AIエージェントの攻撃ベクトルとは何ですか?
AIエージェントの攻撃ベクトルとは、自律的な人工知能エージェントが外部ツール、API、他のエージェントと連携する際に生じる特有の脆弱性を指します。Because these 非人間アイデンティティ(NHI)はプログラムで動作し、従来の人間中心のセキュリティ対策に依存しないため、大きな攻撃対象領域を生み出す可能性があります。攻撃者は、コンテキストポイズニング、ネーミング攻撃、リバースプロンプトインジェクションなどの言語ベースの脅威を通じてこれらのエージェントを悪用し、エージェントのロジックを操作してデータを不正に取得する可能性があります。アイデンティティ・セキュリティ・ファブリックを実装することで、組織はAIエージェントを第一級のアイデンティティとして扱い、ゼロトラストとジャストインタイム(JIT)アクセスを適用して、特権の肥大化を軽減できます。
生成AIの急速な成長により、自律エージェントという新しいカテゴリーのソフトウェアが生まれました。エージェント型AIシステムは、人間の介入なしに、タスクを積極的に実行し、データベースにアクセスし、外部ツールとやり取りして、複雑な目標を達成します。この自動化は、大きなビジネス価値をもたらす可能性がありますが、同時に新たなセキュリティ上の課題ももたらします。Gartnerの調査によると、ITアプリケーションリーダーの74%が、AIエージェントは新たな攻撃ベクトルであると考えており、ガバナンスとエージェントの蔓延について広範な懸念があります。
組織がサービスアカウント、API、機械認証情報を持つAIエージェントを使用して自動化を拡大するにつれて、これらのアイデンティティは必要以上の権限を蓄積することがよくあります。非人間アイデンティティ(NHI)におけるこの過剰なアクセスの蓄積は、「権限の拡大」として知られており、最新のクラウド環境において重大なセキュリティギャップを生み出す可能性があります。従来のセキュリティチームは、これまで境界をロックダウンし、人間中心のアクセスコントロールを強化することに重点を置いてきました。しかし、非人間アイデンティティ(NHI)はプログラムで継続的に動作し、作成後に直接的な監督なしで行われることがよくあります。この違いには、エンタープライズガバナンスに対するきめ細かいアプローチが必要です。
AIエージェントの攻撃対象領域はどのように変化するか
言語モデルとサイバーセキュリティの信頼
セキュリティチームは、AIエージェントの攻撃ベクトルが、従来の多くのサイバー脅威とは重要な点で異なることを理解する必要があります。ネットワーク層の防御とレガシー Application (アプリケーション)ファイアウォールは、認識可能なマルウェアシグネチャと既知のエクスプロイトペイロードをブロックするように設計されていました。これらの制御は、脅威がコードに似ていないため、自律エージェントに対しては不十分な場合があります。それらは自然言語の会話に似ています。
NISTの敵対的機械学習分類(NIST AI 100-2e2025)によると、プロンプトインジェクションおよび間接的なプロンプトインジェクションは、生成AIシステムにおける記録されたセキュリティ上の懸念事項です。言語モデルでは、攻撃対象領域はアプリケーション層(L7)に移行し、攻撃はバイナリの脆弱性ではなくセマンティックな解釈を悪用します。
AIエージェントのセキュリティにおけるアーキテクチャ上の信頼に関する仮定
AIエージェントが外部ツールや別のエージェントと通信する場合、意思決定を行うために、自然言語の指示とコンテキストデータに依存します。現在のアーキテクチャの多くは、信頼できるシステムの指示と信頼できない外部コンテンツを、セマンティックレベルで区別するための信頼できるメカニズムがありません。
搾取に対する操作
攻撃者は、悪意を持って作成された言語をAIシステムに送り込むことで信頼を悪用する可能性があります。エージェントのアーキテクチャは、セマンティックな検証なしに入力を処理する可能性があるため、侵害されたエージェントが意図せず有害なコマンドを実行し、データ漏洩や不正アクセスにつながる可能性があります。
エージェンティックリスクモデル
AIエージェントはどのように新たな攻撃ベクトルを作り出すのか。
AIエージェントが新たな攻撃ベクトルとなる理由を理解するには、従来の自動化やサービスアカウントとの違いを生み出すアーキテクチャ条件を検証する必要があります。OWASPのAgentic Applications Top 10に基づいて、本分析では、組み合わせることでAIエージェントの攻撃対象領域を大幅に拡大する3つのアーキテクチャ条件を特定します。
