AIエージェント導入前のセキュリティチェックリスト — 情シスが確認すべき7項目

開発部門から「AIエージェントを業務に使いたい」と相談が来たとき、情シスは何を確認すればよいのでしょうか。AIエージェントは従来のSaaS導入審査の観点だけでは評価しきれない、「自律的に行動するソフトウェア」特有のリスクを持っています。この記事では、導入前に確認したい7項目をチェックリストとして整理します。

最初にお断りしておくと、このチェックリストはゴールではなく出発点です。これを満たせば安全、というものではありません。導入後も運用しながら見直していく前提で読んでください。

エージェント本体を把握する（項目1〜3）

☑ 1. 何を読み、何を実行できるかを把握しているか

そのエージェントは、どのファイルを読め、どのコマンドを実行でき、どの社内システムにアクセスできるのか。エージェントの能力は「接続したツール」の総和で決まります。導入前に、読める情報と実行できる操作の一覧を作りましょう。ツールが増えるほど攻撃面も広がる、という観点はAIエージェントのツールと攻撃面で解説しています。

☑ 2. 権限は最小化されているか

エージェントに与えるアカウント・APIキー・ファイルアクセスは、業務に必要な最小限に絞られているか。「とりあえず管理者権限で」は、乗っ取られたときの被害をそのまま最大化します。人間の従業員に適用している最小権限の原則を、エージェントにも同じ厳しさで適用します。

☑ 3. サンドボックスで動いているか

エージェントの実行環境は、他の業務システムから隔離されているか。専用の仮想マシンやコンテナなど、隔離された環境で動かすことは、誤動作や乗っ取りの影響を実行環境の中に閉じ込める基本の対策です。

乗っ取られた場合を想定する（項目4〜6）

☑ 4. 乗っ取られたら何が起きるかを想定したか

AIエージェントは、読み込んだWebページや文書に仕込まれた指示で振る舞いを乗っ取られることがあります（プロンプトインジェクション）。これは現在の技術では防ぎきれない前提で考えるべき問題です。「このエージェントが乗っ取られたら、最悪何ができてしまうか」を導入前に言語化しておきましょう。仕組みはプロンプトインジェクションとはで解説しています。

☑ 5. 外向き通信を把握・制御できるか

エージェントがどの外部ドメインへ通信するかを把握し、必要な宛先以外への通信を制限できる仕組みがあるか。健全なエージェントの通信先は少なく安定しているため、許可リスト型の制御と相性がよく、乗っ取り時の情報持ち出し経路を絞れます。詳しくはAIエージェントの egress 制御入門を参照してください。

☑ 6. ネットワークを分けているか

エージェントを社内の一般セグメントに同居させると、ネットワーク制御も監視も「人間の通信」と混ざって難しくなります。エージェント専用のセグメントを用意すれば、厳格なポリシーを人間の業務に影響なく適用できます。考え方はAIエージェント専用セグメントという設計で解説しています。

説明できるようにする（項目7）

☑ 7. 行動の記録が残り、後から説明できるか

エージェントに何を指示し、エージェントが何をしたのか。監査やインシデント調査で問われたときに、記録から再構成できるか。エージェント自身のログ・ホストのログ・ネットワークのログという複数の層で記録を残す設計が必要です。詳しくはAI監査ログ設計の基礎で解説しています。

まとめ

• AIエージェントの導入審査には、自律的に行動するソフトウェア特有の観点が必要
• 確認の柱は3つ: 本体の把握（能力・権限・隔離）、乗っ取りの想定（被害想定・通信制御・セグメント分離）、説明可能性（記録）
• プロンプトインジェクションは「防ぎきれない前提」で、被害範囲を絞る設計を考える
• このチェックリストは出発点。導入後も運用しながら見直す

より体系的に学びたい方は技術ガイド: AIエージェントのセキュリティ入門を、項目5・6のネットワーク層の制御を製品としてどう実現するかはAIガードレールをご覧ください。