“AIエージェント暴走時代”が始まる？ 企業がいま直視すべきリスク：セキュリティソリューション

AIエージェントの“暴走”や“悪意”が、これまでのサイバーリスクとは比べものにならないスピードと規模で企業を揺るがし始めている。制御不能になったAIエージェントから企業をどう守るのか──Rubrikが示した新しいアプローチを紹介する。

[吉田育代，ITmedia]

　「次に標的になるのはAIエージェント。10分の1の時間で10倍の損害が発生する可能性がある悪意や暴走から守るために、修復まで考慮に入れた対策を講じることが必要だ」──Rubrik Japanは2025年11月26日、新サービス「Rubrik Agent Cloud」を発表した。これは、AIエージェント運用の統合コントロールレイヤーとして「Rubrik Security Cloud」と統合した形で提供される。そのサービスの概要が記者説明会で披露された。

AIエージェント起因のインシデントは現実のものに　対策はあるか？

　当初、BCP（事業継続計画）といえば自然災害に備えることを意味した。しかし現在は、天災の脅威よりもサイバー攻撃の方が上回っている。どの企業も狙われる可能性があり、ひとたび攻撃されたなら、自社だけでなく取引先、社会全体に甚大な影響を及ぼすことがここ数年で明らかになったからだ。

　しかもこの脅威は今後さらに増すという。その“台風の目”になると予想されているのがAIエージェントだ。

　AIエージェントは人の代わりに自律的に目的を理解し、判断し、継続的にタスクを遂行する。生成AIのように誰もが試したり、日常的に使われたりする段階には入っていないが、大手企業では、AIエージェントを導入して、カスタマーサポートや営業支援に用いる事例が出てきている。自律的に動くAIだけに何かあれば、「これまでの10分の1の時間で10倍の損害が発生する可能性があります」と、Rubrik Japanの高山勇喜氏は語る。

Rubrik Japanの高山勇喜氏（代表執行役社長）（筆者撮影）

　高山氏によると、既にグローバルではAIエージェント起因のインシデントが起きているという。同氏は代表的な例として、AIコーディングツール「Replit」の“暴走”事件を紹介した。

　Replitはコード作成からデプロイまでをAIが支援するプラットフォームだ。ある開発者は、途中からReplitがユニットテストの結果を捏造（ねつぞう）したことに気付いた。そこで正常なコードへのロールバックを試みたがうまくいかず、コードフリーズを実施した。しかしAIはコードフリーズを無視し、コアページを書き直し、大幅に改善したものの、本番データベースを削除してしまうという振る舞いを起こしてしまった。AIに悪いことをしたという“自覚”はなかった。ただ、このインシデント自体はサイバー攻撃ではなく、AIの誤作動によるものだ。

　これとは別に、2024年10〜11月には大規模言語モデル（LLM）アプリ開発支援サービス「LangSmith」に、不正なAIエージェントの仕掛けを検知する仕組みがなかったために、攻撃者が悪意あるAIエージェントを送り、これを利用したユーザーのAPIキーなどが流出し得る状態だったというインシデントも発生した。

　高山氏の言葉通り、AIエージェントは大きな力にもなるが悪意が入りこむ余地もある。そのため、その原因が内部か外部かにかかわらず、私たちはこのことをよく認識し、あらかじめ対策を講じておく必要があるようだ。

AIエージェントの統合コントロールレイヤー「Rubrik Agent Cloud」を発表

　Rubrikはこうしたリスクが顕在化しつつある中、AIエージェント運用の統合コントロールレイヤーRubrik Agent Cloudを発表した。これはオープンソース系のAIインフラ／エージェント運用プラットフォームを提供していたPredibaseを買収し、そのエージェント運用基盤を、Rubrik Security Cloudと統合することによって生み出された新しいプロダクトラインだ。

