。ASI-01: ゴールハイジャック(Goal Hijacking)、ASI-02: 過剰な能力付与(Excessive Capabilities)、ASI-03: アイデンティティ・権限の悪用(Identity & Privilege Abuse)、ASI-04: エージェントサプライチェーン脆弱性(Agentic Supply Chain Vulnerabilities)、ASI-05: 制御されないコード実行(Uncontrolled Code Execution)、ASI-06: メモリポイズニング(Memory Poisoning)、ASI-07: 安全でないエージェント間通信(Insecure Inter-Agent Communication)、ASI-08: カスケード障害(Cascading Failures)、ASI-09: 人間-エージェント信頼搾取(Human-Agent Trust Exploitation)、ASI-10: 不正エージェント(Rogue Agents)。

ASI-01のゴールハイジャックが最上位に位置づけられている理由は明確である。自律型エージェントはデータと命令を構造的に区別できないため、メール本文・Webコンテンツ・ドキュメントに埋め込まれた悪意ある指示が、エージェントの目標そのものを書き換える。エージェントが保持する正規のツールアクセスと認証情報をそのまま悪用できるため、攻撃者は外部からの侵入すら必要としない。Dark Readingの調査では、サイバーセキュリティ専門家の48%がエージェンティックAIを2026年最大の攻撃ベクトルと認識しており、ディープフェイクやランサムウェア、サプライチェーン攻撃を上回っている。

OWASPが提唱する基本防御原則は「最小エージェンシーの原則」(Principle of Least Agency)である。これはNISTサイバーセキュリティフレームワークの最小権限原則をエージェント文脈に拡張したもので、エージェントに付与する自律性・ツールアクセス・認証スコープを、意図されたタスクの実行に必要な最小限に制限することを求める。筆者のセキュリティアーキテクト経験においても、ゼロトラスト設計で最も困難なのは「必要最小限」の境界をビジネス要件と整合させることであり、エージェント文脈ではこの課題がさらに複雑化する。エージェントの行動空間は動的であり、事前に全パターンを列挙することが本質的に困難だからである。

Agent Governance Toolkit の7パッケージアーキテクチャ ── サブミリ秒ポリシー実行の技術設計

AGTは7つの独立インストール可能なパッケージで構成されるモノレポ構成を採用しており、Python・TypeScript・Rust・Go・.NETの5言語でSDKを提供する。各パッケージの設計思想と技術仕様を解析する。

Agent OS(ポリシーエンジン)は、全アーキテクチャの中核をなすステートレスなポリシー実行エンジンである。エージェントのすべてのアクションを実行前にインターセプトし、YAML・OPA/Rego・Cedarの3つのポリシー言語をサポートする。単一ルール評価で0.012ms・72,000 ops/sec、100ルール評価でも0.029ms・31,000 ops/secという性能を実現し、50エージェント並行時でも35,481 ops/secを維持する。プロンプトベースのガバナンスが26.67%の違反率を示すのに対し、AGTの決定論的ポリシー実行は0%の違反率を達成している。

Agent Mesh(暗号化アイデンティティ)は、Ed25519署名と量子耐性ML-DSA-65クレデンシャルを組み合わせたゼロトラストアイデンティティ層である。分散識別子(DID)を基盤とし、SPIFFE/SVID互換のワークロードアイデンティティを提供する。Inter-Agent Trust Protocol(IATP)により、エージェント間通信の暗号化と認証を実現する。信頼スコアは0〜1,000の動的スケールで、5段階の行動ティアと減衰メカニズムにより、エージェントの信頼性をリアルタイムに評価・更新する。

Agent Runtime(実行制御)は、CPUの特権レベルに着想を得た4階層の動的実行リングを実装する。各リングは異なるリソース制限とサンドボックスレベルを持ち、エージェントの実行コンテキストに応じて動的に昇格・降格する。サーガパターンによるマルチステップトランザクションオーケストレーションにより、複数エージェントが協調する長時間トランザクションの整合性を保証する。緊急時にはキルスイッチにより、自律エージェントを即座に停止できる。

Agent SRE(信頼性工学)は、SLO定義・エラーバジェット管理・サーキットブレーカー・カオスエンジニアリングの機能を提供する。AWSのFrontier Agentsが示すようにSRE実務のAI自律化が進む中、エージェント自身の信頼性を定量的に管理する仕組みは不可欠である。Agent SREは障害予算の超過時に自動的にエージェントの自律性を制限し、ヒューマンインザループにフォールバックする。

