Anthropicのホワイトペーパーは、AIとデータセキュリティの過去と現在を示す次の一文から始まります。「境界型のサイバーセキュリティ防御は現代の脅威に追いつけず、脅威そのものも加速しています。」
前半は何年も前から事実でした。ソーシャルエンジニアリングは、マルウェアに代わる主流の攻撃手法となっています。盗まれた認証情報は侵害の86%に関与しており、境界型のサイバーセキュリティ防御を完全に迂回します。
そして 今、後半も現実になりつつあります。AIは脅威を加速させています。攻撃者にソーシャルエンジニアリングを大規模化するためのツールを与え、侵害された1つのアイデンティティがアクセス可能なデータの総量、すなわち被害範囲の全容を明らかにしています。エージェントは、これまでアイデンティティとデータの間で機能していたアプリケーション制御を迂回し、データベース、API、データストアへ直接接続して、機械速度でデータにアクセスします。
Anthropicの解決策は、エージェントにゼロトラストを適用することです。
Anthropicのゼロトラストフレームワークにおける6つの柱
ゼロトラストの理念とは「何も信頼せず、すべてを検証し、侵害はすでに起きているものとして扱う」ことです。1990年代初頭から続くセキュリティの基本理念となっており、その有効性はすでに広く実証されています。しかし、Anthropicは、エージェント型AIの時代には、この原則を新たな形へ進化させる必要があると論じています。具体的には、暗号学的に保証されたアイデンティティ、タスクごとに限定された権限、ポイズニング耐性を備えたメモリ、そして自律型攻撃者と同等の速度で機能する防御運用が求められるというものです。
このホワイトペーパーでは、6つの中核的な柱を中心に構成された実践的なフレームワークを提示しています。
- エージェントアイデンティティと認証:人間やユーザーのアイデンティティから、暗号技術に基づくエージェントアイデンティティへ移行します。すべてのエージェントは、自身の正体、誰によって展開されたのか、そして何を実行する権限を持つのかを検証可能な形で証明できなければなりません。
- アクセス制御と権限管理:ロールベースのアクセスを、個々のタスク単位でタスク単位に限定された権限に置き換えます。あるクエリでデータベースの読み取りを許可されたエージェントは、次のクエリでもその権限を保持すべきではありません。
- 可観測性と監査:エージェントの挙動、ツール呼び出し、データアクセスを包括的に記録・監視します。
- 行動監視と対応:エージェントの行動を継続的に分析し、異常、悪意、または非準拠のパターンを人間の速度ではなく機械の速度で検出します。
- 入力検証および出力制御: 各エージェント境界でのプロンプトインジェクション、ツールポイズニング、データ漏洩に対する防御。
- 整合性と回復:エージェントのメモリをポイズニングから保護し、システムが侵害から回復できるようにします。
Anthropicはまた、エージェントを従来のITと異なる具体的な脅威として特定しています:プロンプトインジェクション、ツールポイズニング、アイデンティティや特権の悪用、メモリポイズニング、サプライチェーン攻撃などです。
これらは理論上のものではありません。最先端のAIモデルは、すでに複数の弱点を連鎖的に悪用し、実際に機能するエクスプロイトを数時間で生成できます。これにより、従来は数か月かかっていた期間が大幅に短縮されています。
「Reprompt」のような攻撃手法は、AIシステムを組織に対する攻撃手段へと転換するために、すでに利用されています。VaronisのAI攻撃スペシャリストであるAbdiel Santos氏は最近、AI攻撃ラボ を実施し、チャットボットやエージェントの挙動を誘導して、権限のない操作を実行させる方法を実演しました。
Anthropicのフレームワークは、これら6つの中核的な柱を「基盤」「高度」「最適化」の3つの成熟度レベルに整理し、アイデンティティ、アクセススコープ、サンドボックス化、入出力制御、メモリ保護を含む8段階の実装ワークフローを提示しています。また、Agentic SOARという概念も導入しています。これは、AIによって加速する攻撃者に対抗できる速度で動作するセキュリティオーケストレーション、自動化、および対応を指します。
これは、エージェントを導入するあらゆる組織にとって、体系的で役立つ出発点となります。ぜひご一読ください。
フレームワークは健全です。適用が重要です。
Anthropic社の「AIエージェント向けゼロトラスト」フレームワークは「何を」行うかを示しています。あらゆる組織にとって、次に考えるべきは「どのように」という点でしょう。広大で異種混在するAI環境において、AIエージェント向けのゼロトラストを実際にどのように実施すればよいのでしょうか。
私たちは、AIセキュリティには根本的に異なるアプローチが必要だというAnthropicの確信を共有しています。戦略プログラム担当シニアバイスプレジデントのデイビッド・ギブソン氏が書いているように、AIは新たなデータリスクを生み出すのではなく、既存のリスクを増幅します。長年休眠していた過剰な権限は、エージェントが継承した際に非常に重要になります。理論上アクセス可能な機密データが、AIエージェントが数秒で見つけ出し、推論し、行動を起こせることで実質的に露出します。
