AIエージェントセキュリティのガイド

AIエージェントセキュリティを理解するには、まずAIエージェントとは何かを定義することが大切です。 あらかじめ定義された入力内容に応答する単純なチャットボットとは異なり、AIエージェントは、特定の目標に向かってアクションを実行する際に環境を認識し、コンテキストを解釈することができます。 単に反応するだけでなく、AIエージェントは結果にもとづいて計画を策定し、適応します。

AIエージェントは、リアルタイムデータや体験、事前に定義されたルールを組み合わせて意思決定を行います。 これには、顧客からの複雑な問い合わせに対応したり、マーケットの動向にもとづいて価格設定を調整したりすることなどが含まれます。 これらのAIエージェントは、人間による介入を最小限に抑えて、他のシステムと連携してタスクを解決することもできます。 多くのシナリオにおいて、より高度な自律性は有益となりますが、同時に複雑さも増します。AIエージェントが意思決定を行う自由度が高まるほど、その挙動をより慎重に管理する必要があります。

AIエージェントセキュリティにより、こういった新たな課題に対応できるようになります。 AIエージェントの有用性を損なうことなく、社内および外部の脅威からAIエージェントを保護する実践とツールによってこれが実現します。 効果的であるだけでなく、信頼性が高く、データプライバシー規制に準拠したAIエージェントを作成することが目標です。

AIエージェントセキュリティで使用される保護機能には、次のようなものがあります。

• 入力フィルタリング
  AIエージェントに送信されるデータをスクリーニングおよび検証し、有害や誤解を招くような、あるいは予期しない入力が、その判断に影響を与えないようにします。
• アクセス制御
  適切なアクセス制御は、AIエージェントとやり取りできる人物やシステムなどを定義し、不正なシステムが指示を送信したり機密データを取得したりするのを防ぎます。
• 監査証跡
  AIエージェントのアクションおよび意思決定のプロセスを記録することで、行動の追跡、インシデントの調査、コンプライアンスの確保を簡単に行うことができます。
• モデルおよびポリシーの検証
  基盤となるモデルおよびそのガードレールが、導入前後で意図したとおりに動作することを確認するために検証を使用します。
• データ保護
  AIエージェントがデータを処理、保存、または転送する際に、暗号化およびデータ処理基準を適用し、機密情報を安全に保ちます。

もちろん、セキュリティは技術的な対策だけにとどまりません。 意思決定のために定められた境界や、人間による監督のための組み込みメカニズムなど、AIエージェントの挙動に関する明確なポリシーも必要となります。

Salesforceのセキュリティベストプラクティスは強固な基盤を提供していますが、AIエージェントを保護するには、AIエージェントを静的なアプリケーションではなく、動的な存在として扱う、一歩進んだ対策が求められます。 AIエージェントがより自律的かつインテリジェントになるほど、さらに綿密なセキュリティ戦略を策定しなければなりません。

AIエージェントにはいくつか種類があり、それぞれがビジネスの特定の部分をサポートするように設計されています。 情報収集や意思決定のプロセス、タスクの完了方法がAIエージェントごとに異なるため、必要となるセキュリティ保護もさまざまです。 使用しているAIエージェントの種類を理解することで、適切な保護対策に注力することができます。

AIエージェントが必要とするアクセスレベルや、行なう意思決定に注目すると、AIエージェントの種類を把握しやすくなります。

これらのAIエージェントは個人情報を扱い、多くの場合で顧客対応の役割を担うため、データプライバシーや個人情報の保護、一貫性のある応答にセキュリティの重点が置かれます。

• カスタマーサービスAIエージェント
  チャネル 全体で質問への応答や問題の解決を支援します。 これらのAIエージェントには、顧客データを守り、会話全体で正確なコンテキストを維持し、許可されていない指示が応答に影響を与えるのを防ぐ保護が必要です。
• EコマースAIエージェント
  顧客が購入手続きを進められるようサポートし、商品の提案を行います。 これらのAIエージェントは、取引の詳細情報を保護し、商品提案を公平に保ち、外部からの要因が購買経路に影響を与えるのを防ぐための保護を提供することで効果的に機能します。

これらのAIエージェントは、リードスコアリングやキャンペーン計画、パフォーマンスインサイトなどの機密性の高いビジネスデータに頻繁にアクセスします。 セキュリティの核とすべきは、内部情報の保護と意図しない開示の防止です。