Agentic Risk Convergence(ARC)フレームワークは、AIエージェントの展開が管理可能なワークロードリスクから明確で高度な攻撃ベクトルに移行する時期を評価するための構造化された手段を提供します。ARCは業界標準ではありませんが、エージェントの攻撃対象領域を大幅に拡大するアーキテクチャ上の条件を明確にしています。このフレームワークは、エージェント型の展開全体で観察されたセキュリティ条件を反映し、自律型システムセキュリティの確立された原則に基づいています。
このフレームワークは、組み合わせると構造的に新たな攻撃ベクトルを生み出す3つのアーキテクチャ条件を特定します。
- 自律的な実行権限:エージェントは、自身の推論に基づいて自律的にアクションを選択し、実行します。
- 継続的な資格情報の永続性:長期的なマシンの資格情報は、複数のセッションおよび推論サイクルにわたってアクティブなままです。
- 制限のない情報フローチェーン:エージェントは、システムの指示を検索されたデータから分離せずに、外部ソースから情報を取得してチェーン化します。
自律的な実行権限
エージェントは、タスクの完了に関する独自の推論に基づいて、ゲートされた人間の承認なしに、アクションを自律的に選択して実行できます。これは単なるAPIアクセスではありません。エージェントは、どのツールを、どの順序で、どのパラメーターで使用するかを決定します。
例:金融エージェントは、トランザクションを独立してルーティングしたり、承認ワークフローを選択したり、トランザクションパターンに基づいて決定をエスカレーションしたりできます。
技術的な影響:非線形で予測不可能な実行パスを作成します。ロールベースのアクセスコントロール(RBAC)は、人間の意思決定者を対象として設計されていますが、エージェントの自律性とは、攻撃対象領域が、複数の意思決定サイクルにわたるエージェントの推論に基づいて動的に拡大する可能性があることを意味します。
継続的な認証情報永続性
エージェントは、人間のアイデンティティライフサイクルを制限するセッション終了や再認証のゲートなしに、複数のセッション、決定、および推論サイクルにわたってアクティブな状態を維持する、長期的なマシン認証情報(サービスアカウント、APIキー、OAuthトークン)を使用して動作します。
重要な違い: 人間はセッションごとに認証しますが、エージェントは一度認証すると継続的に動作します。侵害されたエージェントは、検知されるまで不正なアクションを実行し続ける可能性があります。
例:カスタマーデータベースへのスタンディング読み取りアクセス権を持つサポートエージェントは、プロンプトインジェクションによってその推論が影響を受けた後でも、そのアクセス権を保持します。
技術的な影響: 悪用の期間が長くなります。検知の遅延は、潜在的な損害に直接関係します。
無制限の情報フローチェーン
エージェントは、システム命令を取得したデータから分離することなく、複数の外部ソースにわたって情報を取得、処理、および連結します。これにより、取得したコンテンツに埋め込まれた悪意のある命令が下流の意思決定に影響を与えるのを防ぐ自動メカニズムがない場合、リスクが生じます。
重要な違い: 検証されていないデータを単に取り込むだけでなく(従来型の検索拡張生成のリスク)、複数の検索・推論・実行サイクルにわたって意思決定を連鎖させます。サイクルごとにリスクが増大します。
例:エージェントは、隠された指示を含むドキュメントを取得し、次のステップでその指示に従い、結果を指示にも従うダウンストリームエージェントに渡します。侵害は、エージェントのエコシステム全体に静かに伝播する可能性があります。
技術的な影響:直接操作(コンテキストポイズニング)と間接的な伝播(リバースプロンプトインジェクションとメモリーポイズニング)の両方を可能にします。オープンな情報ループは、エージェントアーキテクチャに特有のものです。
リスク集中要件
これらの各条件は、それぞれ独立してリスクを高めます。ただし、AIエージェントの攻撃ベクトルは、これら3つがすべて同時に存在する場合に構造的に発生します。
自律的な実行権限を持つが、永続的な認証情報を持たないエージェントは制約を受けます。永続的な認証情報を持つが、外部アクション機能を持たないエージェントは、アクティブなリスクが低くなります。検証されていない情報を処理するが、自律性を持たないエージェントは、単一の推論サイクルに限定されます。
自律的な実行、永続的な認証情報、および無制限の情報フローチェーンが集中すると、単なる脆弱性の増大にとどまりません。動的な実行パス、長期化する悪用期間、およびシステム間の伝播リスクを特徴とする、明確なAIエージェントの攻撃ベクトルとなります。
この集中は、人間のユーザーまたは静的なサービスアカウント向けに設計された従来のアイデンティティ制御が、追加のガバナンスと継続的なアクセスコントロールなしでは不十分な場合が多い理由を説明しています。