　AIエージェントのアクションを監視・監査し、リアルタイムのガードレール適用と精度向上の微調整、さらにエージェントの誤動作を巻き戻せるという。

Rubrik Agent Cloudのサービス概念図（出典：Rubrik Japan発表資料）

　具体的には以下の3つの機能を提供する。

1．Agent Monitor（エージェント監視）

• Infrastructure-as-a-Service（Azure／AWS）エージェントと、Platform-as-a-Service（M365/AgentForce）エージェントの両方を自動で検出
• 「ChatGPT」や「Microsoft Copilot Studio」「Amazon Bedrock」などの主要なエージェントビルダーやその他の一般的なエージェント構築ツールで稼働するアクティブなエージェントを自動で検出・マッピング
• エージェントの動作やデータアクセスを継続的に監視し、データ、アイデンティティー、アプリケーションの各コンテキストを含む不変の監査証跡を保持

2．Agent Govern（エージェント制御）

• エージェントの使用状況を追跡し、プロンプトに対するパフォーマンスを評価。破壊的または望ましくないアクションを制御するツールをチームに提供
• エージェントの振る舞いやアクセス権限、アクションに関するポリシーをリアルタイムに定義・適用
• エンタープライズのIDシステムとの統合が可能な一元管理ツールにより、安全で、コンプライアンスに準拠し、適切に管理されたイノベーションを支援

3．Agent Remediate（エージェント修復）

• 2025年8月に発表された「Agent Rewind」は、Rubrik Security Cloudと連携し、望まないまたは破壊的なアクションを、正確な時間と影響範囲でのロールバックを実現する
• オブザーバビリティ（可観測性）の枠を超え、ダウンタイムやデータの損失なく、望まないあるいは破壊的なアクションを即座に元に戻すことが可能
• エージェントが実行した変更を選択的にロールバックすることで、重要なデータやシステムの継続的な保護と不変のリカバリーを実現

Rubrik Agent Cloudが提供する3つの機能（出典：Rubrik Japan発表資料）

　Rubrik Agent Cloudは現在、米国と日本において、限定的な早期アクセスプログラムを通じて一部の顧客企業に提供されている。一般提供の時期は未公開だ。また、現時点ではRubrik Agent Cloudの全機能が利用可能というわけではない。

可視化・監視だけでなくインシデント後の修復までを支援

　このサービスにおいて、監視はほぼリアルタイムで実行され、何か望ましくないアクションが発生した場合、アラートを上げて外部アプリケーションと連携して通知を送れる。万が一、破壊的なアクションが実行された際のロールバック機能については、Rubrik Agent Cloudが復元ポイントをタイムスタンプから判断して提案し、担当者が承認した上で実施する形を取る。機能的には完全自動修復も可能だが、国によって法制上、人によるガバナンスが重視される場面もあるため、人の判断を介在させることにしたという。

　開発ロードマップでは、ロールバック後の状態をプレビューする機能も存在する。復元ポイントの提案についても、現状はタイムスタンプをその根拠としているが、そこにAIによる分析機能を使うといったこともフューチャープランとして検討されている。これら2つの機能については、早期アクセスプログラムを利用している顧客企業から要望が出ているという。特にレコメンドについては、どの時点に戻すのが最善なのか、人手ではなかなか分からず、調査に時間がかかる部分でもあるため、機能を充実させてほしいというフィードバックが返ってきているそうだ。

　Rubrik Japanの中井大士氏は次のように語る。

Rubrik Japanの中井大士氏（執行役員 セールスエンジニアリング本部 本部長）（筆者撮影）

　「AIエージェントが変な動きをして、何かを削除してしまったとき、Rubrik Agent Cloudであればバックアップを使って復旧できます。この復旧まで可能というところが肝心で、Rubrikがまさに復旧を旨とする会社だからこそのソリューションになります。AIエージェントの可視化や監視だけなら他にもあるかもしれませんが、復旧までできるのは珍しいと思っています」（中井氏）

　中井氏は「私たちは『AIが怖い』『AIが危ない』と言いたいわけではありません。AIは日本の企業にとって非常に重要なソリューションで、これを安心して利用するためにきちんとした復旧対策が必要で、これをRubrikが支えていきたいと考えています」と付け加えた。

侵害を前提に考えて、現実的なリストア計画を

　高山氏は最後に日本企業に提言したいこととして、「まだまだ具体的なリストアを想定できている日本企業は少数派です。特に、SaaSとID基盤について対策意識が希薄で、今の防御で十分だとお考えのようです。しかし、今こそ真剣に『侵害を前提に考える』ことを提言したいと思います」と語った。