セキュリティ業界の初期対応は、既存のスタックにAI固有のコントロールを組み込むことでした:プロンプトフィルター、モデルスキャナー、独立したインベントリなどです。これらはAI層に関わる内容です。データ層は見落とされています。そして、データ層こそが被害が発生する場所です。
ここでVaronis Atlasが登場します。
Varonis AtlasがAIエージェントにゼロトラストを適用する方法
Varonis Atlasは包括的なAIセキュリティプラットフォームです。Atlasにより、組織はセキュリティライフサイクル全体にわたってAIエージェントにゼロトラストを適用するために必要な機能を備えることができます。
AtlasがAnthropicの示すフレームワークにどのように対応し、さらにどこまで踏み込んでいるのかを見ていきます。
発見:AIインベントリとシャドーAI
存在を把握していないエージェントに最小権限を適用することはできません。Atlasは、クラウド、SaaS、コードリポジトリ、AIプラットフォーム全体にわたり、シャドーAIを含むAIシステムを継続的に検出し、エージェント、モデル、およびそれらのデータアクセスを網羅する、常に最新のインベントリを構築します。
発見は、あらゆる取り組みの基盤です。セキュリティ態勢は、把握できていないものを評価できません。モニタリングは、可視化されていないものを監視できません。ガバナンスでは、文書化されていないものを管理できません。
評価:AIセキュリティセキュリティ態勢マネジメント(AI-SPM)
Anthropicは、エージェントの設定、権限、依存関係を継続的に評価することを提唱しています。Atlas AI-SPMは、エージェント、チャットボット、モデル全体にわたり、脆弱性、設定ミス、リスクの高いデータ露出を特定します。
違いはデータコンテキストにあります。エージェントがSharePointにアクセスできることを知るのと、そのエージェントが何百万件もの機密レコードにアクセスできることを知るのとでは、意味がまったく異なります。そのコンテキストが、セキュリティ態勢を実際のリスク評価へと変えます。
強制:AIランタイムガードレール
可観測性だけではゼロトラストとは言えません。Atlasは、リクエストパス上のAIゲートウェイを通じてリアルタイムのガードレールを適用し、プロンプト、応答、エージェントのアクションがモデルや下流システムに到達する前に検査します。
Atlasは実行フローとツールチェーンを理解しているため、キーワードフィルタリングにとどまらず、Anthropicのフレームワークで示されているような間接的な情報漏えいやツールチェーン攻撃を阻止します。
ガバナンス:AIコンプライアンスとサードパーティリスク
Anthropicはコンプライアンスとの整合性を重視しています。Atlasは、それを実運用レベルで実現します。Atlasは、AIシステムをEU AI ActやNIST AI RMFなどのフレームワークにマッピングし、実際のアクティビティ、セキュリティ態勢の検出結果、ランタイムログに基づく監査対応可能なエビデンスを提供します。
ゼロトラストは社内システムの範囲を超えて適用されます。Atlasは、インベントリ、質問票、AI部品表を組み合わせてサードパーティAIベンダーを継続的に評価し、外部リスクを特定・管理します。
監視:AIアクティビティの監視、検知、および対応
Anthropicは、可観測性を基盤として位置付けています。Atlasは、本番環境におけるAIの挙動を包括的に可視化し、プロンプト、応答、エージェントのアクション、データアクセスを記録します。
AI検知・対応は、安全でない、または悪意のある挙動をリアルタイムで検知し、アラートの発報、ブロック、SIEMやSOARワークフローとの連携を通じて、機械速度での対応を可能にします。
テスト:AI侵入テスト
エージェントは動的に変化します。実際に運用が始まれば、どれほど緻密に検討された制御であっても、予期せぬ隙間が生じるものです。
Atlasは、プロンプトインジェクションやジェイルブレイクを含む敵対的プロンプトや実際の攻撃シミュレーションを用いて、AIシステムを継続的にテストします。
AIエージェント向けゼロトラストにはデータコンテキストが必要
Anthropicのフレームワークが必然的に実装者に委ねているものが1つあります。それはデータレイヤーです。このフレームワークはエージェントの挙動、アイデンティティ、アクセス制御に対応していますが、データセキュリティを伴わないAIセキュリティでは、最大のリスク要因が未対応のまま残ります。
エージェントは、認証、認可、権限スコープ設定、監視といったあらゆるゼロトラスト制御を通過していても、基盤となるデータが過剰に露出していれば、400万件の顧客レコードに静かにアクセスできてしまう可能性があります。
AtlasはVaronisデータセキュリティプラットフォーム上に構築されているため、スタンドアロン型のAIセキュリティツールでは実現できないデータコンテキストを提供します。実際のデータコンテキストに基づくセキュリティ態勢評価、分類情報を活用したガードレール、アイデンティティと機密性情報で強化された監視、そしてAIシステムのメタデータだけでなくデータリネージも含むコンプライアンス証跡を実現します。
AIエージェントのためのゼロトラストは強力なフレームワークです。それを実施するには、AIとそれを支えるデータの両方の安全確保が必要です。
注:このブログはAI翻訳され、当社日本チームによってレビューされました
