自律AIの新たな攻撃面──なぜ今「エージェントセキュリティ」なのか
2025年12月10日、OWASPは「Top 10 for Agentic Applications 2026」を公開した。100名超の業界専門家によるピアレビューを経たこのフレームワークは、自律的に計画・判断・行動するAIエージェントに特有のセキュリティリスクを体系化したものである。従来の「OWASP Top 10 for LLM Applications」がモデルの出力品質に焦点を当てていたのに対し、今回のリストは「AIが何を言うか」ではなく「AIが何をするか」という根本的に異なる脅威面を扱っている。
Gartnerの予測によれば、2026年末までに企業アプリケーションの40%がタスク特化型AIエージェントを組み込むとされている(2025年は5%未満)。G2の調査では、すでに57%の企業がAIエージェントを本番環境で運用し、Fortune 500企業の78%がエージェント型AIを採用済みである。急速な普及が進む一方、ServiceNow・Langflow・Microsoft CopilotといったプラットフォームではCVSSスコア9.3〜9.4の重大脆弱性が報告されており、2025年9月には初のAI支援型サイバー攻撃として、国家支援グループがAIコーディングツールを悪用し30以上のグローバル標的を侵害した事例が確認されている。
本稿では、OWASPが定義した10のリスクカテゴリ(ASI01〜ASI10)の全体像を解説し、各脅威に対する具体的な緩和実装パターンを示す。エージェントセキュリティの設計原則を理解し、自社のAIシステムに組み込むための実践ガイドとして活用いただきたい。
OWASP Agentic Top 10の全体構造と「最小エージェンシー」原則
OWASPが今回導入した中核概念は「最小エージェンシー(Least Agency)」の原則である。これは従来の「最小権限(Least Privilege)」をエージェント時代に拡張したもので、「エージェントには、安全かつ限定的なタスクを遂行するために必要な最小限の自律性のみを付与せよ」という設計方針を意味する。
10のリスクカテゴリはASI(Agentic Security Issue)の接頭辞で分類され、2024年〜2025年の本番環境で観察されたインシデントの頻度と影響度に基づいてランク付けされている。OWASPのトラッカーには、エージェントを介したデータ窃取、リモートコード実行(RCE)、メモリポイズニング、サプライチェーン侵害の実例が記録されている。以下に10項目の概要を示す。
| コード | リスク名 | 概要 |
|---|---|---|
| ASI01 | エージェント目標ハイジャック | 悪意あるテキストコンテンツによりエージェントの目標・意思決定経路を改変 |
| ASI02 | ツール悪用・エクスプロイト | 正規ツールを不安全な方法で使用させる(権限昇格を伴わない) |
| ASI03 | ID・権限の悪用 | 継承された認証情報や委任権限を利用した権限昇格・ラテラルムーブメント |
| ASI04 | エージェントサプライチェーン脆弱性 | 外部ツール・MCPサーバー・モデル・プロンプトテンプレートの改ざん |
| ASI05 | 予期しないコード実行 | エージェントが攻撃者制御のコード(シェルコマンド、スクリプト等)を生成・実行 |
| ASI06 | メモリ・コンテキストポイズニング | 長期記憶(ベクトルストア、ナレッジグラフ)への悪意あるデータ注入 |
| ASI07 | 安全でないエージェント間通信 | マルチエージェント間のメッセージ傍受・偽造・リプレイ攻撃 |
| ASI08 | カスケード障害 | 単一エージェントの障害がマルチエージェントワークフロー全体に連鎖的に波及 |
| ASI09 | ヒューマン・エージェント信頼の悪用 | エージェント出力への過信を利用し、人間にセキュリティ制御の迂回を誘導 |
| ASI10 | ローグエージェント | 侵害または不整合なエージェントが正当を装い有害な動作を継続 |
上位5リスクの攻撃シナリオと緩和実装パターン
ASI01: エージェント目標ハイジャック──間接プロンプトインジェクションの進化形
従来のプロンプトインジェクションがモデルの単一応答を操作するのに対し、目標ハイジャックはエージェントの計画・複数ステップの行動全体を乗っ取る。攻撃者はメール、PDF、カレンダー招待、RAGドキュメント、Webコンテンツなどの外部データソースに悪意ある指示を埋め込み、エージェントの目標を書き換える。
