
便利な一方で、セキュリティの観点ではこう言わざるを得ません。
「それは、文章を生成するAIではなく、“権限を持って自律的に動く新しい従業員"を雇うことです」
今回は、AIエージェント(およびMCPサーバー)を導入する前に押さえるべき設計の勘所を、
2025年12月に公開された OWASP Top 10 for Agentic Applications 2026 を軸に整理します。
1. なぜ「エージェント」は従来のAIと別物なのか
従来のLLMはテキストを出力するだけでした。出力が間違っていても、害は限定的です。
エージェントが決定的に違うのは、出力が現実の行動に直結する点です。
OWASPは、エージェント特有のリスクを3つに整理しています。
- ツール利用:AIがAPI・DB・クラウドを実際に操作する(ファイル削除、送金、メール送信など)
- 多段推論:何ターンにもわたって判断を重ねるため、1回のインジェクションが雪だるま式に増幅する
- エージェント間通信:MCPなどの標準プロトコルで、エージェントが他のエージェントに指示を出す
つまり「間違った文章」が「間違った行動」になり、それが連鎖するのです。
2. プロンプトインジェクションは"攻撃チェーン"へ進化した
かつてプロンプトインジェクションは、「AIに変なことを言わせる」程度の単発の問題でした。
2026年のエージェント環境では、これが多段の攻撃チェーンに変質しています。
OWASPの整理によれば、1つの細工された入力が、
- エージェントの計画(planning)を乗っ取り
- 特権的なツール呼び出しを実行させ
- 悪意ある指示をメモリに永続化し
- 接続された他システムへ伝播する
という連鎖を引き起こせます。
特に怖いのが 間接的(二次的)インジェクション です。
たとえば、エージェントが自分のログを読んで判断する仕組みがある場合、
攻撃者があらかじめログファイルに悪意ある文字列を書き込んでおくと、
エージェントが後でそれを読み込んで操られてしまいます。
ユーザーが直接入力しなくても、データ経由で時間差で発火するのです。
3. 実例:エージェント同士が騙し合う
OWASPはエージェント間通信の悪用も文書化しています。
たとえば調達ワークフローで、複数のエージェントが連携しているケース。
「取引先チェック担当」エージェントが侵害され、偽の正規情報を返すと、
下流の調達・支払いエージェントがそれを信じて、
攻撃者のダミー会社への発注・支払いを処理してしまう、という連鎖です。
人間なら「この取引先、怪しいな」と立ち止まれるところを、
自律エージェントは指示通りに突き進みます。
1つのエージェントの侵害が、クラスタ全体の誤動作につながるわけです。
4. 設計の原則:「自律」と「最小権限」を両立させる
ではどう設計するか。鍵は、エージェントを"自律する従業員"として扱い、最小権限を徹底することです。
原則1:ツールはサンドボックス化し、最小権限で渡す
エージェントに「何でもできるトークン」を渡さない。必要なツールだけを、必要なスコープで。
これは人間の権限管理(JIT/最小権限)とまったく同じ思想です。
原則2:すべての入力ソースを検証する
ユーザー入力だけでなく、エージェントが読むドキュメント・ログ・他エージェントの出力も「信頼できない入力」として扱う。
原則3:高影響アクションには human-in-the-loop を挟む
送金・削除・外部送信・権限変更など、取り返しのつかない操作は人間の承認を必須にする。
原則4:エージェントの行動をすべて監査ログに残す
「誰が」ではなく「どのエージェントが・どのツールを・なぜ呼んだか」を追跡可能にし、SIEMへ連携する。
原則5:エージェント間の信頼を前提にしない
他エージェントからのメッセージも検証する。「身内だから信用する」が連鎖侵害の入口になる。
5. 目指す状態
AIエージェント導入を、こう設計します。
- エージェントには役割に必要な最小ツール・最小スコープだけを付与する
- 入力は「ユーザー・ドキュメント・ログ・他エージェント」すべてを信頼しない前提で検証する
- 取り返しのつかない操作は人間の承認ゲートを通す
- エージェントの全行動を監査可能にし、異常を検知する
要は、人間に対してやってきた最小権限・JIT・監査の考え方を、
そのままエージェントにも適用するということです。
新しい技術ですが、守りの原則は変わりません。
6. Colorkrew Securityの考え方
AIエージェントは「賢いツール」ではなく「権限を持って自律的に動く存在」です。
だからこそ、人間の従業員に求めてきたガバナンス——最小権限、承認フロー、監査——を、
導入の最初から設計に織り込む必要があります。
便利さに先行して権限を広く渡すと、肥大した権限と同じ轍を踏みます。
“自律させる前に、まず縛る”。これがエージェント時代のセキュリティ設計の出発点です。
なお、ColorkrewではAIの監査ログを分析するツールを提供しています。
エージェントの行動ログの分析、プロンプトインジェクション検知等、第三者の視点で点検します。
AIエージェント導入の前後で不安がある場合は、お気軽にご相談ください。
参考にした最新記事
- OWASP Top 10 for Agentic Applications for 2026 — Practical DevSecOps
- A Deep Dive into the OWASP Top 10 for Agentic Applications 2026 — NeuralTrust
- OWASP Agentic AI Top 10: Threats in the Wild — Lares Labs
- From LLM to agentic AI: prompt injection got worse — Christian Schneider
- Securing Agentic AI: The OWASP Top 10 and Beyond — secops




