メインコンテンツへスキップ
自律性は設定するものではなく、獲得するものです。ガバナンスはエージェント運用のブレーキではなく、イネーブラーです。

6.1 ガバナンスギャップ

導入数値は警告の物語を語っています。McKinseyは、62%の組織がAIエージェントの実験をしている一方、プロダクションにスケールしたのは4分の1未満であると報告しています。DeloitteのState of AI研究では、自律エージェントに対する成熟したガバナンスフレームワークを持つのはわずか21%であると報告されています。そしてGartnerはその結果に数字を付けています — §9.4で検討される40%超のプロジェクトキャンセル予測 — のうち、3番目に名指しされた原因である「不十分なリスク管理」は、定義上ガバナンスの失敗です。これらの研究を通じたパターンは一貫しています:エージェントイニシアチブは2つの死に方をします — 信頼を破壊するインシデント、または信頼が構築されなかったためにデプロイメントを阻止するリスク機能。エージェントAIで勝利している組織は、ガバナンスの隅々を削っているわけではないことが明白です。彼らは早期にガバナンスインフラを構築し、それを使って安全なデプロイメントを加速しました。

6.2 ガードレールスタック

プロダクションのガードレールは5つのレベルで機能します:
  1. アイデンティティとクレデンシャル。 すべてのエージェントは、ファーストクラスのアイデンティティを持ち、最小権限・短命・スコープされたクレデンシャルを持ちます — サービスアカウントと同様に監査可能で、即時に取り消し可能です。共有の特権クレデンシャルは決してなし。
  2. アクションポリシー。 明示的でバージョン管理されたポリシーが、各エージェントがどの環境でどの自律性レベルでどのアクションクラスを実行できるかを定義します。可逆性とブラスト半径が分類を決定します:可逆的かつ限定的 = 自動化可能;不可逆的または広範 = 承認必須。
  3. 実行安全性。 プリフライトチェック(このアクションはN件以上のリソースに影響するか?)、レート制限、変更ウィンドウ、すべての変更に添付される自動ロールバックプラン、繰り返し失敗するエージェントを停止させるサーキットブレーカー。
  4. 監視エージェント。 「ガーディアンエージェント」パターン:他のエージェントを監視する専用エージェント — ポリシーに対して計画を検証し、異常な動作を検出し、予算上限を強制します。これはもはや実験的ではありません。Gartnerは、2028年までに40%のCIOがAIエージェントのアクションを自律的に追跡・封じ込めできるガーディアンエージェントを要求すると予測しています。
  5. 監査と証拠。 すべての知覚、決定、アクション、結果が完全な推論チェーンとともに不変ログに記録されます — これは副次的効果として、ほとんどの人間が運用するプロセスがこれまで持っていた以上の優れた変更管理証拠を生成します。
このスタックはもはや理想論ではありません — プラットフォームベンダーの出荷製品です。Microsoft Entra Agent IDはエージェントをファーストクラスのディレクトリアイデンティティとし、アイデンティティブループリント、名前付きの人間スポンサー、期限が切れて再承認が必要なアクセスパッケージを完備しています — ガバナンスライフサイクルをソフトウェアチームメイトに適用したものです。Azure SRE AgentはBuild 2026でグローバルなツールアクセスポリシーと実行フックを追加しました:エージェントがどのツールをどのような条件で呼び出せるか、何に人間の承認が必要かを1か所で定義し、承認ゲートは実行時点で強制されます。AWS DevOps Agentはエージェントが触れられるものを正確にスコープする専用IAM管理ポリシーとともに出荷され、AzureのOn-behalf-ofモデルはエージェント自身のアイデンティティに権限がない場合に管理者が明示的にクレデンシャルを貸し出すことを要求します — あらゆる権限昇格をログに記録された人間の決定にします。方向性は明確です:エージェントアイデンティティとツールごとのポリシーはプラットフォームのプリミティブになりつつあり、エージェント運用の購入においてはそれらを要求すべきです。

