ゼロトラスト×Agent 365：AIエージェント統合管理の新基準 | Microsoft Ignite 2025参加レポート

サンフランシスコで開催中の「Microsoft Ignite 2025」に現地参加した社員による、AIエージェント統合管理基盤「Agent 365」に関する講演「Zero Trust, Full Power: End-to-End Security for Agent365」のレポートをお届けします。注目の最新のAIエージェント管理とゼロトラストの重要性が示されました。

今年のMicrosoft Igniteで最も注目を集めていたテーマの一つが「AIエージェントの本格運用時代におけるゼロトラストの重要性」でした。従来、AIエージェントは「実験的なツール」として扱われてきましたが、今や世界中の企業で実運用が進みつつあります。今後のエージェントは単なるスクリプトではなく、自律的に行動する「デジタル同僚」として、複雑なタスクを自動で遂行する存在へと進化しています。

この変化により、エージェントにも人間と同等の「信頼」と「管理」が不可欠となります。具体的には、権限管理、監査・可視化、データ保護・脅威防御を同じレベルで適用しなければなりません。もし信頼が損なわれれば、可視性ギャップによる運用停止や、権限スプロール・オーナー不明エージェントによるライフサイクル管理の破綻が起こります。

この「信頼の再構築」を実現するために設計されたのが、Agent 365です。Agent 365は、AIエージェントの採用・運用を支える「統合コントロールプレーン」として、可観測性（Observability）、ガバナンス、セキュリティを一体化し、エンタープライズ向けのエージェント群を管理します。

Agent 365は、Microsoft製エージェントのみならず、他社や自社開発のエージェントも対象とするプラットフォーム・パブリッシャー非依存の統合基盤です。主なコンポーネントは以下の通りです。

• Microsoft Admin Center
  Agent 365専用ダッシュボードとObservability SDKからのテレメトリを集約し、エージェントの全体状況を可視化します。
• Microsoft Purview
  データ保護・ラベリング・監査・DSPM（Data Security Posture Management for AI）を提供し、AIエージェントのデータ利用を管理します。
• Microsoft Defender
  脅威検知、攻撃パス分析、インシデント対応、ハンティングなどのセキュリティ機能を統合します。
• Microsoft Entra
  ID・アクセス管理、条件付きアクセス、エージェントIDのライフサイクル管理を担います。

特徴的なのは、これら既存の管理・セキュリティ製品を拡張する形でエージェント管理を実現し、「新しい専用ツールを覚えなくてもよい」点です。さらに、Agent 365 Tooling Gatewayにより、エージェントが安全にAPIやツール群へアクセスできるよう制御され、最大限の能力を引き出しつつデータ保護・セキュリティ・コンプライアンスを維持します。

Agent 365の可観測性は、IT管理者、セキュリティ担当、経営層それぞれにとって重要です。IT管理者は「エージェントが影で何をしているか」を把握し、タスクの完遂状況を確認したい。セキュリティ担当はデータが適切に守られているかを確認したい。経営層はAI投資のROIやビジネスインパクトを知りたい。

Agent 365 Observability SDKにより、プラットフォームに依存しない標準的なテレメトリが自動送信され、管理者用ビューが構成されます。Admin Centerの新画面には以下のような機能があります。

• Agent 365 ホーム
  Copilot、エージェント、ユーザーの利用状況を一目で把握。ROI指標や注意が必要な項目（オーナー不在のエージェント、保留中のデプロイリクエスト等）を警告。トレンドエージェントの急増も可視化。
• Agent Registry
  全エージェントの一覧（作成日、プラットフォーム、オーナー、ステータス、利用傾向、更新状況等）。「Agent Risk」フィルタでリスクのあるエージェントを抽出し、学習ガイドで対処方法を提示。
• Agent Map
  組織内エージェントと相互接続を可視化した「全体地図」。通信フロー・アラート箇所をハイライトし、問題エージェントの権限やポリシー設定に直接アクセス可能。
• MCPサーバー・ツール管理
  テナント内のMCPサーバーを一覧し、ビジネスニーズ・リスク評価に基づきBlock/Unblockを設定。
  
• 新規エージェント承認フロー
  新規追加エージェントのレビュー・承認。デフォルトセキュリティテンプレートの確認・カスタマイズ、利用可能ユーザー・グループ設定など。承認後、数分で「secure by default」なエージェントが稼働開始。