Agent Compliance(コンプライアンス)は、EU AI Act・HIPAA・SOC2・NIST AI RMF・Colorado AI Actへのマッピングを提供し、OWASP全10カテゴリのエビデンス収集を自動化する。agt verify --evidenceコマンドにより、本番環境のランタイム証跡から準拠状況を定量評価する。加えてAgent MarketplaceはEd25519署名によるプラグインライフサイクル管理、Agent Lightningは強化学習訓練時のガバナンスを担う。

NIST AI Agent Standards Initiative・CSA Agentic Trust Framework との統合実装

2026年2月、NISTのCenter for AI Standards and Innovation(CAISI)は「AI Agent Standards Initiative」を発表した。AIエージェントの安全な採用を促進するため、3つの柱を掲げている。第一に、業界主導のエージェント標準開発と国際標準化団体における米国のリーダーシップ促進。第二に、AIエージェントセキュリティとアイデンティティ分野の研究推進。第三に、Model Context Protocol(MCP)エコシステムを含むオープンソースエージェントプロトコルのコミュニティ主導開発支援である。

AGTはNIST AI RMFへのマッピングを公式ドキュメントとして提供しており、Govern・Map・Measure・Manageの4機能に沿った統治制御が実装済みである。特にMeasure機能では、Agent SREのSLOメトリクスとAgent ComplianceのOWASPエビデンスが、NIST AI RMFのAI-04(信頼性計測)とAI-06(リスク計測)に直接マッピングされる。これにより、AGTを導入した組織はNIST AI RMFへの準拠を技術的に立証可能になる。

一方、Cloud Security Alliance(CSA)が2026年2月に発表したAgentic Trust Framework(ATF)は、ゼロトラスト原則をAIエージェント領域に適用するオープンガバナンス仕様である。ATFはOWASP Agentic Security Initiativeおよび Coalition for Secure AI(CoSAI)と整合し、セキュリティエンジニア・エンタープライズアーキテクト・ビジネスリーダーに対して、既存のツールとインフラストラクチャを活用した段階的導入アプローチを提供する。

AGTのAgent Meshが実装するIATPは、CSA ATFのゼロトラスト要件と直接対応する。具体的には、ATFが求める「継続的検証」はAgent Meshの動的信頼スコアリング(0〜1,000スケール)で実現され、「最小権限アクセス」はAgent OSのCapabilityモデルで強制される。さらに、ATFの「マイクロセグメンテーション」要件は、Agent Runtimeの4階層実行リングによるサンドボックス分離が対応する。

筆者はSOC構築・運用およびSIEM導入の実務経験から、セキュリティフレームワークの価値はツールそのものではなく、アラートから判断までの人間のプロセス設計にあると考えている。AGTとNIST・CSAフレームワークの統合においても、技術的なマッピングだけでは不十分である。実運用では、Agent SREのサーキットブレーカーが発動した際の人間のエスカレーションパス、Agent Complianceのエビデンスレポートを誰がレビューし意思決定するかのRACIマトリクス、そしてインシデント発生時のキルスイッチ権限者の定義が、フレームワーク統合の成否を分ける。

3つのフレームワークの統合実装パターンとして推奨されるのは、以下の階層設計である。基盤層にNIST AI RMFのGovernプロセスを置き、組織のリスクアペタイトとガバナンス方針を定義する。制御層にCSA ATFのゼロトラスト制御を配置し、エージェント間の信頼境界と検証要件を規定する。実行層にAGTの7パッケージを展開し、ランタイムでの決定論的ポリシー実行を担う。この三層構造により、戦略レベルの規制対応から、戦術レベルのセキュリティ制御、運用レベルのリアルタイム防御までを一貫して管理できる。

エンタープライズ導入の実践ガイド ── 83%計画・29%準備のギャップを埋める

Ciscoの2026年State of AI Securityレポートが示す「83%の企業が導入計画、29%のみがセキュリティ準備完了」という54ポイントのギャップは、技術的問題ではなくガバナンス設計の欠如に起因する。Deloitteの2026年1月調査(3,235名の企業リーダー、24カ国対象)では、成熟したエージェントガバナンスモデルを保有する企業はわずか21%であり、残りはガバナンス構造が設計中か未着手のまま本番環境にエージェントを展開している。さらに、88%の組織がAIエージェントセキュリティインシデントを経験しており、医療分野では92.7%に達する。

