AIエージェント時代のゼロトラスト再定義――Microsoft Ignite 2025で示された新アプローチ

AIエージェントが業務の中心的な役割を担い始め、従来の「人・端末・ネットワーク」中心のモデルでは想定しきれない新たなセキュリティリスクが急速に現れつつあり、ゼロトラストの再定義が不可欠となっています。本記事では、Microsoft Ignite 2025で示された最新のアプローチをもとに、AIエージェント時代に求められる新しい防御モデルについて解説します。

クラウド、モバイル、ハイブリッドワークの普及により、ゼロトラストは「人・端末・ネットワーク」を中心にしたセキュリティの基本原則として定着しました。しかし、2025年、私たちは新しい転換点に立っています。それはAIエージェントの業務への本格的な組み込みです。

AIエージェントは、単なるチャットボットや支援ツールではありません。ユーザーの代わりに操作を行い、クラウド、アプリ、データに広範なアクセス権を持つ「新しい主体」です。これにより、従来のゼロトラストモデルでは想定していなかったリスクが急速に顕在化しています。

＜AIエージェントによるセキュリティリスクの例＞

• プロンプトインジェクションによる不正指示
• モデルの悪用やエージェント乗っ取り
• 自動化による誤操作の連鎖的拡大

こうした脅威は、従来の「人間中心のゼロトラスト」では防ぎきれません。ゼロトラストの再定義が必要です。

Microsoft Ignite 2025では、この課題に対応するための新しいアプローチが示されました。Microsoft Agent 365によるエージェントID管理、Purviewによるプロンプト監査、Defenderの予測防御、GitHub統合による開発段階のセキュリティ強化など、AIエージェントを前提としたセキュリティ設計が次々と発表されています。

本記事では、「Code → Runtime → Agent → Data」という新しいライフサイクル概念を軸に、AI時代のゼロトラストをどのように再定義し、現場で実装すべきかをMicrosoft Ignite 2025での発表をもとに解説します。

あなたの組織は、AIエージェントを安全に運用する準備ができていますか？

このライフサイクルは、AIエージェント時代におけるセキュリティの対象範囲を示す概念です。従来は「コードと実行環境」だけを守ればよかったのですが、今後はAIエージェントそのものと、そのエージェントが扱うデータまで含めて保護する必要があります。

＜新しいライフサイクル＞

• Code（コード）
  アプリケーションやAIモデルを構成するソースコードです。ここでの脅威は、脆弱性やサプライチェーン攻撃です。開発段階からセキュリティを適用し、コードレビューや脆弱性スキャンを徹底することが重要です。
  　
• Runtime（実行環境）
  コードが動くクラウドやオンプレ環境です。資格情報の濫用や横移動攻撃が典型的なリスクであり、実行時の防御策（EDR/XDR、ネットワーク分離、ゼロトラストアクセス）が必要です。
  　
• Agent（AIエージェント）
  ユーザーの代わりに操作を行うAI主体です。エージェントは広範な権限を持つため、ID管理、アクセス制御、ガードレールが必須です。ここを疎かにすると、乗っ取りや誤操作による大規模な被害が発生します。
  　
• Data（データ）
  エージェントが扱う機密情報やプロンプトです。データ漏えいや汚染を防ぐため、ガバナンスと監査が重要です。特にプロンプトインジェクションによる情報漏えいは新しい脅威です。

ここからは、Microsoftの実際の機能をベースに、ゼロトラストの骨子をご紹介します。

従来のゼロトラストは「人間のID」を中心に設計されていました。しかし、AIエージェントも同様に管理しなければなりません。Agent 365は、エージェントを「IDとして可視化」し、Entraの条件付きアクセスやライフサイクル管理を適用できる仕組みを提供します。これにより、シャドーAI（無許可エージェント）の発生を防ぎ、権限のスコープや有効期限を明確に設定できます。

