@shinyaz

エージェント型AIのセキュリティは「人間と同じ扱い」から始まる:金融業界の7原則を読み解く

約7分
ai-agents
#bedrock#agentcore#security#ai-agents#cedar
目次

はじめに

あるAIエージェントが顧客の問い合わせに応じて口座残高を照会し、不審な取引を検知し、必要に応じて送金を一時停止する。こうしたシナリオは金融業界ではすでに現実のものになりつつある。

しかし、このエージェントが誤った判断で正当な送金を止めたら? あるいは、本来アクセスすべきでない顧客データを参照していたら? 従来のソフトウェアであれば「バグ」で済む話が、自律的に判断するエージェント型AIでは「ガバナンスの欠如」として問われる。

2026年3月26日、AWS Security BlogにPreparing for agentic AI: A financial services approachが公開された。金融サービスにおけるエージェント型AIのセキュリティアプローチを、7つの設計原則と具体的な実装ガイダンスで示した記事だ。

本記事では、この7原則を「権限」「追跡」「制御」の3軸で再構成し、エージェント型AIのセキュリティをどう考えるべきかを整理する。

課題:従来のセキュリティでは何が足りないのか

ISO 27001やNIST Cybersecurity Frameworkに準拠していれば十分ではないのか。元記事はこの問いに明確に答えている — 不十分だ

従来のセキュリティフレームワークは、決定論的なソフトウェアを前提としている。入力に対して出力が予測可能で、アクセス制御はAPIやユーザー単位で設計される。しかしエージェント型AIには以下の特性がある。

  • 非決定論的 — 同じ入力でも異なる判断をする可能性がある
  • 自律的 — 人間の介入なしにツールを呼び出し、アクションを実行する
  • 創発的 — 複数のエージェントが協調する中で、個々のエージェントの設計からは予測できない振る舞いが生じうる。たとえば、リスク評価エージェントが保守的な判断を下し、それを受けたポートフォリオ管理エージェントが大量の売却を実行、結果として誰も意図しなかったリスクポジションの偏りが生まれる — といったシナリオだ

金融業界では、米国のSR 11-7(モデルリスク管理)、英国のSS1/23、EU ECBガイドラインなど、AIの説明可能性と説明責任を求める規制が強化されている。「AIが何をしたか」だけでなく「なぜそうしたか」「誰が責任を持つか」まで説明できなければならない。

では、この課題にどう向き合えばよいのか。元記事はその出発点として、ある重要な思想を提示している。

核心:Human-AI Security Homology

元記事の7原則を貫く最も重要な思想は Human-AI Security Homology(人間とAIのセキュリティ同型性) だ。元記事ではこれを7原則の1つとして並列に扱っているが、筆者はこれが他の6原則の土台となる上位概念だと考えている。権限の分離は人事における職務分掌に、ログとトレースは従業員の業務記録に、運用制御はコンプライアンス監査に — 6原則のすべてが人間の従業員管理における既存プラクティスと対応関係を持つからだ。

これは「AIエージェントを人間の従業員と同じセキュリティ水準で管理せよ」という考え方である。人間の従業員に対して当然行っていること — ID管理、権限の分離、行動の監視、変更管理、インシデント対応 — をAIエージェントにも同等に適用する。

この考え方が強力なのは、既存のセキュリティプラクティスを「捨てて作り直す」のではなく「拡張する」アプローチだからだ。金融機関がすでに持っている人事・セキュリティのフレームワークを、AIエージェントという新しい「従業員」に適用するという発想は、規制当局への説明もしやすい。

では、具体的に何をすればよいのか。元記事の残り6原則を、Human-AI Security Homologyの思想に沿って3つのグループに整理する。

7原則の再構成:3つの問い

誰が何をできるか — 権限の設計

AI最小権限の分離(Segregated AI Least-Privilege)とモジュラーエージェントアーキテクチャ(Modular Agent Workflow Architecture)がこのグループに該当する。

核心は「1つのエージェントに何でもやらせない」ことだ。

  • エージェントごとに明確な操作境界を定義する
  • 専門化されたサブエージェントに分割し、各サブエージェントの権限を最小化する
  • ユーザー起点のアクションとエージェント間のアクションを区別可能にする

人間の組織に例えれば、「営業担当が経理システムにアクセスできない」のと同じ原則だ。エージェントAが顧客対応を担当し、エージェントBが取引処理を担当するなら、Aに取引処理の権限を与える理由はない。

AWSの実装としては、Amazon Bedrock AgentCore Policyがこの原則を直接サポートする。Cedar言語によるポリシー定義で、どのエージェントがどのツールをどの条件で呼び出せるかを、エージェントコードの外側から制御できる。default denyのセマンティクスにより、明示的に許可されていないアクションはすべて拒否される。実際にCedarポリシーでツールアクセスを制御した検証結果はBedrock AgentCore PolicyでCedarポリシーを生成しエージェントのツールアクセスを制御するで詳しく共有している。

また、モジュラーエージェントアーキテクチャの実装パターンとしては、Strands Agents SDKのAgents as Toolsパターンが参考になる。専門化されたサブエージェントをツールとしてオーケストレーターに登録し、それぞれの責務を明確に分離する手法だ。