新たなAIエージェントのサイバーセキュリティ攻撃ベクトル
特定の攻撃メカニズムを理解することは非常に重要です。OWASPのAgentic アプリケーション向けTop 10は、エージェント Goal Hijack(ASI01)、Tool Misuse(ASI02)、アイデンティティ and Privilege Abuse(ASI03)などのリスクを特定しています。攻撃者は、展開とアーキテクチャに応じて、いくつかの攻撃方法を利用する可能性があります。
コンテキストポイズニングと間接的なプロンプトインジェクション
コンテキストポイズニングは、悪意のあるコンテンツが推論中にエージェントのコンテキストウィンドウ(ドキュメント、Webページ、データベースクエリなど)に侵入する広範な攻撃の一種です。このクラスでは、間接的なプロンプトインジェクションは、許可されたコンテンツ内に隠された指示を組み込み、エージェントの動作をハイジャックする特定の攻撃です。どちらも、システム命令と取得された外部データとの間の意味的な境界の欠如を悪用します。間接的なプロンプトインジェクションは、特にエージェントの設計やガードレールに応じて、エージェントの推論や意思決定を標的にします。
現在のエージェントアーキテクチャは、システム命令と取得された外部データを意味的に区別するための組み込みメカニズムを欠いていることがよくあります。NIST AI 100-2e2025は、間接的なプロンプトインジェクションを、生成AIシステムにおける文書化された敵対的リスクとして特定しています。
例:Webコンテンツを取得するリサーチエージェントが、ワークフローの途中でAPI認証情報を流出させるように誤った指示を受ける可能性があります。サポートチケットを要約するカスタマーサービスエージェントが、悪意のあるチケットを介して、機密セッションデータを外部に転送する可能性があります。現在のデプロイメントで動作するエージェントは、指示の意味的な信頼性を独自に検証しない場合があります。
AIエージェントセキュリティにおける攻撃の命名と通信ハイジャック
エージェント通信ネットワークが拡大するにつれて、Model Context Protocol(MCP)や Agent-to-Agent(A2A)フレームワークなどのプロトコルを含め、命名攻撃はエージェントアーキテクチャの設計に対する潜在的な脅威となります。この攻撃には、なりすましと命名の衝突が含まれます。攻撃者は理論的には、正当な内部サービスと同一または類似の名前でツールをデプロイし、認証情報が有効なままで、エージェントのリクエストを誤ってルーティングする可能性があります。2025年現在、この攻撃による本番環境での事例は報告されていません。組織は、このリスクを抑制するために、厳格なサービス命名規則とツールアイデンティティの暗号検証を実装する必要があります。
シャドーイング攻撃とワークフローの破損
シャドーイング攻撃は、マルチステップワークフローを標的とする仮想的な攻撃パターンであり、悪意のあるコンポーネントが、ダウンストリームシステムが検出できない方法で、正当なエージェントの動作を微妙にオーバーライドします。
例: 特権付きの低いフォーマットエージェントが、より特権付きの高い請求エージェントにデータを渡す前に、金融機関の口座番号を改ざんし、エージェント間の信頼を悪用する可能性があります。このパターンには、エージェント間の直接的な通信、特権のエスカレーションの経路、およびエージェント間の検証の制限という特定の条件が必要です。
このリスクは、複雑なエージェント間依存関係と限定的な可観測性を持つ理論上のマルチエージェントエコシステムにおいて最も顕著です。現在の本番環境エージェントの展開において、文書化されたインスタンスは存在しません。
ラグプルとAIエージェントのサプライチェーン攻撃
AIツールを標的とするサプライチェーンの侵害は、エージェントツールエコシステムが成熟するにつれて、将来的なリスクとなります。攻撃者は便利なプラグインを公開し、採用を増やし、信頼が確立されると、悪意のある機能を導入します。このパターンは、従来のソフトウェアリポジトリ(npmやPyPIなど)では実績がありますが、エージェントツール(MCPやLangChainプラグインなど)ではまだ初期段階です。エージェントツールを導入する組織は、この新たなリスクを軽減するために、ツール動作の継続的な監視、重要なプラグインのバージョン固定、迅速なロールバック機能を実装する必要があります。
リバースプロンプトインジェクションとメモリポイズニング
リバースプロンプトインジェクションとメモリポイズニングは、異なる脅威モデルを持つ異なるリスクを表します。
