AIエージェントのセキュリティ設計|権限・監査・ガバナンス

AIエージェントのセキュリティ設計|権限・監査・ガバナンス
AIエージェントは、自律的に判断し、業務システムを操作し、社内データにアクセスします。「便利に動いてくれる」のと同時に、「何をやっているか分からない」というリスクも表裏一体です。ChatGPTをとりあえず使ってきた段階と違い、エージェントが実際に社内システムへアクションを起こせる状態になった時点で、セキュリティ設計は「後回し」にできない経営課題に変わります。
本記事では、AIエージェントを企業として安全に運用するために最低限おさえるべき4つのガバナンス設計柱と、Microsoft 365環境での具体的な実装方法を整理します。
なぜAIエージェントには専用のセキュリティ設計が必要か
従来のアプリケーションは、あらかじめ定義されたロジックのみを実行します。一方で、AIエージェントは動的な決定を行い、トレーニングデータ・入力・環境条件に基づいて動作を適応させるため、静的アプリケーションロジックとは異なるセキュリティ上の考慮事項が必要になります。
特に見落とされがちなのが「エージェントスプロール」と呼ばれる問題です。
ビジネスユニットが正式なIT監視なしでエージェントを作成し(シャドウAI)、一時的な目的で作成されたエージェントが無期限に運用環境に残り、エージェントのアクセス許可が実際の要件を超えてレビューされない場合、エージェントスプロールが発生します。
このような状態が放置されると、所有権が不明な特権を持つエージェントはセキュリティリスクを高め、コンプライアンスの実証を困難にし、侵害を検出したり損害を制限したりするための効果的な対応を妨げることになります。
4本柱のガバナンス設計フレームワーク
AIエージェントのセキュリティ設計は、以下の4本柱で考えると整理しやすくなります。

①権限管理:Microsoft Entra IDでエージェントに「ID」を与える

最初の柱は権限管理です。エージェントを「誰でもない存在」として放置するのではなく、人間の社員と同様に管理されたIDを付与することが出発点になります。
Microsoftはこの課題に対応するため、Microsoft Entra Agent IDという仕組みを提供しています。
AIエージェントで安全な認証を行い、最小権限アクセスを強制適用し、ライフサイクル全体にわたるガバナンスを維持するには、IDおよびアクセス管理(IAM)が必要です。IAMがなければ、エージェントが過剰な権限を獲得すること、悪用につながる脆弱性を抱えた状態で稼働することが可能になり、機密データ・システム・コンプライアンスに対するリスクが生まれます。
Microsoft Entra Agent IDのエージェントIDは、特定のファイルやTeamsチャンネルへのアクセスなど、エージェントが必要とするリソースに対して、Just-In-Timeかつスコープの制限されたトークンを要求するという、最小特権のアプローチによって制御されます。
Copilot Studio や Azure AI Foundry で作成したエージェントは、自動的にMicrosoft Entra管理センターに登録され、IT管理者が一元的に可視化・管理できます。さらに、Microsoft Entra IDは、エージェントIDに多くの高い特権ロールまたはアクセス許可が付与されないようブロックします。
これにより、エージェントが誤って管理者権限を取得してユーザーを削除したり、セキュリティ設定を変更したりするリスクを仕組みとして防いでいます。
- エージェントごとに専用のAgent IDを発行し、共用アカウントを使わない
- アクセス許可の範囲を業務上の最低限に絞り込む(最小権限の原則)
- エージェントの用途終了時は速やかにIDを失効させる(ライフサイクル管理)
②ログ監査:Microsoft Purviewで「何をしたか」を記録する