AIエージェントは人間よりも速く広範囲のデータを扱い、意思決定に影響を与えるため、不適切な情報取得・共有のリスクが高まります。PurviewはDSPM for AIにより、エージェントのデータ利用状況を可視化し、リスクの高いやり取りや内部不正の兆候を検知します。

データ分類・ラベリング・DLPポリシーはAIエージェントにも適用され、他社MCPサーバー経由のやり取りも含めて監査ログを維持します。デモでは、Activity ExplorerでAIインタラクションの時系列メトリクスやインサイダーリスク事案の詳細テーブルが表示され、リスキーなユーザー操作（例：招待されていない会議情報の取得要求）がブロックされる様子が紹介されました。

Agent Viewでは、エージェント単位でリスク種別、リスキーなアクティビティトレンド、適用中ポリシー数、機密データへのアクセス有無などを確認でき、過剰共有を行っているユーザーに対してDLPポリシーや自動ラベリングを即座に設定し、情報拡散を防止できる点が強調されていました。

AIエージェント自体が攻撃対象となるリスクに対し、Defender for Agent 365はObservabilityログと連携し、脆弱性や不正アクセス、異常なサインイン（例：不可能な移動）、過剰な権限を検出します。攻撃パス分析や自動調査によるインシデント管理が可能で、既存のDefenderポータル内でエージェント関連インシデントも統合管理できます。

デモでは、Comms Agentに関連する高優先度インシデントが「Impossible travel activity」として検出され、2分間隔で異なる国からのアクセスが記録されていました。Sentinel Data Lakeに保存された詳細なイベントログを参照し、インシデントを担当者に割り当て、アカウントを「Compromised」としてブロックする流れが紹介されました。また、KQL（Kusto Query Language）を使った高度な検索や検知ルールの作成により、将来の類似攻撃にも自動で対応できる仕組みが印象的でした。

Microsoft Defender - サイバーセキュリティ ソリューション | Microsoft Security

AIエージェントにも固有のIDを付与し、ライフサイクル・権限・アクセス条件を管理する役割を担うのがEntraです。条件付きアクセスやリスクベースの制御をエージェント＋ユーザーの組み合わせに対して適用し、ユーザーと同じポリシーフレームでエージェントも管理できます。

デモでは、Entra Admin Centerで全体的なセキュリティ状態やアカウント状況を確認し、「エージェントに条件付きアクセスを適用する」などのスマート推奨が表示されました。エージェントごとの作成トレンドや利用状況を把握し、オーナー・権限・ライフサイクル管理などの詳細も確認できます。条件付きアクセス（Restrict access to agents）では、企業ネットワーク内からのアクセス限定や強固な認証（MFA）を追加し、即時にテナント全体へ適用できる点が運用上の強みです。

Microsoft Entra - 安全な ID とアクセス | Microsoft Security

今回の講演を通じて、MicrosoftはAIエージェントが稼働する世界を前提に、Purview / Defender / Entra / Agent 365を統合した「心配なくAgent AIを使える」ためのセキュリティ機能を強くアピールしていました。全てが同じテレメトリ（Agent 365 Observability）の上に統合され、「同じログ・同じ事実」をもとに各ツールが連携して動くことで、新しいAIエージェントも既存のセキュリティ運用の延長線上で管理できるという点が強調されていました。

今回のIgniteで最も印象的だったのは、「Microsoftスタックだけでここまでできる」と示されたことです。従来のSIEMやEDR、CSPMなどのベンダー製品は、コスト面・運用面でますます不利になり、「まとめてMicrosoftに寄せよう」という流れが加速しそうだと感じました。実際には他社製とも連携可能としつつも、「ベースラインはMicrosoftに」という方向になるのかもしれません。

AIエージェントはもはや単なるツールではなく「同僚」に近く、「どのエージェントにどこまで権限を与えるか」というガバナンス設計が今後ますます重要になります。その際に必要なのは、システムや製品の知識以上に「業務そのものへの深い理解」であり、業務を知らない運用者・セキュリティ担当者は今後の世界では戦いづらくなると強く感じました。

Microsoft Ignite 2025の現場から、AIエージェント運用の「いま」と「これから」を体感できる貴重なセッションでした。今後もこの分野の進化に注目していきたいと思います。