![[レポート][三井物産セキュアディレクション株式会社]Agentic Web Security - CODE BLUE 2025 #codeblue_jp #codeblue_2025](https://images.ctfassets.net/ct0aopd36mqt/53aEHmXFPPsgSRlZMgwigR/9168fdbe38f267c90cd54b19df1680be/000_codeblue_2025.jpg?w=3840&fm=webp)
[レポート][三井物産セキュアディレクション株式会社]Agentic Web Security - CODE BLUE 2025 #codeblue_jp #codeblue_2025
今回はCODE BLUE 2025で行われた以下のセッションのレポートです。
MCP(Model Context Protocol)やA2A(Agent-to-Agent)といったエージェント・プロトコルの登場により、マルチエージェントシステム(Multi-Agent-System:MAS) が注目を集めています。MASは複数のAIエージェントや外部ツールをネットワーク経由で結び付け、複雑な処理を自律的に実行できる基盤として、今後社会実装が進むことが予想されます。
従来のWebが担ってきた「人間がWebブラウザを通じて情報を取得し、サービスを利用する場」という役割は、MASによって引き継がれ、AIエージェント同士が直接やり取りを行い、人間に最適な情報やサービスを届ける新しいWeb「Agentic Web」へと進化しつつあります。Agentic Webでは、人間が介在しないまま重要な意思決定や取引がAIエージェントによって実行されるため、従来のWebセキュリティに加えて新たな脅威モデルが出現します。たとえば、AIエージェント間通信の改ざん・なりすまし、悪意あるツールの混入、データ汚染による誤判断など、従来のWebブラウザ中心のセキュリティ対策では対応しきれないリスクが顕在化するおそれがあります。
本講演では、以下の三つの観点をわかりやすく解説し、組織がこれから直面する変革期のセキュリティ課題とその備え方を紹介します。
- Agentic Webの仕組みと社会的インパクト
- 従来Webとの違いから見える新たな脅威シナリオ
- MASを安心・安全に活用するための基本原則と防御策
Webの次世代基盤に備える第一歩として、Agentic Web Securityの全体像をつかみたい方に最適なセッションです。Speakers:
Isao Takaesu(高江洲 勲)三井物産セキュアディレクション株式会社 プロダクト&ソリューション事業部 シニアプロフェッショナル
レポート
- Agentic Webの基本概念
- 背景:LLM関連技術の変遷
- 2022年のChatGPTの登場以降、数多くのLLM・関連技術・プロトコルが誕生
- 2024年からAIエージェントの普及が始まり、202年はマルチエージェントシステム(MASに注目が集まっている)
- 背景:LLM・AIエージェント・MASの関係性
- LLMは推論を担う基盤モデル
- AIエージェントはLLMに目標設定・計画・行動実行の機能を与えた自律システム
- MASが複数のAIエージェントが強調して複雑なタスクを分担・処理する分散システム
- MASの登場によりWebはAgentic Webに移行する
- MASはMCP,A2Aを通じて複雑な処理を人間に変わって協調的に実行できる
- AIエージェント同士が直接対話・連携し最適な情報やサービスを提供するMASは、人間中心のWebを"Agentic Web"へ進化させる
- MASの普及予測
- AIエージェント市場は2034年に約236.03Billion USD規模になることが予想されている
- GartnerのAIハイプサイクルによるとMASに関連する技術は2〜10年で主流になることが予想されている
- 背景:LLM関連技術の変遷
- Agentic Web特有のリスク
- 従来のWebのリスクがなくなるわけではない
- AIエージェントの不正操作・欺瞞・AIエージェント間の信頼破壊(偽情報の共有など)といった、AIエージェントに起因する新たなリスクが発生する
- 入出力・記憶・外部ツール・サプライチェーン・エージェント連携などの攻撃面が多層化し、従来Webににはなかった誤誘導・不正操作といったセキュリティリスクが顕在し得る
- 設定不備・誤学習・ログ取得不備・誤動作伝播運用リスクも増大する
- ログ取得が不十分な場合、インシデント原因の特定が困難に
- すでに顕在化しているMASのリスク
- Anthropic MCP InspectorのRCE
- 悪意あるMCPサーバーによる機微情報窃取(postmark-mcp)
- AIエージェントを狙った間接的プロンプトインジェクション
- AIエージェントを狙ったクローキング攻撃
- 講演で想定する攻撃シナリオ
- 飲食店検索から出前の手配までを自律的に実行する架空のシステム「Broken MAS」
- LLM, Agent, MCP, A2A, DBなどのコンポーネントで構成
- 攻撃シナリオ:連携ツールの細工によるAIエージェントの不正操作
- AIエージェントが悪意あるMCPサーバを使用することでAIエージェントの誤作動が誘発される
- 悪意あるMCPサーバが応答する詳細情報に、トリガーで発動する不正指示が埋め込まれている
- 実際の流れ
- 利用者がAIエージェントに、飲食店のあるメニュー(トリガーワード)があるか確認する
- AIエージェントがMCPサーバに、その飲食店のメニューを要求
- MCPサーバが細工した飲食店のメニューをエージェントに応答
- AIエージェントはMCPサーバの不正な指示により不正な応答を行ってしまう
- AIエージェントが悪意あるMCPサーバを使用することでAIエージェントの誤作動が誘発される
- 攻撃シナリオ:記憶・データストアの汚染によるAIエージェントの不正操作
- 攻撃者がAIエージェントが参照する長期記憶に不正な指示を紛れ込ませることで、AIエージェントの継続的な誤作動を誘発する
- 情報が参照されるたびに意図しない動作が発生してしまう
- Agentic Webを安心安全に使うために
- MASのセキュリティ対策ガイドライン・脅威モデリングフレームワークの登場
- OWASP Top10 for LLM Applications 2025 (ガイドライン)
- OWASP Agentic AI - Threats and Mitigations )脅威モデリングフレームワーク)
- CSA MAESTRO (脅威モデリングフレームワーク)
- MASのセキュリティ対策ガイドライン・脅威モデリングフレームワークの登場
- MBSD版MASの「信頼境界」
- 人間 - AIエージェント
- 対策:不正なプロンプトから守るガードレールの設置など
- AIエージェント - ツール/データストア
- 対策:AIエージェントの権限最小化など
- AIエージェント-AIエージェント
- 対策:AIエージェント間通信の認証と署名など
- 環境設定
- 対策:MCPサーバ/A2Aサーバの認証認可設定の適正化、MAS全体の可視化、RAG・データ・モデルの品質監査とログの保全など
- 人間 - AIエージェント
- 実運用を見据えたAgentic Web Security
- MASは業務効率化・自動化を加速させるが、その価値を最大化するには導入の初期段階から「安全に使える基盤づくり」へ注力することが重要
感想
Agentic Webの時代になると、AIエージェントに起因するリスクが増えるのは確かに、と思いました。仕組み自体が新しく、システムも複雑化していきますが、セキュリティ側の人間としては安全にサービスを提供できる基盤づくりができるよう整備していかなければいけないな、と思いを新たにしました。