逆プロンプトインジェクション: 侵害されたエージェントが、ダウンストリームシステムが消費する出力に命令を組み込むという、文書化された懸念事項です。
メモリポイズニング:悪意のある命令が永続的なメモリ(例:ベクターストア、知識ベース)に保存され、将来の推論サイクル中に再アクティブ化される機械学習の概念。
マルチエージェント連携:あるエージェントの悪意のある出力が別のエージェントの入力となり、脅威が増大することで、複数の自律エージェントにまたがる複合的なリスクが生じる可能性があります。このシナリオには、永続的なストレージ、マルチエージェントのエコシステム、およびエージェント間の直接的な情報フローが必要です。アーキテクチャ的には可能ですが、この攻撃チェーンは本番環境での展開ではまだ実証されておらず、ほとんどのエージェントエコシステムは現在、限定的なエージェント・コラボレーションで動作しています。
シングルエージェント、セッションベースのシステムは、これらのパターンによるリスクが最小限に抑えられています。
シャドーAIに対するアイデンティティ中心のソリューション
これらのリスクを軽減するには、マシンワークロードのガバナンスを再考する必要があります。AIエージェントは非人間アイデンティティ(NHI)であり、それらを保護するには、プロビジョニングから継続的な監視、制御された廃棄まで、包括的なLifecycle Managementが必要です。
特権の蔓延の制御
セキュリティのギャップは、本番環境への導入を遅らせます。開発者は、中央のガバナンス外でクラウドプラットフォームおよびSaaSツールで直接アイデンティティをプロビジョニングすることにより、シャドーITを作成する可能性があります。開発中に付与された広範なアクセスは、システムが安定するとほとんど削減されません。最小権限アクセスと、有効期間が短く、自動的にローテーションされる認証情報は、潜在的な爆発範囲を制限します。
アイデンティティセキュリティファブリックによる外部ツールの保護
Identity Security Fabricは、人間および非人間アイデンティティ(NHI)全体にわたるガバナンス、認証、認可を統合します。アイデンティティ、コンテキスト、リスクを継続的に評価し、JIT(Just-In-Time)アクセスを可能にします。許可は、タスクに必要な場合にのみ、その期間中のみ付与されます。
JITアクセスによる継続的な検証
ガバナンスが組み込まれたエージェントをデプロイすることで、ネーミング攻撃やコンテキストポイズニングにさらされた場合でも、害を及ぼす能力が制限されるようにします。環境シグナルは、拡大した攻撃対象領域を制御し、機密データを保護し、イノベーションを可能にするための認可を導きます。
よくある質問(FAQ)
従来のセキュリティツールがAIエージェントに対して限界があるのはなぜですか?
従来の、人間の行動パターンとネットワーク境界向けに設計されたセキュリティツールは、Agentic AIにおいて以下のような制約に直面します。
- 非人間アイデンティティ(NHI)は、人間による監督なしで、プログラム的に継続的に動作することがよくあります。
- 静的な RBAC モデルは、一時的で迅速に推論する自律システムに対して、過度に許可的である可能性があります。
- レガシーツールは、エージェントの推論、メモリアップデート、およびツール選択ロジックに対する可視性を欠いており、異常検出を困難にしています。
最小権限は自律エージェントにどのように適用されますか?
最小権限とは、特定のタスクに必要な許可のみを最短期間で検証済みのコンテキスト条件下で付与することを意味します。Identity Security Fabricを使用して、ジャストインタイムアクセスを有効にすると、実行後に許可が自動的に取り消されます。
人間とマシンのアイデンティティリスクの違いは何ですか?
機械アイデンティティと人間アイデンティティには異なるリスクプロファイルがあります:
- マシンには、MFAや標準的な人事ワークフローなどの対話型の安全対策がありません。
- 長期にわたる認証情報と限られたリアルタイムの可視性により、監視のギャップが存在する場合、永続的なアクセスが可能になる可能性があります。
- 自律型エージェントは、推論によって駆動される非決定的な実行パスを導入し、予測可能なサービスアカウントの動作と比較して、潜在的な攻撃対象領域を拡大します。
Oktaでエージェントエコシステムを保護しましょう。
Okta PlatformがAIエージェントおよび非人間アイデンティティ(NHI)へのガバナンスをどのように拡張するかをご覧ください。可視性の一元化、クレデンシャルライフサイクルの管理、および継続的な最小特権の実施は、組織が自律的な自動化を安全に拡張しながら、攻撃対象領域を削減するのに役立ちます。