AGTを用いたエンタープライズ導入は、4フェーズで設計する。フェーズ1(可視化)では、Agent Discoveryモジュールにより組織内のシャドウAIエージェントを検出・棚卸し、リスクスコアリングを行う。エグゼクティブの82%は既存ポリシーでエージェントの不正行動を防止できると自信を持っているが、実際にはAIエージェントのうちセキュリティ・IT部門の完全な承認を経て本番稼働しているのは14.4%に過ぎない。まず現状を可視化することが第一歩である。

フェーズ2(ポリシー設計)では、Agent OSにYAML形式の基本ポリシーセットを定義する。OWASPの最小エージェンシー原則に基づき、各エージェントの能力(Capability)を明示的にホワイトリスト化する。Cedar言語による細粒度ポリシーは、「特定のユーザーグループのエージェントが、営業時間内のみ、承認済みAPIに対して、読み取り専用でアクセスできる」といった条件を、コードとして管理可能な形式で記述できる。Plurai Vibe-Trained Evalsによるガードレール検証と組み合わせることで、ポリシーの有効性をリリース前に定量評価できる。

フェーズ3(段階展開)では、Agent Runtimeの実行リングを活用した段階的展開を行う。新規エージェントはリング3(最も制限された環境)で稼働を開始し、Agent Meshの信頼スコアが閾値を超えた場合にのみリング2→リング1へと昇格する。サーガオーケストレーションにより、マルチエージェント協調タスクの各ステップに補償トランザクション(ロールバック手順)を定義し、障害時の自動復旧を保証する。

フェーズ4(継続運用)では、Agent SREのSLOダッシュボードとAgent Complianceのコンプライアンスグレーディングを統合し、エージェントの信頼性とコンプライアンスを継続的にモニタリングする。CLIツール agt verify は、OWASPの10カテゴリに対する準拠状況をスコア化し、agt verify --evidence はランタイム証跡から厳密モードでの評価を実行する。これにより、監査対応のエビデンスを日常運用の延長として自動収集できる。

デプロイメントオプションとして、AGTはKubernetes(AKS・GKE・EKS)、Azure Container Apps、AWS ECS/Fargate、GCP GKEに対応し、開発環境向けにはDocker Composeも用意されている。Azure環境ではAKSサイドカーコンテナ、Azure AI Foundryミドルウェア統合、Container Appsサーバーレスデプロイの3パターンが提供される。フレームワーク統合は20以上のアダプタにより、LangChain・CrewAI・OpenAI Agents SDK・Google ADK・Semantic Kernel・AutoGen・LlamaIndex・Haystack・Difyなど主要フレームワークをカバーする。

AGTが定義するエージェントセキュリティの新標準 ── 2026年下半期以降の展望

AGTの技術的意義は、エージェントセキュリティを「プロンプトガードレール」から「ランタイムガバナンス」へ転換させた点にある。AGT自体が明確に述べているように、「これはプロンプトガードレールやコンテンツモデレーションツールではない。LLMの入出力ではなく、エージェントのアクションを統治する」。この設計思想の転換は、エージェンティックAIのセキュリティ議論を本質的に前進させるものである。

品質保証の面では、13,000以上のユニットテスト、CodeQLによるPython・TypeScriptの静的解析、Gitleaksによるシークレットスキャン、ClusterFuzzLiteによる7つのファズターゲットの継続的ファジング、Dependabotによる13エコシステムの依存関係監視、OpenSSF Scorecardによる週次セキュリティスコアリングが実施されている。SLSA互換のビルド来歴(Build Provenance)により、サプライチェーンの完全性も検証可能である。

ただし、AGTには制約も存在する。本ツールキットはエージェントフレームワークと同一プロセス境界内のアプリケーション層で動作するため、本番環境ではコンテナベースのOSレベル分離が推奨される。また、分散デプロイでは暗号検証とメッシュハンドシェイクに5〜50msのレイテンシが追加される。ポリシー評価自体の0.1ms未満という数値は印象的だが、実際のエンドツーエンドオーバーヘッドは展開トポロジに依存する点に注意が必要である。