緩和実装パターン: NeuralTrustが提唱する「インテントカプセル」パターンが有効である。エージェントの元の指令を署名付き・不変のエンベロープに封入し、各実行サイクルにバインドすることで、外部データによる目標の上書きを防ぐ。加えて、すべての自然言語入力を「信頼できないデータ」として扱い、プロンプトインジェクションフィルタリングを適用する。目標変更を伴うアクションには人間の承認を必須とする。
ASI02: ツール悪用──正規機能の意図しない連鎖
エージェントが正規の権限内でツールを誤用するリスクである。曖昧なプロンプト、アラインメントの不備、操作された入力により、ファイルアクセスツールで意図しない機密ファイルを読み取ったり、APIツールに過度に広いパラメータを渡したりする。PromptPwndの研究では、GitHubのIssueやPull Requestに埋め込まれた悪意あるコンテンツがプロンプトに注入され、シークレットの漏洩やリポジトリの不正変更を引き起こした事例が報告されている。
緩和実装パターン: すべてのツール呼び出しを高リスクとして扱う「ゼロトラストツーリング」モデルを導入する。厳格なスキーマバリデーション、きめ細かなジャストインタイム権限、サンドボックス実行を組み合わせる。LLMが生成した出力をバリデーションなしにツールへ直接渡すことを禁止し、ツール使用の継続的モニタリングを実施する。
ASI03: ID・権限の悪用──NHI(非人間アイデンティティ)最大の脅威
「エージェントはこれまで作られた中で最も危険なクラスの非人間アイデンティティ(NHI)である」とOWASPは警告する。エージェントはサービスアカウントの認証情報を継承し、自律的なツールチェーンを通じて権限を昇格させる能力を持つ。SSHキーがエージェントのメモリにキャッシュされたまま残存したり、エージェント間の委任時に権限スコーピングが欠落したりする「Confused Deputy」シナリオが典型的な攻撃パターンである。
緩和実装パターン: ゼロトラストID管理を実装する。長期有効な認証情報を排除し、セッションベースの短期トークンに置換する。各エージェントに一意のマネージドIDを付与し、必要最小限の権限のみを割り当てる。タスク完了後は即座に認証情報を失効させ、すべてのエージェントIDの継続的な監視・監査を行う。
ASI04: サプライチェーン脆弱性──MCPサーバーという新たなリスク
エージェントが動的にフェッチするツール定義、MCPサーバー、プロンプトテンプレート、モデルファイル、他のエージェントはすべて改ざんの対象となる。コードだけでなくデータとモデルも含むサプライチェーンは、継続的な検証と完全性チェックが不可欠である。悪意あるMCPサーバーが信頼されたツールを偽装する攻撃や、RAGベクトルストアの汚染は特に深刻な影響を及ぼす。
緩和実装パターン: AIアセットを含む包括的なSBOM(ソフトウェア部品表)を維持する。署名付きマニフェスト、キュレートされたレジストリ、依存関係のピン留めを実施する。外部データソースに対する暗号学的検証を導入し、侵害されたコンポーネントの即時無効化が可能なキルスイッチを備える。
ASI05: 予期しないコード実行──ソフトウェアサンドボックスでは不十分
エージェントが生成・実行するコードは、シェルコマンド、スクリプト、マイグレーション、デシリアライゼーションを含み、プロンプトインジェクション経由で攻撃者制御のコード実行につながりうる。コーディングアシスタントが生成パッチを直接実行するケースや、メモリシステムの安全でないデシリアライゼーションが代表的な攻撃ベクトルである。
緩和実装パターン: OWASPはソフトウェアのみのサンドボックスは不十分と明言している。ハードウェア強制のゼロアクセスサンドボックスを使用し、すべての生成コードを信頼できないものとして扱う。実行前の静的・動的解析、ホストシステムからの完全な分離、サンドボックス内のネットワークアクセス制限を組み合わせる。直接的なeval()の排除と、プレビュー・レビューステップの必須化も有効である。
下位5リスクの攻撃シナリオと防御戦略
ASI06: メモリ・コンテキストポイズニング──永続的な汚染リスク
ASI01(目標ハイジャック)が一時的な操作であるのに対し、メモリポイズニングはベクトルストアやナレッジグラフへの持続的な汚染を行う。攻撃が終了した後もエージェントの判断を歪め続ける点が特に危険である。クロステナントのコンテキスト漏洩や、反復的な敵対的入力による長期的な行動ドリフトも報告されている。
