AIエージェントセキュリティの進歩と課題
AIエージェントは、理論的な存在ではなく、すでにデータベースクエリを実行し、構成を変更し、自然言語の指示に基づいてワークフローを管理しています。しかし、これらの活動に対するガバナンス監視はまだ十分ではありません。
AIエージェントの課題は、それらが行うことができる事だけでなく、それらがどのように行うかを制御するためのガバナンスフレームワークを確立することです。
進歩と課題
2024年12月にModel Context Protocol (MCP) 2.0が導入され、アジェンティックAIのガバナンスフレームワークを可能にする構造化制御メカニズムが導入されました。これはセキュリティリーダーにとって重要な進歩ですが、完全な解決策ではありません。
タイムラインの圧縮
業界の予測によると、大企業の多くはAIエージェントを生産ワークフローに組み込むまでに12〜18ヶ月しかありません。重要な質問は、デプロイメント前にガバナンスフレームワークを確立するか、インシデントが脆弱性を明らかにした後にコントロールを追加するかです。
3つのセキュリティ改善
- 権限境界: MCP 2.0は、明示的なスコープの権限を含む信頼を置き換えるメカニズムを提供します。これにより、クレデンシャルの暴露が特定の権限範囲に限定され、環境全体に拡散するのを防ぎます。
- 構造化スキーマ: すべてのツールは正確な入力と出力スキーマを定義し、サーバサイドでバリデーションを行います。これにより、AIの操作が決定論的でテスト可能になります。
- 人的監視: MCP 2.0は情報が欠けている、曖昧である、または承認が必要な場合にAI操作を一時停止し、人的な入力を要求します。
残る重要なギャップ
- サーバアイデンティティ: MCPサーバの真贋を確認するメカニズムが存在しません。
- ツールの起源: ツールの真贋を確認するメカニズムが存在しません。
- 実行時の隔離: ツールはホスト環境が許可する権限で実行されます。
- プロンプトの操作: 対戦相手は、巧妙に作成されたプロンプトやメタデータを通じてAIの意思決定を操作することができます。
- マルチエージェントの調整: マルチエージェント間の相互作用に対するガードレールが存在しません。
なぜ今行動する必要があるのか
MCP 2.0は、EU AI ActやDORAなどの新規制要件をサポートする可能性があります。これらのフレームワークを実装している組織は、将来の規制要件に対応するためのポジションを確保することができます。
次のステップ
- まだ実験中: MCP 2.0を標準として導入し、スケーリング前にガバナンスポリシーを確立します。
- 生産移行中: AI機能の包括的な審査を実施し、リスク分類フレームワークを作成します。
- すでにエージェントがデプロイされている場合: 緊急評価を14日以内に実施し、補償コントロールを30日以内に実施します。