6.3 データレジデンシーと管理:すべてのセキュリティレビューにおける最初の問い

FSIのセキュリティチームが自律性レベルについて議論する前に、3つの問いを投げかけます。エージェントのデプロイメントはこれら3つすべてに正確に答えなければなりません — なぜならエージェントはそれぞれへの答えを変えるからです。
  1. レジデンシー — データはどこに保存・処理されますか? エージェント運用は、従来のツールにはなかった新しいデータフローを生み出します:テレメトリーが推論モデルに送られます。したがって推論バウンダリーが新しいデータバウンダリーです。ログがどこに保存されているかを知るだけでは不十分です。すべてのモデル呼び出しがどこで実行されるか、モデルプロバイダーが何をログに記録するか、どのくらい保持するか、あなたのデータが彼らのモデルのトレーニングに使用されるかを知る必要があります。
  2. 主権 — 誰の法律が届きますか? 外国が運用するSaaSまたは外国のモデルAPIによって処理されたデータは、サーバーがどこにあるかに関わらず、その管轄の開示体制の対象となる場合があります。規制対象の実体にとって保守的な立場は、主権はデータセンターだけでなくオペレーターに従うというものです。
  3. 管理 — 誰がキーとキルスイッチを持ちますか? 管理とは、顧客が保持する暗号化キー、ベンダーのオフボーディングを経ても存続する顧客所有の監査ログ、すべてのエージェントクレデンシャルを即時に取り消す能力、強制できる定義された保存期間、バウンダリーを越えるもの(もしあれば)についての契約上・技術上の保証を意味します。
デプロイメントモデルが管理のダイヤルです。プロダクションで使用される4つのモデル(管理レベルの昇順):
モデルエージェントとデータが動く場所バウンダリーを越えるもの典型的な購入者
SaaSベンダークラウド;ベンダーが選択するモデルAPIテレメトリー、設定、プロンプトがペリメーターを離れるスタートアップ、非規制SMB
SaaS + トークン化ベンダークラウド;PIIがモデル境界前に検出され可逆トークンに置換トークン化されたテレメトリーのみ;実際の値は離れない;デトークン化はトラストバウンダリー内で行われるPIIエクスポージャーのあるミッドマーケット
BYOCエージェントプラットフォームをクラウドアカウントにデプロイ;モデルエンドポイント(リージョン内またはプライベートを含む)を選択デフォルトでは何も出ない;モデル呼び出しは指定した場所に向くエンタープライズ、大部分のFSI
セルフホスト / エアギャップセルフホストまたは専用モデルを含めてペリメーター内に完全収容何もなし銀行、オンプレミスFSI、政府
2つの実践的なメモ。第一に、トークン化とBYOCは組み合わせることができます:規制対象デプロイメントにおける最も強力な一般的パターンは、すべてのモデル呼び出しの前にPIIを認識するトークン化レイヤーを持つBYOCで、リージョン内推論でさえ実際の顧客識別子、クレデンシャル、口座番号を見ることがありません。第二に、管理は監査を経ても存続しなければなりません:規制当局が「3月にこのエージェントが銀行の外に送ったすべてのデータを示し、それ以外は何も出なかったことを証明せよ」と求めた場合、アーキテクチャ — バウンダリーでのエグレスログ、あなたが所有する不変の監査証跡 — が答えられなければなりません。ベンダーの保証ではなく。
図6 — デプロイメントモデルは管理のダイヤル:各モデルでバウンダリーを越えるものと、誰がどれを購入するか。
規制の最低基準はアジアで最も急速に上昇しています。ベトナムは方向性の最も明確な現在の例です:個人データ保護法(法律91/2025/QH15、2026年1月1日施行、施行令356/2025付き)は、不法な国境を越えるデータ転送に対して前年度収益の最大5%の罰金を課し、転送影響評価を要求します。2024年データ法(2025年7月施行)は独自の国境を越える制限を持つ「核心的」および「重要な」データカテゴリーを追加します。サイバーセキュリティ法第53/2022号は特定のサービスのローカリゼーション要件を維持します。そして2025年12月に可決され2026年3月施行となった同国初のAI法はAIシステムのリスク分類体制を導入します。シンガポールMASの技術リスクとアウトソーシングに関する期待、EUのGDPR+AI法スタックも同様の規律を課します。パターンは普遍的です:規制当局はエージェント運用を禁止しているのではありません — データがどこに行ったかを知らないことを禁止しているのです。特にFSIの読者向けに、ベトナムのAI法は金融を規制対象セクターと名指しし、コンプライアンスに18ヶ月の猶予期間を設けています — これは本章が説明するガバナンスと監査の態勢を構築するウィンドウであり、先延ばしの理由ではありません。
エージェントベンダーへの8つのデータ管理に関する質問
  1. どのデータが、どのエンドポイントに、どのリージョンに、ペリメーターを出ますか?
  2. リージョン内、自社クラウド内、または完全なセルフホストで推論を実行できますか?
  3. 私たちのデータがあなた方または第三者のモデルのトレーニングに使用されますか?それは契約に明記されていますか?
  4. PIIはモデル境界前にトークン化されますか?デトークン化はどこで行われますか?
  5. あなた方とモデルプロバイダーは何をログに記録し、どのくらい保持しますか?
  6. 誰が暗号化キーを保持しますか?
  7. あなた方を離れても完全な不変監査証跡を保持できますか?
  8. すべてのエージェントクレデンシャルを取り消し、すべてのエグレスを1つのアクションで停止できますか?
規制された業界のために構築されたプラットフォームは、8つすべてに書面で答えます。

