実行モデルが変わるたびに、セキュリティフレームワークもそれに合わせて変わる必要があります。エージェントが次のシフトを強制する。
無人ノートパソコンの問題
開発者がノートパソコンを放置し、ロックを解除しておくことはありません。リスクは明白です。開発者用ノートパソコンは、本番システム、リポジトリ、データベース、認証情報、APIへのルートレベルアクセス権を持っています。誰かが座って使い始めれば、プルリクエストを確認したり、ファイルを修正したり、コードをコミットしたり、開発者がアクセスできるものすべてにアクセスできます。
しかし、今日では多くのチームがエージェントを配置しているのがこの点です。自律システムには認証情報、ツール、最小限の構造で敏感な環境へのライブアクセスが与えられます。仕事は並行して、そして絶え間なく進行し、人間には追いつけないペースで進んでいる。コードは開発者が現実的にレビューできるよりも速く生成され、開発者が自分のために動いているすべてのものを監視することはできません。
実行が並列かつ連続的になると、ミスや連鎖的な失敗の可能性は急速に拡大します。チームはエージェントを採用し続けるでしょう。なぜなら、その成果は現実的だからです。未解決のまま、このモデルをすべての動作に手動承認を必要とせずに安全に運用できる方法である。手動承認は実行を人間の速度に戻し、エージェントの価値を完全に失わせます。同意疲れは現実です。
なぜAIエージェントが既存のガバナンスを壊すのか
従来のセキュリティ管理は人間のオペレーターを中心に設計されていました。人はキーボードの前に座り、意図的に行動を開始し、組織的・社会的制約の中で行動します。レビューが効果的だったのは、意図と実行の間に時間があったからです。周辺のセキュリティがネットワーク境界を守り、自動化システムは限られた実行範囲内で運用されていました。
しかし、従来のセキュリティはもっと深いものを前提としています。つまり、機械を操作しているのは人間であるということです。ファイアウォールは従業員がノートパソコンを使っているため信頼しています。VPNはエンジニアが認証したため接続を信頼しています。シークレットマネージャーは、誰かがリクエストしたからアクセスを許可します。このモデルは、責任を負い、人間のスピードで動く人物に依存しています。
エージェントはこの前提を破ります。彼らは直接行動し、リポジトリを読み込み、APIを呼び出し、ファイルを修正し、認証情報を使います。彼らはルートレベルの権限を持ち、機械の速度でアクションを実行します。
レガシーコントロールはこの用途を想定していませんでした。デフォルトの対応は、より可視化と承認を得て、すべてのアクションに対してアラートやプロンプト、確認を追加することでした。これはスケール感がなく、「同意疲労」を生み出し、開発者を苛立たせ、強制しようとするセキュリティそのものを損なっています。エージェントが何百ものアクションを並行して実行すると、人間はそれらを意味のある形でレビューできません。警告はノイズに変わります。
AIガバナンスと実行層:三つのCフレームワーク
コンピューティングの大きな変革は、セキュリティを実行に近づけてきました。エージェントも同じ軌道をたどります。エージェントが実行される場合、セキュリティはエージェント実行層で動作しなければなりません。
このシフトは、ガバナンスを3つの構造的要件、すなわち 3C.に結びつけます。
収容:爆風半径を縛る
すべての実行モデルは孤立に依存しています。プロセスにはメモリ保護が必要でした。仮想マシンはハイパーバイザーを必要としました。コンテナには名前空間が必要でした。エージェントは同等の境界を必要とします。コンテインメントは失敗を制限することで、エージェントのミスがデータ、ワークフロー、ビジネスに永久的な影響を及ぼさないようにします。エージェントの完全な自律性を解放するには、実験が無謀でないという自信が必要です。.これがなければ、自律実行は失敗します。
キュレート:エージェントの環境を定義する
エージェントができることは、その環境に何が存在するかによって決まります。呼び出せるツール、見えるコード、使用できる認証情報、動作するコンテキストなどです。これらすべてが、エージェントが行動を起こす前の実行を形作ります。
キュレーションは承認ではありません。それは建設です。あなたはエージェントが何をしたいかを見直しているわけではありません。あなたはその世界を定義しているのです。エージェントはあなたのシステム全体について理屈をつけるわけではありません。彼らは与えられた環境の中で行動します。その環境が意図的であれば、実行は予測可能になります。もしそうでなければ、構造のない自律性があり、それは単なるリスクです。
コントロール:リアルタイムで境界を強制する
紙上にしか存在しない統治は、自律システムには影響を与えません。行動が起こるたびにルールが適用されなければなりません。ファイルアクセス、ネットワーク呼び出し、ツール呼び出し、認証情報の使用にはランタイムでの強制が必要です。ここでアラートベースのセキュリティが崩壊します。ログや警告は、何が起きたのか説明したり、実行後に許可を求めることがすでに進行中です。
コントロールは、何がいつ、どこで起こりうるか、そして誰がそれを実現する特権を持つかを決定します。適切に実行された制御は自律性を奪いません。それは限界を定義し、人間がプレッシャーの中でのすべての行動を承認する必要をなくします。もしこれが保険エンジンのように聞こえるなら、間違っていません。しかし、これは動的で適応力が高く、積極的な労働力に対応できるものでなければなりません。
3Cを実践に移す
3つのCは互いに強化し合っています。封じ込めは失敗のコストを抑えます。キュレーションはエージェントが試みられる範囲を絞り込み、セマンティックな知識を応用して特定の環境やタスクに適したツールやコンテキストを作成することで、開発者にとってより有用な存在となります。実行時層の制御は、反応的承認を構造的強制に置き換えます。
実際には、この作業はプラットフォームチームに委ねられています。それは、デフォルトで隔離された標準化された実行環境、特定のユースケースに合わせた厳選されたツールや認証情報の表面、そして操作が完了する前に機能するポリシーの執行を意味し、事後に人間に通知するのではありません。これらの原則に基づいて構築するチームは、開発者を燃え尽きさせたりアラートに溺れさせたりすることなく、エージェントを効果的に活用できます。そうでないチームは、人間の注意がスケーラブルなコントロールプレーンではないことに気づくでしょう。