権限を絞っても、「実際にエージェントが何をしたか」が追跡できなければ、内部統制もインシデント対応も成立しません。これを担うのがMicrosoft Purviewの監査機能です。
Microsoft Purview監査ソリューションは、セキュリティイベント・フォレンジック調査・内部調査・コンプライアンス義務に組織が効果的に対応するための統合ソリューションであり、数十のMicrosoftサービスとソリューションで実行された何千ものユーザーと管理者の操作をキャプチャ・記録・保持します。
Copilot StudioなどのAIエージェントが起こすアクションも例外ではありません。
プロンプトと応答は統合監査ログにキャプチャされます。イベントには、ユーザーがAIアプリと対話する方法とタイミングが含まれ、アクティビティが行われたMicrosoft 365サービスと、操作中にアクセスされたファイルへの参照を含めることができます。
また、コンプライアンスと監査のために、すべてのエージェント認証とアクティビティがログに記録されます。
中小企業でのスタート方法
Microsoft 365 E3以上のライセンスがあれば、監査(Standard)が既定で有効です。まずはPurviewポータルにアクセスし、AIエージェントに関連するアクティビティのフィルタリングと定期的なエクスポートを仕組み化することから始めましょう。より長期の証跡保全が必要な場合は、監査(Premium)で保持期間を延長できます。
③データ持ち出し防止:DLPで情報漏えいを仕組みで止める
エージェントが社内の機密ファイルを参照し、それを外部に送信してしまう——このリスクへの対策がDLP(データ損失防止)です。
「データ損失防止(DLP)」は企業の機密情報が外部に流出しないよう監視・制御するセキュリティ機能であり、「人」ではなく「データ」の動きを監視するのが特徴で、故意・過失ともに内部からの情報漏えい対策として非常に有効です。
Microsoft PurviewのDLPは、AIエージェントが使うデータにも適用できます。
Microsoft PurviewにオンボードされているWindowsコンピューターは、ユーザーがブラウザー経由でアクセスするサードパーティの生成AIサイトと機密情報を共有することを警告またはブロックするエンドポイントDLPポリシー用に構成できます。
さらに情報保護の観点では、DLPポリシーと連携させることで、「社外秘」ラベルの付いたデータの外部送信を自動ブロックすべきであり、情報漏えいリスクを仕組みで防げます。
設計の流れ(シンプルな3ステップ)
| ステップ | 内容 | 使うツール |
|---|---|---|
| 1. データ分類 | 機密情報に秘密度ラベルを付与 | Purview 情報保護 |
| 2. ポリシー作成 | 「社外秘」ラベルの外部送信をブロック | DLPポリシー |
| 3. モニタリング | シミュレーションモードで検証後、本番適用 | Purview コンプライアンスポータル |
表1: DLP設定の基本ステップ
なお、専用ダッシュボードとメトリックがAIアプリとエージェントに関連するリスクを監視し、過剰共有・流出・通常とは異なるアクセスパターンなどのエージェント固有のアクティビティを追跡できます。
このDSPM(データセキュリティ態勢管理)機能を活用すれば、エージェントのリスクをリアルタイムで可視化できます。
④誤判断対策:Human-in-the-loopで人間が「最後の砦」になる

