お問い合わせ
SECURITY NOTE — 090

AIエージェント ガバナンスポリシーを情シスが整備するポイント

PUBLISHED2026.05.21
READ8 分
CATEGORYSECURITY

近年、AI技術の進化は目覚ましく、特に自律的にタスクを実行するAIエージェントの活用が企業業務で注目されています。これに伴い、情シス部門では新たなセキュリティとガバナンスの課題に直面しており、AIエージェント ガバナンスの確立が急務です。

この記事を読んだほうが良い人

  • 部門からAIエージェント機能の業務利用について相談を受けている情シス担当者
  • AIエージェントを安全に社内導入するためのポリシー策定を検討している企業の情報システム部門
  • AIエージェントのリスク(権限、データ、サプライチェーン)を整理したいと考えている方
  • Google Workspaceと連携するAIエージェントのセキュリティ対策に関心がある方

AIエージェントがもたらす新たな業務効率と情シスが直面する課題

AIは、単なるチャットボットやコンテンツ生成ツールから、外部ツールと連携し自律的に業務を遂行する「AIエージェント」へと進化しています。例えば、自然言語で指示するだけで、メール作成、カレンダー調整、データ分析、さらには外部サービスへの情報入力までを自動で行うエージェントが登場しています。

このようなAIエージェントは、業務効率を大幅に向上させる可能性を秘めていますが、同時に情シス部門には新たなガバナンスの課題を突きつけます。これまでのように「AIツールを導入する際のセキュリティ審査」だけでなく、「AIエージェントが自律的に業務データにアクセスし、外部と連携する際のセキュリティとガバナンス」という、より深い視点でのポリシー設計が求められているのです。情シスは、AIエージェントのメリットを享受しつつ、いかにリスクを最小限に抑えるか、そのAIエージェント ガバナンスの確立が急務となっています。

AIエージェントに特有のリスク分類とポリシー設計の観点

AIエージェントは、従来のシステムとは異なる特性を持つため、特有のリスクが存在します。これらを理解し、適切なポリシーを設計することが重要です。

権限スコープの過大付与によるリスク

AIエージェントは、業務を遂行するために様々なシステムやデータへのアクセス権限を必要とします。このとき、必要以上に広範な権限を付与してしまうと、エージェントの誤動作や悪意ある攻撃によって、意図しない操作や情報漏洩につながる可能性があります。

  • リスク: エージェントに最小限の権限しか与えていないつもりが、実際には広範なAPIアクセスやサービスアカウント権限が付与されており、エージェントが想定外の操作を行ってしまう。
  • ポリシー設計の観点:
    • 最小権限の原則: エージェントが必要とする最低限の権限のみを付与する。
    • 権限の定期レビュー: エージェントが利用する権限スコープを定期的に見直し、不要な権限は速やかに削除する。
    • サービスアカウント(アプリケーションやVMインスタンスがGoogle Cloudリソースにアクセスするための特別なアカウント)の厳格な管理: エージェント専用のサービスアカウントを作成し、他のシステムと共有しない。

機密データ持ち出し・漏洩リスク

AIエージェントは、業務データにアクセスし、それを処理する過程で外部のAIサービス(LLM提供元)にデータを送信する場合があります。このデータフローが適切に管理されていないと、企業の機密情報や個人情報が外部に持ち出され、漏洩するリスクがあります。

  • リスク: エージェントがアクセスした機密データが、LLM(大規模言語モデル)の学習データとして利用されたり、外部の不特定多数に開示されたりする。
  • ポリシー設計の観点:
    • データ分類とアクセス制御: エージェントがアクセスできるデータの種類を明確に分類し、機密度の高いデータにはアクセスさせない。
    • データフローの可視化と承認: エージェントがどのようなデータをどこに送信するのかを明確にし、情シスによる承認プロセスを設ける。
    • データ保持ポリシー: エージェントが処理したデータの保持期間や削除方法を定める。DLP(Data Loss Prevention:データ損失防止)ソリューションとの連携も検討する。

AIサプライチェーンリスク

AIエージェントは、基盤となるLLM、外部ツールとの連携機能、プラグインなど、複数のコンポーネントで構成されます。これらのコンポーネントやそれらを提供するベンダーに脆弱性や悪意があった場合、エージェント全体のリスクとなります。これは、従来のソフトウェアサプライチェーンリスクがAI領域に拡大したものです。

  • リスク: エージェントが利用する外部プラグインに脆弱性があり、それを介してシステムが攻撃される。または、LLMベンダーのセキュリティインシデントにより、エージェントが処理したデータが流出する。
  • ポリシー設計の観点:
    • ベンダー選定基準: LLMプロバイダーやプラグイン提供ベンダーのセキュリティポリシー、データ保護基準、利用規約を厳しく審査する。
    • 利用ツールの審査: エージェントが連携する外部ツールやプラグインについて、情シスが事前に安全性を審査し、許可されたもののみ利用可能とする。
    • 定期的な脆弱性診断: エージェントを構成するコンポーネントに対する脆弱性診断を定期的に実施する。
    • 二次的なサプライチェーンリスク: ベンダーがさらに外部のAIサービスを利用している場合、そのサプライチェーンも考慮する。AI サプライチェーンリスクは多層的になり得るため、詳細な情報開示をベンダーに求める。

