投稿者 global-ai-media 
生成AIの活用は、単なるテキスト生成から、自律的にタスクを遂行する「エージェント」へと進化しています。しかし、AIに権限を与える拡張機能やプラグインがマーケットプレイス経由で容易に入手可能になった今、新たなセキュリティリスクが顕在化しています。Tech Policy Pressの議論を起点に、日本企業が見落としがちなAIサプライチェーンのリスクと、実務的なガバナンスのあり方を解説します。
「チャット」から「アクション」へ:AIエージェントの台頭とリスク
生成AIの進化において、現在最も注目されているのが「AIエージェント」の概念です。従来のAIがユーザーの指示に対してテキストや画像で「回答」するだけだったのに対し、エージェントはユーザーの代わりにツールを操作し、メール送信、会議予約、コード実行、購買処理などの「行動(アクション)」を自律的に行います。
これは業務効率化の観点からは革命的ですが、セキュリティの観点からは攻撃対象領域(アタックサーフェス)の拡大を意味します。AIがユーザーの権限(IDやアクセストークン)を借用してシステムを操作できるため、もしそのAIエージェント(またはそれを構成する拡張機能やプラグイン)が悪意あるものであった場合、被害は情報の「漏洩」にとどまらず、なりすましによる「実害」へと直結します。
マーケットプレイスに潜む「悪意ある拡張機能」
Tech Policy Pressの記事では、AIエージェントの拡張機能(Extensions)がマーケットプレイスですでに流通し始めており、その中に悪意あるものが含まれている現状を指摘しています。ブラウザの拡張機能や、大規模言語モデル(LLM)のストア(例:GPT Storeなど)で公開されるサードパーティ製プラグインは、便利な機能を提供する一方で、厳格な審査をすり抜けてユーザーのデータにアクセスしたり、意図しない操作を実行させたりするリスクを孕んでいます。
特に懸念されるのは、プロンプトインジェクション攻撃などを通じて、正規のAIエージェントが悪意ある指示を受け入れ、ユーザーが意図しないコマンドを実行させられるケースです。プラットフォーム側には、サンドボックス(隔離環境)での実行や、厳格な審査基準(デューデリジェンス)といった「最低限の義務」が求められますが、法整備や自主規制が技術の進歩に追いついていないのが実情です。
日本企業における「Shadow AI」とガバナンスの死角
日本の企業現場に目を向けると、ChatGPTなどの主要なAIツールへのアクセス制限やガイドライン策定は進みつつあります。しかし、従業員がブラウザの拡張機能としてAIツールをインストールしたり、承認されたAIプラットフォーム上で未検証のプラグインを追加したりすることに対する管理は、まだ手薄なケースが散見されます。
いわゆる「シャドーIT」ならぬ「シャドーAI」の問題です。現場の担当者が「便利だから」という理由で、出所不明の要約プラグインや翻訳エージェントを導入し、そこから顧客情報や社内機密が外部サーバーへ送信される、あるいはAIが勝手に社内チャットへ投稿してしまうといった事故は、もはや理論上のリスクではありません。
また、日本の商習慣では、システムインテグレーター(SIer)やベンダーに開発を委託することが一般的ですが、納品されたAIシステムが依存している外部ライブラリやプラグインの安全性まで詳細に監査できている企業は多くありません。AIにおけるソフトウェアサプライチェーンの透明性確保は、急務の課題と言えます。
日本企業のAI活用への示唆
AIエージェントの普及を見据え、日本企業は以下のポイントを押さえた実務的な対応を進めるべきです。
1. AI拡張機能・プラグインのホワイトリスト化
コアとなるLLMの利用可否だけでなく、ブラウザ拡張機能やSaaS上のプラグインについても、利用可能なリスト(ホワイトリスト)を策定・管理する必要があります。従業員の生産性を阻害しないよう、申請・承認プロセスを迅速化しつつ、ベンダーの信頼性確認を必須とします。
2. 「権限最小化」と「Human-in-the-Loop」の実装
AIエージェントにシステム操作権限を与える際は、必要最小限の権限(Read Onlyなど)に留めることが鉄則です。また、データの削除や外部への送信、決済などの重要なアクションを実行する直前には、必ず人間による承認(Human-in-the-Loop)を挟むUI/UX設計を徹底し、AIの暴走を防ぐ仕組みをプロダクトに組み込むべきです。
3. プラットフォーム選定基準のアップデート
自社でAI基盤を構築・導入する際、そのプラットフォームがサードパーティ製アプリやプラグインに対してどのような審査・監視体制を持っているかを評価基準に加える必要があります。プラットフォーム側のセキュリティ対策が不十分な場合、そのリスクは利用者である企業が負うことになるため、契約時の責任分界点の確認も重要です。