この記事は、Security Business Group SVP & Chief Product Officer である Raj Chopra によるブログ「 Zero Trust for Agentic AI: Safeguarding your Digital Workforce 」( 2026年 3月 23日 )の抄訳です。
エージェント型 AI の時代が到来
企業において、エージェント型 AI への関心が高まっています。セキュリティ関連のお客様を対象にシスコが最近実施した調査によると、85% の組織が AI エージェントを積極的に導入している一方で、実際に本番環境へのデプロイを行っている組織はわずか 5% にとどまっています。 企業がガバナンス、セキュリティ、運用管理を検討する中、デプロイの多くは依然として内部ワークフローに限定されています。しかし、管理が必要となる新たなデジタルワークフォースとしてのエージェントが、今後は主流になっていくでしょう。多くの企業で共通する懸念事項として、一貫したアクセス制御の徹底、データ漏えいの防止、エージェントの自律性と動作の管理などが挙げられました。
AI エージェントはマシンの速度で複雑なタスクを実行しますが、本質的な人間の判断力や状況認識能力は備えていません。この新たなワークフォースを管理するためには、適切なセキュリティ対策を講じる必要があります。
エージェント型 AI エコシステムにおける現在の課題
当社のチームがこの新たなデジタル AI ワークフォースの管理に関する課題を分析した結果、お客様や見込み客とのやり取りを通じて、人間向けに構築されたゼロトラストアクセスをエージェント型ワークフローに適用すべき 3 つの理由が明らかになりました。
- 初期段階にあり断片化されたエコシステム。エージェントは至る所に導入され、テクノロジーは絶えず変化しています。エージェントはブラウザセッションや静的 API だけでなく、ツールブローカーや MCP、ツールチェーンを利用し、人間のような特性を持たないアイデンティティを基盤としています。これはつまり、エージェント間およびエージェントとツール間のトラフィックを把握し、エージェントの動作レベルでポリシーを適用するためには、アイデンティティ、アクセス、検査、ロギングなど、あらゆる要素を更新しなければならないことを意味します。
- 一貫性のないポリシー適用。セキュリティ対策がまったくなされていないというわけではありません。問題は、保護策が複数の断片化したレイヤーに散在しており、往々にして粗すぎる点にあります。各レイヤーのサービスがそれぞれ独自の認証モデルとセキュリティ制御を備えており、それらは一貫性を欠き、セキュリティチームが直接管理できないことが多々あります。また、MCP サーバー間においても、セキュリティの適用状況が著しく不均一であることが確認されています。一方、エージェントはジョブを実行するために、ほぼその場限りのアクセス権を必要とします。自律性が高まるほど、アクセス範囲も広がります。単一の MCP サーバーが必要以上に広範な権限を AI エージェントに付与してしまう状態であったり、アプリケーションで粗いスコープでしかアクセスが制限されていなかったりすると、エージェントは環境を掘り進み、「役に立つ」経路を見つけ出そうとします。結局のところ、エージェントはタスク志向であり、ほとんどの場合、人間のような判断力を持たずに動作するためです。
- 動的で非決定論的なアクション。エージェントは、タスクの遂行にあたり、予測不可能な方法でツールやリソースとやり取りします。これにより、静的で事前定義されたセキュリティ管理が通用しなくなり、従来のセキュリティソリューションではエージェントを管理することが困難になります。エージェントは、意図された範囲や目的を超えてツールにアクセスしたりアクションを実行したりしようとする可能性があるため、意図を検知し、適切なアクションやアクセス権限と照合できるガバナンスが必要となります。
ソリューションの構築にあたり、当社は、エージェントが「従う(協力をする)」かどうかに関わらず、セキュリティポリシーが強制的に適用されることを重要な設計要件に据えました。つまり、エージェントと意図を認識し、アイデンティティに関するコンテキストを考慮し、かつツール間で一貫性のあるポリシー適用を重視したのです。
意図こそが新たな境界となります。
企業のツールやデータへのアクセス時点が、共通の管理ポイントとなります。つまり、シスコの SSE ではポリシーが自然に適用されるのです。シスコでは、これをアイデンティティと結びつけることで、SSE がエージェントの身元、所有者、許可されているアクションについて完全なコンテキストを把握できるようにしています。