何をしたか追跡できるか — 可観測性の確保

ワークフローとエージェントのログ・トレース(Workflow and Agent Logging and Tracing)とガバナンス統合(Governance Integration)がこのグループだ。

エージェント型AIの説明可能性は、事後的に「何が起きたか」を再構成できるかどうかにかかっている。

  • エージェントの入力、推論ステップ、出力、ツール使用をエンドツーエンドでトレースする
  • エージェント間のインタラクション(コンテキスト共有、ハンドオフ)を記録する
  • 既存のガバナンスフレームワークにエージェントの可観測性を統合する

ここで重要なのは「ログを取る」だけでは不十分だということだ。エージェント間の連鎖的なアクションにおいて、元のリクエストの出所とリネージ(系譜)を保持する必要がある。冒頭の送金シナリオで言えば、送金停止という判断が不審検知エージェントの通知に基づいており、その通知の元は顧客からの問い合わせだった、という因果関係を追跡できなければならない。マルチエージェント間の委譲がどのように動作するかは、A2Aプロトコルでマルチエージェント連携で実際に検証している。

Amazon Bedrock AgentCore Observabilityはエージェントワークフローのトレース・デバッグ・モニタリングを提供する。OpenTelemetry(OTel)標準をサポートしており、AWS Distro for OpenTelemetryを通じて既存の監視インフラとの統合も可能だ。

逸脱をどう防ぐか — 運用制御

エージェント運用制御(Agentic Operational Controls)とリスク管理とコンプライアンス(Risk Management and Compliance)がこのグループに該当する。

設計時に権限を正しく設定し、実行時にログを取っていても、エージェントの振る舞いが時間とともに変化する可能性がある。推論品質の劣化、予期しないパターンの出現、コスト異常 — これらをリアルタイムで検知し、介入する仕組みが必要だ。

  • ビジネスユーザーが理解できるガードレールでエージェントの行動ポリシーを定義する
  • リアルタイムでポリシー違反を検知し、エージェントの出力を検証する
  • 重要なアクションに対するヒューマンオーバーサイト(人間による監視)のワークフローを確立する
  • エージェントのリソース消費とコストを監視・最適化する

Amazon Bedrock Guardrailsはコンテンツフィルタリング、PII検出、レスポンスバリデーションを提供し、エージェントの出力が本番システムに到達する前に検証できる。

ただし、運用制御はGuardrailsだけでは完結しない。元記事ではさらに以下のような包括的なアプローチを推奨している。

  • エージェントの健全性・パフォーマンス監視(AgentCore Observability)
  • 障害回復手順とサーキットブレーカー — エージェントの応答遅延やエラー率が閾値を超えた場合に自動的にフォールバックへ切り替える
  • 推論品質の劣化検知 — 出力の一貫性や正確性を定期的に評価し、品質低下を早期に捕捉する
  • カナリアテストによる変更の段階的展開 — モデルやプロンプトの更新を少量のトラフィックで検証してから全体に適用する
  • マルチエージェントの創発的振る舞い検知

元記事が言及している crawl, walk, run のアプローチも重要だ。最初から完璧な制御を目指すのではなく、最小限の必要な制御から始めて、モニタリングのフィードバックを基に段階的に進化させる。

まとめ

  • AIエージェントは「ツール」ではなく「自律的な主体」 — 人間の従業員に適用するセキュリティガバナンスと同等の仕組みが必要であり、既存のフレームワークを「拡張」するアプローチが現実的だ。
  • 7原則は「権限・追跡・制御」の3軸で理解する — 誰が何をできるか(AgentCore Policy)、何をしたか追跡できるか(AgentCore Observability)、逸脱をどう防ぐか(Guardrails + 包括的な運用監視)。この3つが揃って初めてエージェント型AIのガバナンスが成立する。
  • crawl, walk, runで始める — 人間の従業員のオンボーディングを段階的に行うのと同様に、エージェントの制御も最小限から始めて段階的に成熟させる。これは金融業界に限らず、エージェント型AIを導入するあらゆる組織に当てはまる原則だ。

参考

共有する

田原 慎也

田原 慎也

ソリューションアーキテクト @ AWS

AWS ソリューションアーキテクトとして金融業界のお客様を中心に技術支援をしており、クラウドアーキテクチャや AI/ML に関する学びをこのサイトで発信しています。このサイトの内容は個人の見解であり、所属企業の公式な意見や見解を代表するものではありません。

もっと見る

関連記事

ブログ

Bedrock AgentCore Runtimeのマネージドセッションストレージでエージェントの作業状態を停止・再開をまたいで永続化する

AgentCore Runtimeに追加されたマネージドセッションストレージを検証。停止・再開後のファイル復元、pip/gitワークスペースの永続化、セッション間隔離、グレースフルシャットダウンの挙動を実測データとともに共有する。

ai-agents
#bedrock#agentcore#session-storage+1
ブログ

AgentCore CLI 実践 — 主要機能を統合して技術トレンドアドバイザーを構築する

AgentCore CLI の Runtime・Memory・Gateway・Evaluations を1つのプロジェクトに統合し、ユーザーの専門分野を記憶して最新技術トレンドをパーソナライズ検索する技術トレンドアドバイザーを構築。シリーズの総集編として主要機能の統合手順と動作を検証する。

ai-agents
#bedrock#agentcore#agentcore-cli+5