量子耐性暗号(ML-DSA-65)のサポートは先見的である。現時点では量子コンピュータによる暗号解読は実用段階にないが、「harvest now, decrypt later」攻撃を考慮すると、エージェント間で交換されるクレデンシャルとポリシーデータの長期的な機密性保護は合理的な設計判断である。NIST Post-Quantum Cryptography Standardization(2024年8月FIPS 204/205承認)との整合性も確保されている。

2026年下半期に向けて、エージェントセキュリティの標準化は加速する。NIST AI Agent Standards Initiativeの第2フェーズ(リスニングセッション結果の標準化)、CSA ATFの実装参照アーキテクチャの公開、そしてOWASPの次期アップデートが予定されている。AGTのオープンソース・マルチフレームワーク設計は、これらの標準に実装レベルで先行することで、デファクトスタンダードの地位を狙う戦略と読める。MITライセンスによるオープンソース公開は、競合他社のフレームワークロックインに対するMicrosoftのポジショニングでもある。

エンタープライズにとっての最優先アクションは3つである。第一に、Agent DiscoveryによるシャドウAIエージェントの棚卸し。第二に、OWASPの10リスクカテゴリに対する自組織のギャップアセスメント。第三に、AGTのポリシーエンジンを最低1つの本番エージェントに適用するパイロット実装である。83%計画・29%準備のギャップは、具体的な技術実装によってのみ縮小できる。

FAQ

Agent Governance Toolkitは無料で使えるのか?

AGTはMITライセンスのオープンソースプロジェクトとして公開されており、商用利用を含めて無料で使用できる。Python・TypeScript・Rust・Go・.NETの5言語でSDKが提供され、pip・npm・crates.io・NuGetから個別パッケージをインストール可能である。Azure以外のクラウド(AWS・GCP)やオンプレミス環境でも動作する。

既存のLangChainやCrewAIプロジェクトに後付けで導入できるか?

可能である。AGTは20以上のフレームワークアダプタを提供しており、LangChainではコールバックハンドラ、CrewAIではタスクデコレータとして組み込む。公式ドキュメントでは「既存エージェントへのガバナンス追加は数行の設定変更で完了する」と説明されている。ただし、完全なOWASP準拠にはポリシー定義とテスト設計が必要である。

OWASP Agentic AI Top 10とLLM Top 10の違いは何か?

LLM Top 10がプロンプトインジェクション・幻覚などLLM単体の入出力リスクを対象とするのに対し、Agentic版はエージェントが「行動する」ことから生じるリスク(API呼び出し・コード実行・ファイル操作・意思決定)を体系化している。ゴールハイジャックや不正エージェントなど、自律性に起因する固有リスクが追加されている。

サブミリ秒のポリシー実行は本番環境でも維持されるか?

ポリシー評価自体のp99レイテンシは0.1ms未満だが、分散デプロイでは暗号検証とメッシュハンドシェイクに5〜50msの追加レイテンシが発生する。単一ノード内でのポリシー実行性能は高いが、マルチクラスタ環境ではネットワークトポロジに応じた性能設計が必要である。

量子耐性暗号ML-DSA-65は現時点で必要なのか?

現時点で量子コンピュータによる暗号解読は実用段階にないが、「harvest now, decrypt later」攻撃を考慮するとエージェント間クレデンシャルの長期保護は合理的である。ML-DSA-65はNIST FIPS 204(2024年8月承認)に準拠しており、将来の移行コストを回避できる。

Agent Governance Toolkitの導入にはどの程度のセキュリティ専門知識が必要か?

基本的なYAMLポリシー設定であれば、セキュリティの基礎知識があれば導入可能である。ただし、OPA/RegoやCedarによる細粒度ポリシー設計、NIST AI RMFへのマッピング、サプライチェーン攻撃を考慮した署名検証の設計には、セキュリティエンジニアリングの実務経験が求められる。

AGTはプロンプトインジェクション対策になるか?

AGTはプロンプトガードレールやコンテンツモデレーションツールではなく、エージェントのアクション(API呼び出し・ファイル操作等)を統治するランタイムフレームワークである。プロンプトインジェクション自体の検出には別途対策が必要だが、注入された指示による不正アクションはAgent OSのポリシーエンジンがブロックする。

参考文献