どれだけ権限を絞り、ログを取っても、AIエージェントが誤った判断をして不適切なアクションを実行するリスクはゼロにはなりません。これに対する根本的な設計思想がHuman-in-the-loop(HITL)です。
Human-in-the-loopとは、AIワークフローの中に人間の判断を組み込む設計思想のことであり、これによりAIが間違った動作を行うことを防ぎ、最終的な判断を人間が行えるようになります。
Copilot Studioでは、この思想を「エージェントフロー」として実装できます。
エージェントフローでは、承認要求や情報の提供など、人間の介入を必要とするアクションを「ループ内の人間」として組み込めます。
具体的には、Copilot StudioのマルチステージApproval機能を活用します。
この機能は標準的な承認を拡張し、人間とAIのレビューを組み合わせた複雑な承認プロセスを構築できるものであり、条件分岐を設定することで案件の重要度やリスクに応じて承認フローを動的に制御できます。
また、AI承認では、事前に定義された条件に基づいて要求を自動的に承認または拒否しながら、人間が重要な決定を制御し続けられます。
どこに人間を挟むべきか? 判断の目安
- 必ず人間承認: 外部への情報送信、取引・発注処理、人事関連操作
- 条件付き承認: 一定金額以上の稟議、通常と異なるアクセスパターン検知時
- AI自動判定でOK: 社内資料の検索・要約、定型レポート生成
Microsoft 365環境での実装チェックリスト
ここまでの4本柱を、Microsoft 365環境で整備する際の確認項目を整理します。
| 柱 | 確認項目 | 対応ツール |
|---|---|---|
| 権限管理 | エージェントにAgent IDが発行されているか | Microsoft Entra Agent ID |
| 権限管理 | 最小権限でスコープが設定されているか | 条件付きアクセスポリシー |
| ログ監査 | 統合監査ログが有効になっているか | Microsoft Purview 監査 |
| ログ監査 | エージェントのアクティビティ定期確認の運用があるか | Purview コンプライアンスポータル |
| データ持ち出し防止 | 秘密度ラベルが付与されているか | Purview 情報保護 |
| データ持ち出し防止 | DLPポリシーでAI操作をカバーしているか | Purview DLP |
| Human-in-the-loop | 重要アクションに承認フローが設定されているか | Copilot Studio エージェントフロー |
| Human-in-the-loop | 承認フロー自体の監査ログが取れているか | Microsoft Purview 監査 |
表2: Microsoft 365環境でのガバナンス実装チェックリスト
まとめ:セキュリティ設計は「導入前」に決める
AIエージェントのセキュリティ・ガバナンス対策は、「動かしてから後で考える」では遅すぎます。権限管理・ログ監査・データ持ち出し防止・Human-in-the-loopの4本柱は、エージェントを業務に組み込む前の設計フェーズで方針を決めておく必要があります。
良いニュースは、Microsoft 365環境を既に使っている中小企業であれば、Entra ID・Purview・DLPといったツールがすでに手の届く範囲にあることです。追加の大規模投資なしに、ガバナンスの土台を整えることができます。
よくある質問(FAQ)
AIエージェント導入時のセキュリティリスクと対策は?
AIエージェント導入時の主なリスクは、過剰な権限付与・操作ログの欠如・機密データの外部流出・誤判断による不適切な操作の4つです。対策としては、Microsoft Entra Agent IDによる最小権限管理、Microsoft Purviewによる統合監査ログの取得、DLPポリシーによるデータ持ち出し防止、そしてCopilot StudioのHuman-in-the-loop承認フローを組み合わせることが、Microsoft環境での標準的なガバナンス設計となります。
AIエージェントの権限管理はどう設計すればよいですか?
AIエージェントには、人間の社員と同様にMicrosoft Entra Agent IDで専用のIDを発行し、最小権限の原則に基づいてアクセス範囲を設定することが基本です。Microsoft Entra Agent IDは、Just-In-Timeかつスコープの制限されたトークンを発行する仕組みであり、エージェントが必要とするリソース(特定のファイルやTeamsチャンネルなど)にのみアクセスできるよう制御されます。エージェントの用途終了時には速やかにIDを失効させるライフサイクル管理も必須です(出典:Microsoft Learn「Microsoft Entra Agent ID での承認」)。
Microsoft環境でAIエージェントのログ監査を取る方法は?
Microsoft Purviewの統合監査ログ機能を有効化することで、AIエージェントのアクティビティを記録できます。Microsoft 365 E3以上のライセンスがあれば監査(Standard)が既定で有効であり、Copilot Studioで作成したエージェントのプロンプトや応答、アクセスしたファイルの情報がログにキャプチャされます。Purviewポータルから検索・エクスポートが可能で、定期的なレビューとCSVエクスポートによる保全を運用として組み込むことが推奨されます(出典:Microsoft Learn「監査ソリューションの概要」)。
AIエージェントのデータ持ち出し防止にDLPはどう使いますか?
Microsoft Purview DLPポリシーを使うことで、AIエージェントが扱う機密データの外部流出を自動的にブロックできます。まずPurview情報保護で機密ファイルに秘密度ラベル(「社外秘」など)を付与し、そのラベルが付いたデータをAIアプリや外部宛メールに送信しようとすると自動ブロック・管理者通知が発動するDLPポリシーを設定します。初期段階ではシミュレーションモードで業務影響を確認しながら本番適用することが推奨されます(出典:Microsoft Learn「Microsoft Purviewを使用して、他のAIアプリのデータセキュリティ&コンプライアンスを管理する」)。
AIエージェントにHuman-in-the-loopの承認フローを設定する必要はありますか?
外部への情報送信・取引処理・人事操作など、影響範囲の大きいアクションを行うエージェントには必ずHuman-in-the-loop(HITL)の承認フローを設定すべきです。Copilot Studioのエージェントフローでは「Human in the loop」コネクターを使い、指定した担当者にOutlook経由で承認依頼を送信し、その応答を待ってから次のアクションに進む仕組みを構築できます。マルチステージ承認では案件の重要度に応じて承認ルートを動的に制御することも可能です(出典:Microsoft Learn「エージェントフローでのマルチステージとAIの承認」)。











