何が起きたか
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、オーストラリアの Australian Signals Directorate(ASD)、カナダ・サイバーセキュリティセンター、ニュージーランドの National Cyber Security Centre、英国の National Cyber Security Centre(NCSC)と協力して、エージェンティック AI システムの設計、開発、およびデプロイメントのガイドラインを概説する共同勧告を発表しました。この勧告は、最小権限の原則への厳密な準拠、継続的な監視と監査、非機密タスク向けの人間ループ制御、DevSecOps の基本に従ったセキュアな開発慣行、および定期的なインシデント対応テストを義務付けています。
なぜ重要か
これは、エージェンティック AI セキュリティを特に対象とした初の調整された多国間ガイダンスです。この勧告は、プロンプトインジェクション、ツールの悪用、権限の段階的拡大、アイデンティティスプーフィング、およびエージェント偽装をはっきりと取り上げており、これらは従来のアプリケーションセキュリティモデルが対処するよう設計されていない攻撃ベクトルです。CISA による AI エージェント(ユーザーだけでなく)への最小権限の強調と継続的監査は、AI エージェントが分散システム全体でマシン速度で動作し、静的な信頼境界でセキュリティを保つことが難しいという認識の高まりを反映しています。これらの制御を実装せずにエージェントをデプロイする組織は、攻撃者に昇格された権限を持つ永続的で自動化されたフットホールドを与えるリスクを負っています。
必要な対応
CISO は、デプロイされているすべての AI エージェントのインベントリを実施し、各エージェントがアクセスできるデータ、ツール、およびシステムを文書化する必要があります。各タスクに必要な最小権限にエージェント権限を制限する最小権限ポリシーを実装します。欺瞞的なエージェント動作、異常な API 呼び出し、またはスコープ クリープにフラグを立てるための継続的監視を確立します。ツール使用機能(MCP servers、LangChain ツールなど)を持つエージェントについては、インフラストラクチャを変更する、機密データにアクセスする、またはコードを実行するアクションに対して人間の承認を強制します。エージェンティック AI 侵害シナリオ向けにインシデント対応計画を特に確認およびテストします。