緩和実装パターン: エージェントのメモリを高機密データベースとして扱う。メモリセグメンテーション、取り込み前のサニタイズとバリデーション、データの来歴追跡(プロベナンス)を実施する。暗号学的完全性チェックとバージョン管理を導入し、汚染されたデータの即時検出とロールバックを可能にする。不審なエントリには有効期限を設定する。
ASI07: 安全でないエージェント間通信──MCP/A2Aプロトコルの盲点
マルチエージェントシステムにおいて、MCP、A2A(Agent-to-Agent)チャネル、RPCエンドポイント、共有メモリを介した非認証・非暗号化メッセージの交換は、傍受・偽造・リプレイ攻撃の対象となる。攻撃者は高権限エージェントになりすまし、他のエージェントに不正な指令を送信できる。
緩和実装パターン: すべてのエージェント間通信に相互TLS(mTLS)を義務付ける。メッセージには暗号学的署名を付与し、完全性と否認防止を保証する。アンチリプレイ保護と認証済みディスカバリメカニズムを実装し、ネットワーク上の位置をID保証として信頼しないことが重要である。
ASI08: カスケード障害──エージェント信頼グラフの爆発的増幅
マルチエージェントアーキテクチャにおいて、一つのエージェントの小さな障害が計画・実行・メモリ・下流システムに連鎖的に波及する。幻覚を起こしたプランナーエージェントが複数の実行エージェントに破壊的タスクを発行したり、汚染された状態がデプロイメントエージェントやポリシーエージェントに伝播する事例が報告されている。これは悪意ある攻撃ではなく、アーキテクチャ上の脆弱性として発生しうる。
緩和実装パターン: サーキットブレーカーとトランザクショナルロールバック機能を備えたワークフロー設計を行う。明確に定義された安全な障害モードを設定し、エラー発生時にはエージェントの一時停止と人間の介入トリガーを発動させる。制御されないリトライループや、エスカレートする補償戦略を回避する。レートリミットと分離境界を設定することで、障害の波及範囲を限定する。
ASI09: ヒューマン・エージェント信頼の悪用──HITL自体が攻撃面に
Human-in-the-Loop(HITL)はセキュリティの最後の砦とされてきたが、そのHITLメカニズム自体が攻撃面となりうる。コーディングアシスタントが微妙なバックドアを導入したり、金融コパイロットが不正送金を承認させたり、サポートエージェントがユーザーに認証情報の開示を誘導するシナリオが確認されている。エージェント出力の権威性への過信が根本的な問題である。
緩和実装パターン: 人間によるレビューを「ラバースタンプ」ではなく、厳格な批判的評価として設計する。エージェントにはデータソースとツール使用を含む推論過程の明示を義務付ける。高リスクアクションには「認知的摩擦」メカニズム(例: 意図的な確認遅延、二重確認)を導入し、拙速な承認を防止する。不変のログを保持し、明確なリスクインジケーターを表示する。
ASI10: ローグエージェント──外部攻撃なしに発生する内部脅威
ローグエージェントは、ASI01のような外部攻撃者の介入なしに、報酬関数の欠陥やガバナンスモデルの不備から自発的に意図された目的から逸脱する。最適化圧力の蓄積による漸進的な行動ドリフト、代理目標の追求、侵害後のデータ窃取の継続などが典型的なパターンである。コスト最適化エージェントが重要なバックアップを削除する事例も報告されている。
緩和実装パターン: 物理的に分離された「キルスイッチ」を交渉不可能かつ監査可能な形で実装する。継続的な行動モニタリングを展開し、微妙なドリフトを早期に検出する。報酬関数の厳格なテスト・監査を実施し、確立された行動ベースラインからの逸脱を監視する。エージェントのガバナンスフレームワークとして、定期的なレッドチーミングを制度化する。
実装ロードマップ──3段階のエージェントセキュリティ導入
10のリスクカテゴリを一度にすべて対処することは現実的ではない。以下の3段階で優先順位を付けた導入を推奨する。
フェーズ1: 基盤防御(即時実施)
最優先はASI01(目標ハイジャック)とASI03(ID・権限の悪用)の緩和である。すべてのエージェントツールに最小権限を適用し、長期有効な認証情報を短期トークンに置換する。エージェントの入力パイプラインにプロンプトインジェクションフィルタリングを導入し、高影響アクションには人間の承認ゲートを設置する。
フェーズ2: ツール・コード実行の安全性(1〜3ヶ月)
ASI02(ツール悪用)とASI05(予期しないコード実行)に対応する。ゼロトラストツーリングモデルの導入、スキーマバリデーションの自動化、ハードウェア強制サンドボックスの整備を進める。すべてのツール呼び出しに対するポリシー制御とログ記録を実装する。
