AIエージェントの行動を説明できるか — 監査ログ設計の基礎

「先月、AIエージェントに何をさせましたか？　その記録はありますか？」——この質問に答えられる体制は、AIエージェントを業務導入する企業にとって、もはや「あれば望ましい」ではなく「ないと困る」ものになりつつあります。この記事では、AIエージェントの行動を後から説明するために、何を・どの層で記録すべきかを整理します。

「AIに何をさせたか」を問われる時代

AIエージェントの行動記録が必要になる場面は、すでに具体的です。

• 社内監査・内部統制 — 「AIにアクセスさせている情報は何か」「不正な操作がなかったとどう確認するのか」という監査側からの問い
• 顧客・取引先への説明 — 「業務にAIを使っているなら、その管理体制を説明してほしい」という要求
• インシデント対応 — 何か起きたとき、「エージェントがやったのか、人がやったのか、何が起きたのか」を再構成する必要

共通するのは、求められているのが「使っている／いない」ではなく、行動を記録から再構成して説明できることだという点です。チャットの履歴だけでは足りません。エージェントは実際にファイルを操作し、コマンドを実行し、外部と通信する——その行動の記録が要るのです。

記録すべき3つの層

AIエージェントの行動は、性質の異なる3つの層で記録できます。それぞれ「見えるもの」が違います。

層	記録の内容	答えられる問い
① エージェント自身のログ	受けた指示、判断の過程、実行しようとした操作	「何を指示され、なぜそう動いたか」
② ホストのログ	実際に実行されたプロセス、ファイル操作、コマンド	「そのホストで実際に何が実行されたか」
③ ネットワークのログ	いつ・どこへ通信したか（宛先・時刻・許可/遮断）	「外部のどこへ到達した／しようとしたか」

①はエージェントのフレームワークや実行基盤が出力するログで、「なぜ」を語れる唯一の層です。②はOSや監視エージェントの記録で、①の申告が実態と一致しているかを突き合わせる材料になります。③は通信経路上の機器が残す記録で、情報の持ち出しや不審な外部接続という、被害に直結する行動の証跡になります。

ネットワーク層のログが持つ独自の価値

3層のうちネットワーク層には、他の2層にない特長があります。記録する場所がエージェントの制御の外にあることです。

①と②のログは、エージェントが動いているホストの上にあります。もしエージェントが乗っ取られ、実行環境の制御を奪われた場合、ホスト上のログは消去・改ざんされる可能性を否定できません。一方、通信経路上の機器が残すログは、エージェントのプロセスからは手が届かない場所で記録されます。「ホスト側の記録が信用できなくなった状況でも残る、独立した証跡」——これがネットワークログの価値です。

インシデント調査では「乗っ取られた機械の自己申告をどこまで信じるか」が常に問題になります。独立した位置からの記録が一つあるだけで、再構成の確度は大きく変わります。ネットワークログの読み方の基礎はファイアウォールログの基礎で解説しています。

正直な限界 — 3層は補完関係

ただし、ネットワークログを過大評価してはいけません。ネットワーク層が示せるのは「どこへ・いつ通信したか」という事実までです。

• その通信をなぜ行ったのか——正当な業務か、プロンプトインジェクションによる乗っ取りの結果か——は、エージェント自身のログ（①）がなければ分かりません
• ホスト内で完結する行動（ファイルの削除や改変など、通信を伴わない操作）はネットワークには現れません

つまり3層は、どれか1つで足りる代替関係ではなく、「なぜ」を①が、「何が実行されたか」を②が、「どこへ到達したか」を③が分担する補完関係です。監査ログ設計とは、この3層をそれぞれ確保し、突き合わせられるようにしておくことだと言えます。

まとめ

• AIエージェントの行動は、監査・顧客説明・インシデント対応で記録から説明できることが求められる
• 記録は3層: エージェント自身のログ（指示と判断）・ホストのログ（実行されたこと）・ネットワークのログ（どこへ通信したか）
• ネットワークログは、エージェントの制御の外で記録される独立した証跡という独自の価値を持つ
• ただしネットワークログが示すのは「何が起きたか」まで。「なぜ」は①の層が必要で、3層は補完関係
• どれか1層に頼らず、突き合わせられる設計を導入前に決めておく

Tate（盾）は3層のうちネットワーク層を担い、接続先ドメインの観測と許可・遮断の記録を、エージェントの外側に残します。詳しくは可視化・AI解析をご覧ください。