【AWS re:Invent 2025】Autonomous DBOps: Agentic AI for maintaining databasesに参加してきた:AIエージェントのセキュリティの重要性
目次
はじめに
本記事では、AWS re:Invent 2025で開催されたAIエージェントのセキュリティに関するChalk Talkセッションの内容をお届けします。AIエージェントが本番環境に導入される中で、多くの企業が直面している課題は「本当にAIエージェントを信頼できるのか?」という問いです。セッションでは、多層防御戦略、脅威モデリング、OWASP MAESTROフレームワーク、そしてAWS Agent Coreの実装について、実践的なアプローチが紹介されました。
なぜAIエージェントのセキュリティが重要なのか
セッションでは、参加者に対していくつかの興味深い質問が投げかけられました。
質問1 「$1,000以下の標準的な請求書の承認をAIシステムに任せられますか?」
- 結果 ほとんど手が上がらない
質問2 「re:InventのためのホテルとフライトをAIに予約させられますか?」
- 結果 一部の手が上がる
質問3 「本番環境のセキュリティロールをAIに管理させられますか?」
- 結果 誰も手を上げない
この結果は、多くの企業がAIシステムを実際には信頼していないことを示しています。では、なぜ信頼できないのでしょうか?
新入社員を雇うように考える
セッションでは重要な問いが投げかけられました。
「インターンを雇う場合、基礎トレーニングやセキュリティ研修、組織のポリシーと手順について教育せずに、いきなり仕事を任せるでしょうか?答えは『No』です。それなのに、なぜAIエージェントには何の訓練もせずに本番環境に投入するのでしょうか?」
AIエージェントは非決定論的(Non-deterministic)です。従来のファイアウォールは予測可能に動作しますが、AIエージェントは同じ入力でも異なる出力を返す可能性があります。ファイアウォールポートが予期せず開いたり、本番システムがダウンする可能性もあります。
AIシステムの進化
AIシステムは3つの段階を経て進化してきました。
- シンプルなQ&A - 質問に回答するだけ、トランザクションは発生しない
- Human-in-the-Loop - アクションを実行できるが、人間の承認が必要
- 完全自律型エージェント - 複数のエージェントが協調し、各エージェントが5〜100個のツールにアクセス。自分たちで計画を立てて実行する。何をするか完全には予測できない
これは非常に強力ですが、潜在的に恐ろしいシステムでもあります。
多層防御戦略(Defense in Depth)
セッションでは、スコットランドの城を例に多層防御を説明しました。城は、外壁、跳ね橋、堀、別の壁、小要塞、守衛、金庫という複数の層で王冠の宝石を守っています。
「1つの防御層だけでは不十分です。『すべてを解決できる1つのツール』があると言う人がいたら、それは何かを売りつけようとしているだけです。買わないでください。」
従来のWebアプリケーション(ポリシー → ファイアウォール → ネットワーク保護 → VPC → ロードバランサー)と同様に、AIエージェントでも多層防御が必須です。
脅威モデリングとOWASP MAESTROフレームワーク
継続的な脅威モデリング
「脅威モデリングは1回限りの作業ですか?」 セッションでの答えは明確でした。継続的に更新が必要です。モデルを変更しただけでも脅威は変わり、新しい攻撃手法が日々発見されます。3週間前は安全だったものが、今は安全でない可能性があります。
AWSはSecurity Scoping Matrix for Agentsを提供しており、リスクレベルに応じた対策を定義しています。フライト情報を読むだけのチャットボット(低リスク)と、50人分のホテル・フライトを自動手配するシステム(最高リスク)では、必要な対策が大きく異なります。
OWASP MAESTROフレームワーク
OWASP MAESTROは、AIエージェントのセキュリティを体系化した7層フレームワークです。
- Model Layer - LLMモデル自体のセキュリティ
- Agent Layer - エージェントの動作とロジック
- Environment Layer - 実行環境のセキュリティ
- System Layer - システムインフラストラクチャ
- Tools Layer - エージェントが使用するツール
- Reasoning Layer - 推論プロセスの安全性
- Orchestration Layer - 複数エージェントの調整
重要なのは、クロスカッティングコンサーンの考慮です。人的要因(ハッキングされたUSBデバイスを挿す従業員)、サードパーティAPIの侵害、内部の悪意ある行為者も脅威になり得ます。
AWS Agent Coreの実装
MAESTROフレームワークは理論的な枠組みです。では、これを実際にどう実装するのでしょうか。
AWS Agent Coreは、セキュアなエージェントシステムを構築するための5つの主要コンポーネントで構成されています。
1. Runtime - エージェント実行環境
- ハードウェアレベルのセッション分離 - 2つのユーザーが同じセッションを共有することは絶対にない
- MCP対応とプライベートVPC対応 - マルチクラウド環境でも安全に実行
2. Gateway - ツールへの統一インターフェース
- すべてのAPIをMCP形式で統一 - OAuth、レガシーAuth、APIキーなど異なる認証方式に対応
- セマンティック検索 - 1000個のツールから必要な5つだけを自動選択し、トークン数とコストを削減
3. Memory - セッション管理
- 会話履歴の保存とコンテキストの継続、カスタム戦略のサポート
4. Observability - 可観測性(基本設計思想)
- 包括的なトレーシング - ユーザーリクエストからレスポンスまでのすべてのステップを可視化
- CloudWatch / OpenTelemetry統合 - すべてのアイデンティティ、トークン、クレデンシャルの使用を記録
5. Identity - アイデンティティ管理
- エージェントはユーザーができることだけを実行可能
- 任意のIDプロバイダー対応(Entra ID、Okta、OneLoginなど)
- 既存投資の活用 - IAMの使用を強制せず、既に投資しているIDプロバイダーを使用できる
まとめ
AIエージェントを本番環境に導入する企業は増えていますが、多くの企業は実際には信頼していません。その理由として、適切なセキュリティ対策が施されていないことが考えられます。
3つの重要な原則
- 新入社員と同じように扱う - トレーニング、セキュリティ研修、ガバナンスなしに本番環境に投入すべきではない
- 多層防御(Defense in Depth) - 単一のツールではなく、複数の防御層で守ることが推奨される
- 継続的な脅威モデリング - 1回限りではなく、変更のたびに実施することが望ましい
実装の枠組み
- OWASP MAESTROフレームワーク - 7層のセキュリティレイヤーで体系的にリスクを管理
- AWS Agent Core - Runtime、Gateway、Memory、Observability、Identityの5つのコンポーネントで実装
特にIdentity(アイデンティティ管理)が重要と考えられています。アイデンティティが正しく機能していれば、エージェントはユーザーができることだけを実行し、より安全なシステムに近づくことができます。