ソリューション:エージェント型 AI 向けのゼロトラスト
図1 . シスコ ゼロトラスト ソリューション
本日、シスコは、アイデンティティの検出・管理、アクセス制御、ランタイム動作の保護を統合し、当社のゼロ トラスト アクセス アーキテクチャを組織のエージェント型 AI ワークフォースにまで拡張したことをお知らせいたします。これにより、エンタープライズシステム全体におけるエージェントの動作を管理することができます。当社は、エージェントによる意図しない、あるいは方針にそぐわないアクションからお客様の環境を保護するエンドツーエンドのソリューションを設計しました。
エージェントの可視化とアイデンティティ管理
シスコは、AI エージェント、MCP サーバー、関連ツールを検出・登録し、エージェントのアイデンティティとアクティビティに関する一元化されたインベントリを作成します。エージェントはそれぞれ人間の所有者にマッピングされ、企業のアイデンティティシステムと統合されるため、一貫した認証、ライフサイクル管理、ガバナンスが実現します。
きめ細かいアクセス制御
シスコは、エージェントがアクセスできるサービスだけでなく、実行可能なアクションも定義する「最小権限」ポリシーを適用します。アイデンティティ認識型かつ時間制限付きのログイン情報により、アクセスの範囲と期間が制限されるとともに、MCP ゲートウェイによりツールやサービス全体で一貫した認証ポリシーが適用されます。
リアルタイムのふるまい監視と保護
シスコは、API、MCP サーバー、エンタープライズシステム全体におけるエージェントのやり取りを継続的に評価し、異常な動作や改ざんされた指示を検出します。意図の分析により、アクションがシステム全体に波及する前に、ツールの不正利用、ポリシー違反、機密データへのアクセス試行といったリスクをプラットフォームで特定することができます。
実務におけるエージェント型 AI 向けのゼロトラスト
ベンダーへの支払いを開始する経理自動化エージェントを例にとり、典型的なシナリオを見てみましょう。第三者が、巧妙なプロンプトをこっそり仕込んだり不正なリクエストを送信したりして、このエージェントを操作しようとしたとします。ここで、セキュリティレイヤーが機能します。
- まず、エージェントを正確に把握することが極めて重要です。各エージェントは、人間の所有者に紐付けられた検証済みのアイデンティティを用いてシスコのエージェントディレクトリにチェックインするため、誰が(あるいは何が)何を行っているかを正確に把握できます。また、認証が一元管理されるため、認証情報のハードコードによる漏えいリスクが生じません。
- 次に、シスコは、従来のアクセス制御ではなく、アクション制御に重点を置いています。エージェントが承認済みベンダーに対してのみ、指定の金額の範囲内で、かつ適切な時間帯に支払いを行えるように権限が設定されています。規定の範囲外のアクションについては、バックエンドシステムに到達する前に MCP ゲートウェイによって阻止されます。アイデンティティ管理との緊密な連携により、こうした詳細なアクセスポリシーとその適用が可能になります。
- 最後に、動作保護がさらなる安全策となります。シスコはセマンティック検査を通じて、エージェントの意図とアクションをリアルタイムで監視します。エージェントが不審な動作(不適切なツールの使用や想定されたルーチンからの逸脱など)を始めた場合、システムによりそのアクションが直ちにブロックされます。
これらのレイヤーが連携して機能することで、エージェント型 AI の真価であるスピードと効率性が確保されると同時に、エージェントのミスや不正行為に対する強力な保護が得られます。
シスコによるエージェント型 AI ワークフォースのセキュリティ
アイデンティティ、アクセス、動作分析の統合ソリューションを提供する単一ベンダーであるシスコは、プラットフォームアプローチを採用し、アイデンティティ管理、きめ細かなアクセス制御、リアルタイムの動作分析による保護を 1 つの統合型ソリューションに統合しました。
今後数か月でお客様への導入を進めるにあたり、フィードバックがありましたらぜひお寄せください。AI を活用する組織と連携し、エージェント型 AI の安全かつ確実な導入を支援させていただきます。
開始する前に
免責事項:ご紹介した製品や機能の多くは現在開発段階にあります。開発やイノベーションの進捗に応じて、完成後に提供開始となります。リリース時期は変更される場合があります。
ぜひお客様のご意見をお聞かせください。質問を投稿し、ソーシャルネットワークで Cisco Security の最新情報を入手してください。
Cisco Security ソーシャルメディア
Authors