Windowsの「実験的AIエージェント機能」のセキュリティ設計は？ Microsoftが公開：セキュリティニュースアラート

MicrosoftがWindowsの実験的AIエージェント機能に関するドキュメントを更新した。AIエージェント導入に当たって懸念されるセキュリティ対策やリスク対策を解説する。

[後藤大地，ITmedia]

　Microsoftは2025年11月17日（現地時間）、Windowsの実験的AIエージェント機能についてのドキュメントを更新し、段階的ロールアウトに関する最新情報を加えた。AIエージェント導入に当たって気になるセキュリティをはじめとするリスク対策を解説する。

隔離型AIエージェントの仕組みとリスク対策

　Microsoftは「Windows」に新たな実験的機能「Agent Workspace」をWindows Insider Programのプライベート開発者プレビューとして提供する。Agent WorkspaceはWindowsに用意された隔離環境だ。AIエージェント専用アカウントが稼働し、ユーザーの利用環境とは別領域で作業を進行する構造となっている。

　AIエージェントはユーザーアカウントとは独立した権限範囲を持ち、アクセス対象は明示的に許可領域に限定される。ユーザーがAIエージェントの行動を観察・監査できる仕組みが提供され、権限の付与や停止を随時操作できる。「各AIエージェントは固有のワークスペースを持ち、他のエージェントともユーザーとも権限が共有されない」とMicrosoftは説明している。

　初期段階の実装ではこのワークスペースが別セッションとして動作し、ユーザーが通常利用するセッションと並列でアプリを操作できる。仮想マシン方式よりも軽量で処理効率が高い構成を狙った設計であり、隔離性と制御性を保ちつつ動作する点が特徴だ。

管理者による有効化とアクセス権限の範囲

　実験的機能の有効化は管理者による操作が必須となる。初期設定では無効になっており、有効化するとデバイスの全アカウントに影響が及ぶ。有効化後は、AIエージェントがユーザープロファイルの既知フォルダ（Documents、Downloads、Desktop、Music、Pictures、Videos）への読み書き権限を得る。これらはユーザーによる設定でリダイレクトされている場合でも対象となる。アクセスを抑制したい場合は機能自体を無効化する案内が提示されている。

　アプリケーションにはどうアクセスするのか。全ユーザー共通で利用可能なアプリケーションをエージェントが扱える構成となっている。管理者はエージェント専用のアプリ配置を実施することで利用範囲を調整できる。ユーザープロファイル外の領域に関しては、認証済みユーザーに公開されているフォルダへのアクセスが許可される。

プロンプトインジェクションへの対策と監査機能

　セキュリティ面ではAIモデル特有のリスクへの注意点が多く示されている。AIエージェントは自律的に計画を生成して複数工程の処理を実施するが、現在のAIモデルには機能上の限界が存在し、予期しない出力を生む可能性が残る。

　外部からの悪意ある指示が正規の指示を上書きする攻撃である「cross-prompt injection」への警戒も示されている。これに対して、Microsoftは行動ログの記録と検証や工程単位の確認、ユーザー承認の要求、権限の最小化、機密情報への条件付きアクセスなど、一連の安全原則を基盤に据える姿勢を強調する。

　ドキュメントではAIエージェントの行動を監査可能な形で残す仕組み、目的を限定したデータ処理、「Microsoft Privacy Statement」と「Responsible AI Standard」に沿う運用方針が示されている。研究分野としても進展が速い領域であるため、Microsoftは外部コミュニティと協力しつつ安全性の確保に重点を置く姿勢を明確にしている。

　また、ドキュメントでは既知の問題点も提示されている。「Copilot Actions」が動作中にスリープに移行しない事象や、シャットダウン時に別ユーザーが利用中の警告が表示される事象が報告されている。これらに対してはCopilot Actionsの会話を閉じるか、Copilotを終了させる操作が対処方法として推奨されている。

　企業環境では「Endpoint Privilege Management」利用時にAIエージェントアカウント関連のIntuneプロファイルが残存する場合があり、Microsoftは修正作業を進めている。