AIエージェントは大量のデータを扱います。ここでのリスクは、プロンプト経由での情報漏えいやデータ汚染です。Microsoft Purviewは、機密データの検出や利用制御、危険なプロンプトのブロックを可能にします。さらに、プロンプト履歴を監査可能にすることで、コンプライアンス対応も強化されます。これは、AIが扱うデータを「見える化」し、ポリシーで制御するための重要な仕組みです。

従来の防御は「攻撃を検知して対応」するものでしたが、AI時代ではそれでは遅すぎます。Predictive Shieldingは、攻撃の次の一手を予測し、事前に防御策を適用する新機能です。これにより、資格情報の濫用や横移動を自動的に分断し、AWSやOktaなどのクロス環境でも防御を実現します。AIエージェントが関与するセッションも対象となるため、従来のEDR/XDRの枠を超えた保護が可能です。

AIエージェントはコードを生成・修正するため、開発プロセスにおけるセキュリティ統制がより重要になります。Defender for CloudとGitHub Advanced Securityの統合により、コード段階の脆弱性とクラウド実行時のリスクを一つのループで管理できます。さらに、GitHub Copilotが修正案を自動生成することで、DevSecOpsの「Shift-left」を現場に定着させることができます。

Microsoft Entra の条件付きアクセスと MFA をクラウド運用に徹底適用するベストプラクティスが強調されています。Azure Resource Manager（ARM）、CLI、PowerShell の操作に対しても、MFA とネットワーク・セッション制御を適用する設計が推奨されます。これにより、人間だけでなくエージェントの運用権限も厳格に検証されるようになり、クラウド操作の安全性を根本から高めます。

AIエージェントが安全に動作するための専用環境として、Windows 365 for Agentsが提供されます。Cloud PC上でエージェントの作業を分離し、OSレベルで同意・検証・保護機能を組み込むことで、端末上でのリスクを低減します。これにより、エージェントの実行環境を「隔離」し、攻撃面を最小化できます。

AIエージェントは、人間と同等かそれ以上の権限を持つため、ID管理が最重要です。Microsoft Entraを使えば、エージェントを「IDオブジェクト」として登録し、条件付きアクセス（Conditional Access）を適用できます。

＜実装ポイント＞

• Entraで「Agent ID」を作成し、アプリ登録を行います。
• 条件付きアクセスで「MFA必須」「ネットワーク制限」「セッションタイムアウト」を設定します。
• ライフサイクル管理で「有効期限」「権限スコープ」を明確化し、シャドーAIを防止します。

AIエージェントはプロンプトを通じて機密情報にアクセスします。Microsoft Purviewを使えば、プロンプト履歴を監査し、危険な指示（例：データ抽出、権限昇格）を検出・ブロックできます。

＜実装ポイント＞

• Purviewの「情報保護ポリシー」で、機密データ分類（PII、財務情報など）を設定します。
• プロンプトフィルタリングを有効化し、危険なキーワードや構文を検出します。
• 履歴ログをSIEM（Sentinelなど）に送信し、異常なプロンプトをリアルタイムで監視します。

従来のEDR/XDRは「検知後対応」ですが、AIエージェントは高速に操作するため、事前防御が必須です。Microsoft Defender for CloudのPredictive Shieldingは、攻撃の次の一手を予測し、事前に防御策を適用します。

＜実装ポイント＞

• Defenderで「クロス環境保護」を有効化（Azure、AWS、Oktaなど）します。
• AIセッションを対象に、資格情報の濫用や横移動をブロックします。
• セキュリティポリシーを「ゼロトラスト＋予測モデル」で強化し、攻撃シナリオを事前に遮断します。

AIエージェントはコードを生成・修正するため、開発段階でのセキュリティ統制が不可欠です。GitHub Advanced Securityを使えば、コードスキャンで脆弱性を検出し、Copilotが修正案を提示します。

＜実装ポイント＞

• GitHubで「CodeQLスキャン」を有効化し、脆弱性を自動検出します。
• Copilotによる修正提案をレビューし、Pull Requestに統合します。
• Defender for Cloudと連携し、コード→クラウド→エージェントのリスクを一貫管理します。

