何が起きたか
Infosecurity Europe期間中のOWASP GenAI Security Summit(2026年6月4日)で、OWASP GenAI Security ProjectはエージェンティックAIのエンタープライズ採用成熟度モデルを導入しました。これは6月3日の論文「State of Agentic AI Security and Governance v2.01」から派生したものです。このモデルは6つのエージェントデプロイメントレベル(AT0シャドウAIからAT5カスタム社内エージェントまで)を4つのガバナンス成熟度レベル(アドホックから継続的ガバナンス・アズ・コードまで)にマッピングし、ガバナンスがデプロイメントと一致していない場所にフラグを立てる赤/黄/緑マトリックスを生成します。OWASPはまた、エージェンティックシステムの継続的なセキュリティ研究を調整するためのエージェンティック研究評議会の設立を発表しました。
なぜ重要か
エージェントをデプロイしている大多数の組織は「赤セル」で動作しています。AT3~AT5の自律型エージェントを提供しながら、AIコパイロット向けに設計されたAT1グレードのガバナンスを実行しています。成熟度モデルは、脅威モデリング、調達要件、監査基準の共有言語を提供し、コンサルティングチームとCISOが特定の制御投資または自律性削減を正当化するために即座に適用できます。
必要な対応
OWASPのデプロイメント・ガバナンスマトリックス上に組織のデプロイされたエージェントをプロットしてください。赤セルにあるエージェントは、名指された所有者アカウンタビリティ、AI-SBOM、リアルタイムロギング、および自律性制限を取得して(レベル2に到達するため)か、既存の制御が十分になるまでそのツールスコープとアクセス許可を削減する必要があります。