CISA・NSA・ファイブアイズ共同ガイダンス「エージェント型AIの慎重な導入」を公開——5カテゴリのリスク分類と対策

概要

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）と国家安全保障局（NSA）は、英国 NCSC・豪州 ASD・カナダ CCCS・ニュージーランド NCSC のファイブアイズ系安全保障機関と共同で、「エージェント型 AI サービスの慎重な導入（Careful Adoption of Agentic AI Services）」と題する30ページのガイダンス文書を2026年4月30日〜5月1日にかけて公開した。エージェント型 AI の普及に伴うサイバーリスクを5カテゴリに整理し、民間・政府機関向けの具体的な対策を提示している。

事実のポイント

• 発行機関: CISA（米）+ NSA（米）+ ASD（豪）+ CCCS（加）+ NCSC（新）+ NCSC（英）の計6機関（ファイブアイズ＋）
• 公開日: 2026年4月30日〜5月1日
• 文書名:「Careful Adoption of Agentic AI Services」（30ページ）
• 5カテゴリのリスク:
  1. 権限昇格（Privilege Escalation）: エージェントが意図しない権限を取得・保持するリスク
  2. 設計・設定不備（Design/Configuration Flaws）: 過度に広いツールアクセス権・システムプロンプトの脆弱性
  3. 動作の予測不能性（Unpredictable Behavior）: エージェントの行動が設計意図から逸脱する
  4. 構造的リスク（Structural Risks）: マルチエージェント連鎖での信頼境界の混乱
  5. 説明責任の欠如（Accountability Gaps）: ログ不足・監査困難・人間レビューの欠如
• 対策の主要原則: 最小権限・ヒューマン・イン・ザ・ループ（HITL）・強固な監査ログ・サプライチェーン検証

用語・背景の補足

エージェント型 AI（Agentic AI） とは、人間からの指示に一度で応答するだけでなく、複数ステップの計画を自律的に立案・実行する AI システム。Web 閲覧・コード実行・メール送信・外部 API 呼び出しなどのツールを組み合わせて長期タスクを遂行できる。Anthropic Claude の Projects・Operator 機能、OpenAI の Codex エージェントなどが代表例。

ファイブアイズ（Five Eyes） は、米国・英国・カナダ・豪州・ニュージーランドの情報共有同盟。サイバーセキュリティ分野での共同勧告が近年増加しており、AI のセキュリティ問題では中国・ロシアを意識した西側陣営としての規範形成の役割も担う。

最小権限の原則（Principle of Least Privilege） は、システムの各コンポーネントが正常動作に必要な最小限のアクセス権のみを持つべきという情報セキュリティの原則。エージェント AI はツールへのアクセス権を広く持ちやすく、この原則の適用が特に重要になる。

注意点

• このガイダンスは法的拘束力を持たない勧告であり、各国の規制への翻訳はこれから
• 対象は政府機関・重要インフラが主だが、民間企業の AI ガバナンス整備の参考にも活用できる
• 「エージェント型」AI の定義は各社製品によって異なり、適用範囲の判断は組織ごとに必要
• 日本の AI 安全利用に関するガイドライン（経産省・デジタル庁等）との整合性確認が望ましい

編集部見解

エージェント型 AI の採用を検討している組織にとって、6か国の安全保障機関が連名で出したガイダンスは重要な参照基準になる。最小権限・人間レビュー・監査ログという3つの原則は、民間企業でのエージェント AI 導入設計にもそのまま適用できる枠組みであり、AI 導入のガバナンス方針を策定する際の一次資料として活用価値が高い。