クラウド操作は、攻撃者にとって最も魅力的なターゲットです。Azure Resource Manager（ARM）の操作にMFAを必須化し、CLIやPowerShell経由の操作も含めて認証を強化します。

＜実装ポイント＞

• Entraで「MFA必須ポリシー」を設定し、ARM操作に適用します。
• CLIやPowerShellで「Device Code Flow」＋MFAを強制します。
• ログをSentinelに送信し、異常な操作をリアルタイム検知します。

AIエージェントをローカル環境で動かすのは危険です。Windows 365 for Agentsを使えば、Cloud PC上でエージェントの作業を分離し、OSレベルで同意・検証・保護機能を組み込めます。

＜実装ポイント＞

• Windows 365で「専用Cloud PC」を構築し、エージェント専用のセキュア環境を提供します。
• OSレベルで「プロンプト検証」「データ暗号化」「アクセス制御」を適用します。
• Defender for Endpointと連携し、エージェントの挙動を監視します。

AIエージェントの登場により、ゼロトラストの対象は従来の「人・端末・ネットワーク」から「人＋エージェント＋データ」へと拡張されました。これは単なる概念変更ではなく、セキュリティ設計の根本的なシフトです。

なぜ再定義が不可欠なのでしょうか？それには次のような理由が考えられます。

• 攻撃面の急拡大
  AIエージェントは広範な権限を持ち、誤操作や乗っ取りによる被害は人間以上に深刻です。
  
• 新しい脅威モデル
  プロンプトインジェクション、モデル悪用、エージェントの権限昇格など、従来のゼロトラストではカバーできない攻撃が現実化しています。
  
• 自動化によるリスク連鎖
  AIは高速に操作するため、誤った指示や侵害が一瞬で広がります。

1. アイデンティティの拡張
   人間だけでなく、AIエージェントを「管理すべき主体」として扱います。Agent IDの導入、条件付きアクセス、権限スコープの明確化が必須です。
   　

2. データガバナンスの再構築
   従来のDLPや暗号化だけでは不十分です。Purviewでプロンプト監査、危険な指示のブロック、履歴のコンプライアンス対応を実装します。
   　

3. 予測的防御の採用
   DefenderのPredictive Shieldingで、攻撃の次の一手を予測し、事前に防御策を適用します。AIセッションも対象に含めます。
   　

4. 開発から運用までの一貫したセキュリティ統制
   GitHub Advanced SecurityとDefender for Cloudの統合で、コード脆弱性とクラウドリスクを一つのループで管理します。Copilotによる修正自動化でDevSecOpsを加速します。
   　

5. 運用権限のゼロトラスト化
   Azure操作にMFAを必須化し、CLIやPowerShellも含めて認証を強化します。ログをSentinelで監視し、異常操作を即時検知します。
   　

6. 専用実行環境の隔離
   Windows 365 for AgentsでCloud PCを構築し、OSレベルでエージェントの挙動を制御します。エージェントの攻撃面を最小化します。

• 標準化の遅れ
  Agent IDやプロンプト監査の標準仕様はまだ発展途上です。業界全体でのベストプラクティス共有が必要です。
  　
• リスク定量化
  経営層への説明責任を果たすため、AIリスクの定量化モデルを確立することが急務です。
  　
• 自動化とガードレールのバランス
  AIの自律性を高める一方で、誤操作や悪用を防ぐためのガードレール設計が不可欠です。
  　

技術者に求められるのは、概念理解だけでなく、実装レベルでの対応です。

Ignite 2025で発表されたツール群（Agent 365、Purview、Defender、GitHub統合、Windows 365 for Agents）は、そのための具体的な手段を提供しています。次のステップは、これらを組み合わせて「ゼロトラストの再定義」を現場でコード化し、自動化することです。

本記事は Microsoft Ignite 2025 で発表された方向性に基づき、筆者の解釈を含みます。実装時は最新の公式ドキュメント（Microsoft Learn または TechCommunity）をご確認ください。