• セールスディベロップメント担当（SDR）AIエージェント: リードの適格性評価および会議のスケジュール設定を支援します。 このようなAIエージェントは、どの顧客レコードにアクセスできるかを制限する権限管理や、社内の営業方針に従っていることを確認するモニタリングが必要です。
• マーケティングキャンペーンAIエージェント： キャンペーン概要やカスタマージャーニー、コンテンツの作成を支援します。 これらのAIエージェントには、戦略的計画を保護し、ブランドの整合性を維持し、生成されたアセットが承認済みガイドラインに準拠しているかを検証するための保護が必要となります。

これらのAIエージェントは複数のシステムから情報を統合するため、セキュリティの焦点はシステムの境界管理や、部門横断的なワークフローが正確に維持されていることの確認へと移行します。

• コラボレーションAIエージェント： 部門を超えてデータやインサイトを共有し、オペレーション、サービス、計画策定などに携わる各担当者の足並みを揃えます。 これらのAIエージェントは、アクセス可能なシステムを定義するガードレールや、情報を不適切な場所へ移動することを防ぐ制御を提供することで安全に稼働します。

AIエージェントの種類に関わらず、それぞれのAIエージェントの目的を念頭に置いて設計することが非常に重要です。 AIエージェントがより適応的かつ自律的であるほど、保護策も強化する必要があります。 対応範囲が限定的な反射型AIエージェントから、完全に自律して学習するAIエージェントに至るまで、セキュリティ戦略は、それぞれの複雑性に応じて拡張する必要があります。

従来のアプリケーションセキュリティがコードやインフラストラクチャに焦点を当てているのに対し、AIエージェントでは「自律的な挙動」という、まったく新しい側面が注目されています。 これにより、新たな課題やリスクがもたらされることになり、的確な保護策によって対処する必要があります。

AIエージェントは、意思決定を行うために顧客情報や財務レコードなどの機密性の高いデータを処理することが多々あります。 このデータが適切に保護されていない場合、不正アクセスやデータ漏洩、またはコンプライアンス違反につながる可能性があります。 AIエージェントが個人情報や規制対象データを扱うワークフローに組み込まれる場合、最優先項目としてデータプライバシーに取り組む必要があります。

AIエージェントは、データから学習する大規模言語モデル（LLM）によって動作しますが、これらのモデルは意図的に操作される可能性があります。 データポイズニング、敵対的入力、または不正なモデル変更のような攻撃は、出力結果を歪める場合があります。 極端なケースでは、AIエージェントが組織の目標に反してアクションを実行することさえあります。 モデルは設計上動的なものであるため、その入力と意思決定ロジックの両方を定期的に検証することが重要です。

従来のソフトウェアとは異なり、AIエージェントは単に定められた指示に従うだけではありません。 条件を評価し、結果を比較検討したうえで、確率にもとづいてアクションを実行します。 これにより、特に複数のステップからなるやり取りにおいて、AIエージェントの挙動は予測しにくいものになります。 AIエージェントの意思決定方法が可視化されていない場合、問題発生時にそれに気付くことや、根本的な原因を特定することが非常に難しくなります。

AIエージェントは孤立して動作するわけではありません。 周辺システムやAPI、インフラストラクチャに依存しています。 1つのコンポーネント（サードパーティ統合やクラウド環境など）に存在する脆弱性が、AIエージェントを侵害する攻撃の侵入口となることがあります。 AIエージェントを取り巻く環境を保護することは、AIエージェント自体を保護するのと同じくらい重要です。

AIエージェントは、ユーザーやサードパーティツール、外部データソースとリアルタイムでやり取りすることが多々あります。 しかし、これらのつながりがセキュリティリスクをもたらす可能性があります。 入力が適切に検証されていない場合、攻撃者はインジェクション攻撃などの手法を用いてAIエージェントを悪用したり、誤情報を与えたり、公開されたAPIを不正利用したりするリスクがあります。 安全対策が講じられていないと、AIエージェントは不正確なデータにもとづいてアクションを実行したり、意図せず外部者に内部システムへのアクセスを許可したりする可能性があります。

AIエージェントのセキュリティ確保は、開発や導入時から日常的な運用に至るまで、継続的に取り組むプロセスです。 スタックのあらゆる層（アクセス制御や倫理的ガバナンスを含む）には、AIエージェントの動的な特性に合わせた、組み込みの保護が必要です。

アクセスを制御することが基本的な対策の1つです。 AIエージェントとやり取りするユーザーおよび外部システムの両方に、明確な役割と権限を割り当てます。 非人間IDを追跡し、各アクションを監査できるよう徹底します。 これにより、不正使用を防止して、AIの説明責任のための基盤を築きます。

暗号化もまた、重要な役割を果たします。 AIエージェントが生成または処理するデータを保護するためには、高度な暗号化技術を使用します。 保存や転送、使用時の各段階における構造化データおよび非構造化データの両方が対象となりますが、AIエージェントのパフォーマンスを損なわないことが重要になります。 サンドボックス化やコンテナ化を用いて、AIエージェントを分離することを検討しましょう。 AIエージェントがアクセスできる範囲を制限することで、意図しない操作や外部からの悪用による連鎖的な被害のリスクを低減できます。

