まず“Zero Trust for AI Agents”を実現するためには、新しい用語を理解する必要がある。
何か問題が起きたときに生じうる被害の大きさを指す。単一のデータベースへの読み取り専用アクセスしか持たないエージェントの被害範囲は小さい。一方、クラウド基盤への管理者権限を持つエージェントの被害範囲は甚大だ。
ROI(投資対効果)を考慮する場合にはこのリスクの大きさに一致すべきである。そして、「侵害を想定した設計(design for breach)」は、侵害が始まり対処できなければ、ある時点ですべてのエージェントのブラスト・ラジアスが試されると想定することを意味する。
最小エージェンシーは、OWASP(Open Worldwide Application Security Project:ソフトウェアセキュリティの改善に取り組む国際的な非営利団体)によって作られた新しい用語であり、最小特権(least privilege)をエージェントアプリケーションに拡張したものだ。
最小特権がユーザーやシステムのアクセス可能な範囲を制限するのに対し、最小エージェンシーはさらに踏み込み、各エージェントのツールが「何を」「どれくらいの頻度で」「どこで」実行できるかを制限する。
具体的には、データベースツールには特定のパソコンから読み取り専用クエリのみを一時間に一度だけ許可し、電子メールの要約ツールには社給PCからメールの参照権限を与えるが送信/削除権限は与えない、といった運用が想定される。
Agentic Attackerを想定した脅威モデリングの必要性
ミュトスの話題ではその「脆弱性発見と自律攻撃能力」に議論が集中し、アタックサーフェスや脆弱性対応に関心が寄せられがちであるが「脅威モデリング」も、“Zero Trust for AI Agents”を見据えれば重要なプロセスとなる。
脅威モデリングとは、要件定義や設計段階でシステムに対する潜在的な脅威を明らかにし、実装・テスト・運用時に実施すべきセキュリティ対策を明確化してセキュリティリスクを軽減するためのプロセスだ。
OWASPによって特定されている現在のエージェントシステムには固有の脅威が存在する。自社のエージェントシステムや、Agentic Attackerを想定した場合には、これまでのマルウェア対策やURLフィルタリングで完全に防ぐことはできない。