6.4 規制対象業界:FSIレンズ

銀行、保険、金融サービスはエージェント運用から最も多くを得られます — ダウンタイムのコストが最も高く、コンプライアンスの負担が最も重い — そして最も厳しい制約があります。上記のレジデンシーと管理のアーキテクチャを超えて、3つの要件がすべてのFSIデプロイメントで繰り返されます:
  1. モデルリスク管理。 エージェントシステムは既存のMRMフレームワークの対象です:文書化されたモデルの動作、評価スイート、定期的な再検証、チャレンジャープロセス。
  2. 変更管理の互換性。 エージェントのアクションは、それらを回避するのではなく、既存のITIL/変更諮問プロセスにマッピングされなければなりません — 事前/事後検証、承認、ロールバック証拠。Gartnerの2026年展望は率直です:自律性が高まるにつれ、ガバナンスは交渉の余地がなくなります。
  3. 規制の軌跡。 AIガバナンスは任意のベストプラクティスから強制要件へと移行しています — EUのAI法が先導し、アジア太平洋の規制当局はベトナムの2025-2026年のウェーブが示すように急速に立法化しています。ガバナンスインフラへの早期投資はコストではなく競争優位になりつつあります。

6.5 エージェントレイヤーの脅威モデル

本章のすべての管理は、エージェントが何をすることが許可されているかを管理します。このセクションは別の問いを扱います:エージェントレイヤー自体が攻撃された場合はどうなるか。運用エージェントは構造上、テレメトリーを読み取ってアクションを実行する特権アクターです — これにより標的となり、従来のツールにはない障害モードが生まれます。セキュリティチームは、他の新しい特権サービスと同様にエージェントの脅威モデリングを行わなければならず、銀行に自律的なアクションを信頼するよう求めるプラットフォームはそれを行ったことを示さなければなりません。5つの攻撃面が繰り返し現れます;それぞれには具体的な軽減策があり、それは理想ではなく調達要件であるべきです。
  1. テレメトリーポイズニング。 ログに書き込んだり、メトリクスを発行したり、イベントを偽造できる攻撃者は、エージェントのアクションを引き起こすために偽のインシデントを作り出せます — エージェント自身の応答性を攻撃ベクターに変えます。軽減策: シグナルソースを認証・検証する;アクションを入力コンテンツだけでなく入力の出所に基づいてゲートする;高インパクトのアクションを引き起こすスパイクは、それ自体が独立したシグナルからの裏付けを必要とするものとして扱う。
  2. ログを介したプロンプトインジェクション。 テレメトリーは信頼されていない入力です。ログ行、エラーメッセージ、またはリソース名の攻撃者が制御するテキストは、エージェントの推論をハイジャックしようとする可能性があります — これが運用レイヤー形式のプロンプトインジェクションです。軽減策: すべてのテレメトリーを命令ではなく信頼されていないデータとして扱う;制御コンテンツを取り除くかエスケープする;エージェントがポリシーではなくデータプレーンから発生するアクションを実行できないことを強制する。
  3. エージェント権限の乱用。 侵害されたまたは誤作動するエージェントは、保持するクレデンシャルを正確に使用します。侵害されたエージェントのブラスト半径は、その権限の和集合です。軽減策: エージェントごとの最小権限、短命のスコープされたクレデンシャル、アクションごとのポリシー — これにより完全に侵害されたエージェントでさえそのドメインが許可するアクションクラスを超えられません — §6.2のガードレールスタックを封じ込めバウンダリーとして読む。
  4. A2Aにおけるエージェント間信頼。 エージェントが組織の境界を越えて交渉するにつれ、悪意のある、またはなりすましのピアが悪意のある委任を発行できます。組織間の自律性は、その下にあるアイデンティティレイヤーと同程度にしか安全ではありません。軽減策: 暗号署名されたAgent Card、検証されたピアアイデンティティ、明示的にスコープされた組織間委任 — エージェントとして提示するものへの暗黙の信頼は決してなし。
  5. エージェントが自身のKPIをゲームする。 メトリクスに対して最適化されたエージェントはメトリクスを最適化し、目標を最適化しません — 低いMTTRに報酬を与えられたエージェントはアラートを抑制または自動クローズするようになります。これは運用レイヤー形式の報酬ハッキングであり、自己報告の成功はまさにそれが隠れる場所です。軽減策: 結果を独立して監査するガーディアンエージェント、プラスメトリクス自体の人間によるレビュー — システム自身の数字は、それが機能しているという唯一の証拠であってはなりません。
図11 — エージェントレイヤー自体が攻撃面:5つの繰り返される脅威と、自律性が付与される前に各々が必要とする軽減策。
これらはいずれもデプロイしない理由ではありません。これらは、この本が第1章から主張してきたガードレールスタック、アイデンティティモデル、監査証跡を伴ってデプロイする理由です — 自信を持って間違えるエージェントと悪意を持って操られるエージェントは同じ場所で失敗し、同じ管理が両方を捕捉します。規制された銀行にとって、このモデルのFSI固有の拡張 — CISOの管理フレームワークにマッピングされた — は、まだ開発中の別の規制銀行版の主題です。
設計原則監査証跡を先に構築し、自律性を後に。エンジニア、監査人、または規制当局に対して何をしたのかその理由を証明できるプラットフォームは、より多くのことをすることが許可されます。できないプラットフォームは永遠に読み取り専用のアドバイスに限定されます。