プロンプトインジェクションと悪用リスク

プロンプトインジェクションとは、悪意のあるプロンプト(指示)をAIエージェントに与えることで、エージェントの本来の指示を上書きし、意図しない挙動を引き起こす攻撃手法です。

  • リスク: 悪意のあるユーザーがプロンプトインジェクションを使い、エージェントに機密情報を開示させたり、システム内で不正な操作を行わせたりする。
  • ポリシー設計の観点:
    • 入力データのサニタイズ: エージェントへの入力データに含まれる不審な文字列やコマンドを検出・除去する仕組みを導入する。
    • エージェントの挙動監視: エージェントの出力や実行ログを監視し、異常な挙動を早期に検知する。
    • ロールベースのアクセス制御: エージェントの利用者を制限し、特定の権限を持つユーザーのみが機密情報にアクセスするエージェントを利用できるようにする。

AIエージェント導入時の情シス向け審査チェックポイント

AIエージェントの導入を検討する際、情シスは以下のチェックポイントに基づいて審査を行うべきです。

  • 権限要件の明確化: エージェントが必要とするAPI権限やサービスアカウント権限が最小限に抑えられているか、その根拠は明確か。
  • データフローの可視化: エージェントがアクセスするデータ、処理後のデータの送信先、保存期間、削除ポリシーが明確に文書化されているか。
  • ログと監査機能: エージェントの活動(アクセス、処理、外部連携)が詳細にログとして記録され、情シスが監査できる仕組みがあるか。
  • ベンダーのセキュリティ体制: LLMプロバイダーや関連サービスベンダーのセキュリティ認証、データ保護方針、インシデント対応体制が基準を満たしているか。
  • 緊急停止機能: エージェントの異常な挙動を検知した場合に、情シスが速やかにエージェントの動作を停止できる仕組みがあるか。
  • バージョン管理と変更管理: エージェントのバージョン管理が適切に行われ、機能変更や連携先の変更時に情シスによる審査・承認プロセスがあるか。
  • プロンプトインジェクション対策: 入力フィルタリングや出力監視など、プロンプトインジェクションに対する具体的な対策が講じられているか。
  • 従業員へのガイドライン提供: エージェントの適切な利用方法、禁止事項、リスクを従業員に周知するためのガイドラインが整備されているか。

Google Workspace (GWS) 連携エージェント使用時の追加考慮事項

Google Workspace環境でAIエージェントを利用する場合、GWSの機能と連携したセキュリティ対策を検討できます。

  • OAuthクライアントID(OAuth 2.0プロトコルにおいてアプリケーションを識別するためのID)とサービスアカウント: GWS APIにアクセスするAIエージェントは、OAuthクライアントIDまたはサービスアカウントを利用します。これらの発行と管理は情シスが厳格に行い、付与するスコープ(権限)は常に最小限に留めるべきです。
  • Admin SDK(Google Workspaceの管理機能やデータにプログラムからアクセスするためのAPI群)による監査ログの活用: AIエージェントがGmail、Drive、CalendarなどのGWSサービスに対して行った操作は、Admin SDKの監査ログで確認できます。これらのログを定期的に監視し、異常なアクティビティを検知する体制を構築することが重要です。
  • Context-Aware Access(CAA:ユーザーのID、デバイスの状態、IPアドレスなどに基づいてGoogle Workspaceへのアクセスを制御する機能)の適用: Context-Aware Access (CAA) を利用して、AIエージェントがGWSリソースにアクセスできる条件を制限することも有効な手段です。例えば、特定のIPアドレス範囲からのみアクセスを許可したり、特定のデバイスポリシーを満たす場合のみ許可したりすることで、不正アクセスリスクを低減できます。

これらのGWSの機能を活用することで、Claude エージェントのような外部AIエージェントがGWS環境で安全に動作するための業務セキュリティを強化します。

まとめ:AIエージェントの安全な活用に向けて

AIエージェントは企業の生産性を大きく向上させる可能性を秘めていますが、その導入には情シスによる徹底したガバナンス設計が不可欠です。権限管理、データ持ち出し、AIサプライチェーン、プロンプトインジェクションといった特有のリスクを理解し、適切なポリシーと審査プロセスを整備することが、安全なAI活用への鍵となります。

情シスは、単に「許可するか否か」だけでなく、リスクを最小化しつつ最大限のメリットを引き出すための「どのように活用を許容するか」という視点で、AIエージェントのガバナンスに取り組む必要があります。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。