投稿者 global-ai-media 
生成AIの活用は、対話による情報検索から、タスクを自律的に遂行する「エージェンティックAI(Agentic AI)」へと進化しています。IBMの最新の知見をもとに、AIが自ら行動を起こすフェーズにおけるセキュリティリスク、特に「データポイズニング」の脅威と、日本企業が講じるべきガバナンス策について解説します。
対話から行動へ:Agentic AI(自律型AI)の台頭とリスクの変化
生成AIのトレンドは、単にテキストを生成するチャットボットから、ユーザーの目標を達成するために自律的にツールを使い、タスクを完遂する「Agentic AI(自律型AI)」へと移行しつつあります。日本国内でも、カスタマーサポートの自動化や社内ワークフローの効率化において、RAG(検索拡張生成)と連携したエージェント機能の導入検討が進んでいます。
しかし、AIが「回答する」だけでなく、APIを介してシステムを操作したり、決済を行ったりするなど「行動する」ようになると、リスクの質が根本的に変化します。従来の情報漏洩リスクに加え、AIが誤った判断に基づいて不適切な操作を行う「意図しない挙動」が、企業のオペレーションに直接的な損害を与える可能性が出てくるのです。
「データポイズニング」と学習データの機密性
IBMのセキュリティガイドでは、この新しいフェーズにおいて「データポイズニング(Data Poisoning)」のリスクを強調しています。これは、AIの学習データやRAGで参照するナレッジベースに悪意のあるデータを混入させ、AIの挙動を意図的に操作する攻撃手法です。
記事の中で特に注目すべきは、「AIエージェントを汚染(poison)できる時代において、すべての学習データは事実上の機密データ(Sensitive Data)である」という指摘です。これは、従来のように個人情報や財務データだけを保護すればよいという考え方からの脱却を意味します。
例えば、社内規定のデータベースに攻撃者が侵入し、経費精算のルールをわずかに書き換えたとします。自律型AIがそれを参照して、不正な申請を自動承認してしまう可能性があります。つまり、AIにとっての「知識」となるデータは、すべて「行動指針」となるため、その完全性(Integrity)を守ることがセキュリティの最重要課題となるのです。
ゼロトラストと「人」による監督の重要性
このようなリスクに対抗するためには、AIエージェントに対しても「ゼロトラスト」の原則を適用する必要があります。具体的には、エージェントに対して必要最小限の権限(Least Privilege)しか与えないことです。AIがアクセスできるデータベースやAPIを厳格に制限し、万が一AIが乗っ取られたり暴走したりした場合の被害を最小限に抑えるサンドボックス化が求められます。
また、日本の商習慣においては、稟議や承認プロセスなどの「人間による最終確認(Human-in-the-loop)」をプロセスの要所に組み込むことが、技術的な防御壁と同じくらい重要です。完全に自律させるのではなく、クリティカルなアクションの前には必ず人間の承認を挟む設計が、現段階では現実的な解となるでしょう。
日本企業のAI活用への示唆
Agentic AIの導入は業務効率を飛躍的に高める可能性がありますが、同時に新たなガバナンスモデルを要求します。日本企業が意識すべき点は以下の通りです。
- データの「質」と「完全性」の管理: データガバナンスを「情報の整理」から「AIの行動管理」へと再定義する必要があります。参照データの改ざん検知やアクセス制御は、AIの挙動を守ることに直結します。
- AIエージェントへの権限管理: AIを「システム」としてだけでなく、「権限を持った従業員」のように扱い、ID管理やアクセス権限の棚卸しを定期的に行うプロセスを確立すべきです。
- 段階的な導入と出口戦略: 最初は「参照のみ(Read-only)」の権限から始め、信頼性が確認されたタスクから順に「書き込み・実行(Action)」権限を付与するスモールスタートが推奨されます。