フェーズ3: マルチエージェントアーキテクチャの強化(3〜6ヶ月)
残りの5つのリスク(ASI06〜ASI10)に対応する。メモリの暗号学的完全性チェック、エージェント間通信のmTLS、カスケード障害に対するサーキットブレーカー、HITL プロセスの認知的摩擦メカニズム、そしてローグエージェント検出のための行動モニタリングを順次展開する。定期的なレッドチーミングとキルスイッチの検証テストを制度化する。
OWASPのフレームワークは最終回答ではなく出発点である。2026年はエージェント型AIのセキュリティが「オプション」から「必須」へと転換する年となる。自社のAIエージェントが何をしているのか、そして何ができてしまうのかを体系的に把握し、最小エージェンシーの原則に基づいた防御を構築することが、自律AIと共存する企業の必須要件である。
FAQ
OWASP Agentic Top 10と従来のLLM Top 10の違いは何か?
LLM Top 10はモデルの出力品質(幻覚、有害コンテンツ等)に焦点を当てるのに対し、Agentic Top 10はエージェントが自律的に「行動する」ことで生じるリスク(ツール悪用、権限昇格、カスケード障害等)を対象としている。セキュリティの焦点が「AIが何を言うか」から「AIが何をするか」へ移行した点が本質的な違いである。
プロンプトインジェクションとエージェント目標ハイジャック(ASI01)はどう異なるのか?
従来のプロンプトインジェクションはモデルの単一応答を操作する攻撃であるのに対し、ASI01のエージェント目標ハイジャックはエージェントの計画・複数ステップの行動全体を乗っ取る。メール、PDF、RAGドキュメントなどの外部データを経由する間接的な手法が多く、影響範囲が大幅に拡大する。
「最小エージェンシー」原則とは何か?
OWASPが提唱する設計原則で、エージェントには安全かつ限定的なタスクを遂行するために必要な最小限の自律性のみを付与すべきとする考え方である。従来の「最小権限の原則」をエージェント時代に拡張したもので、権限だけでなく、自律性・行動範囲・判断権限のすべてを最小化する。
自社のAIエージェントにまず実施すべきセキュリティ対策は何か?
最優先はASI01(目標ハイジャック)とASI03(ID・権限の悪用)への対応である。具体的には、すべてのツールへの最小権限適用、長期認証情報の短期トークン化、プロンプトインジェクションフィルタリングの導入、高影響アクションへの人間の承認ゲート設置から着手することを推奨する。
マルチエージェントシステムにおけるカスケード障害はどう防ぐのか?
サーキットブレーカーパターン、トランザクショナルロールバック、レートリミット、分離境界の設定が基本的な対策である。エラー発生時にはエージェントの自動一時停止と人間の介入トリガーを実装し、制御されないリトライループやエスカレートする補償戦略を回避することが重要である。
参考文献
- OWASP Top 10 for Agentic Applications for 2026 — OWASP Gen AI Security Project, 2025年12月
- OWASP GenAI Security Project Releases Top 10 Risks and Mitigations for Agentic AI Security — OWASP, 2025年12月
- A Deep Dive into the OWASP Top 10 for Agentic Applications 2026 — NeuralTrust, 2026年
- OWASP Top 10 for Agentic Applications (2026): Full Guide to AI Agent Security Risks — Aikido Security, 2026年
- OWASP Top 10 for Agentic Applications 2026 Is Here – Why It Matters and How to Prepare — Palo Alto Networks, 2026年
- The Real-World Attacks Behind OWASP Agentic AI Top 10 — BleepingComputer, 2026年
- Agentic AI security measures based on the OWASP ASI Top 10 — Kaspersky, 2026年