セキュリティは、開発者やIT部門だけが担う責任ではないことを覚えておくことが大切です。 プロダクトチームや経営陣全体で共有するべき取り組みです。 アプリ開発プロセスに関わるすべての人々が、AIエージェントの機能の仕組みや扱うデータの種類、予期しない挙動が生じた際の報告プロセスを把握しておく必要があります。 説明責任の文化を構築することで、AI戦略におけるあらゆる層を強化できます。

AIエージェントの乗っ取りは、悪意のある攻撃者がAIエージェントの挙動を操作したり制御したりすることで発生します。 これは、ポイズニングされたトレーニングデータや脆弱なセキュリティ対策に起因する場合があります。 攻撃手法を認識するということは、何を検知すべきかを理解することにつながります。 予期しない意思決定、AIエージェントの挙動の変化、または異常なデータアクセスパターンは、何らかの問題が発生している可能性を示している場合があります。 AIエージェントを「騙して」不適切なアクションを実行させようとする、敵対的な手法に常に注意を払いましょう。

セキュリティ対策の強化には、予防的な評価が不可欠です。 定期的にリスク評価を実施し、AIエージェントの活動を監視して、潜在的な乗っ取りの試みが深刻化する前に検知します。 また、堅牢なフレームワークを構築することで、AIエージェントは脅威から迅速に回復することができます。 インシデントから学習し、自動的に防御を調整する適応力の高いセキュリティモデルを使用して、将来的な攻撃を無力化しましょう。

個人データの取り扱いや保護方法を定めている、GDPRやCCPAなどのグローバルな規制フレームワークに関する最新情報を把握しましょう。 顧客対応向けのAIエージェントかどうかに関わらず、裏側では規制対象データとやり取りする可能性があります。 だからこそ、AIエージェントが下すすべての判断において、公平性や透明性、説明責任を維持するために、倫理的なAIフレームワークを使用しなければなりません。 必要に応じてその理由を説明し、監査証跡を確保できるシステムを設計しましょう。

もっとも重要なのは、データを慎重に管理することです。 すべてのやり取りにおいて、プライバシーポリシーおよびデータセキュリティ基準を一貫して適用します。 モデルをトレーニングする場合でも、本番環境にデプロイする場合でも、プライバシーはデフォルトのアーキテクチャの一部であるべきです。

もっとも優れたセキュリティは、設計段階から始まります。 セキュリティを最優先にしてAIを設計し、保護対策を開発プロセスに直接組み込みましょう。 これを行うには、AIエージェントが稼働する前に、安全なコーディング手法や脅威モデリングを使用したり、テストを実施したりする必要があります。

AIエージェントが別のAIエージェントを悪用することを防ぐ制御を確立することで、安全なマルチAIエージェント環境を実現します。 これは、コミュニケーションプロトコルを徹底し、共有アクセスを制限することを意味します。 リアルタイムの可観測性を通じて脅威を監視し、対応します。 利用パターンを追跡し、AIエージェントの挙動が許容範囲を超えた場合には、対応計画を発動します。 SalesforceのAIプライバシーへのアプローチは、考え抜かれた設計が、いかにセキュリティと信頼の両方を向上させることができるかという点を浮き彫りにしています。

AIエージェントが企業システムにますます組み込まれるにつれて、そのセキュリティはさらに複雑になり、より重要性を増していきます。 新しい機能には新たな脆弱性が伴うため、対応するには先を見据えた戦略が求められます。

AIセキュリティの向上は、企業が単独で実現できるものではありません。 業界全体での連携が必要となります。 組織がセキュリティのインサイトやベストプラクティスを共有することで、すべての人がそのメリットを享受できます。 共に取り組みを進めることで、誰もが安全にAIを導入できる強固な基準を確立できます。

Salesforceのエンタープライズ向けエージェント型AIソリューションであるAgentforceは、あらゆるやり取りにおいてセキュリティとプライバシーを最優先しながら、インテリジェントな自動化機能の導入を支援します。

AgentforceTrust Layerを使用することで、企業はゼロデータリテンションやポリシーにもとづく制御などの機能を活用してリスクを低減できます。 Trust Layerは、モデルに送信する前にプロンプト内の機密情報を特定してマスキングし、個人を特定できる情報（PII）などの機密データが外部のLLMに漏洩するのを防ぎます。 こういった保護対策により、AIエージェントのセキュリティ基準を引き上げることが可能になります。