agensby homulaデモ・お問い合わせ

Engineering · セキュリティ

agens のセキュリティ設計 — AI に安全に業務を任せる仕組み

実行型AIを安全に使う鍵は、AIを信用することではなく、危険な操作が“そもそもできない”構造にすること。agens は隔離・最小権限・通信制御・人間の承認・監査の多層で、AIの操作を囲みます。

要点

  • 実行型AIのリスクは、AIが賢いかどうかではなく“何ができてしまうか”で決まる。
  • 危険が生まれやすいのは「機密データ」「外部からの指示混入」「外部送信」の3つが揃ったとき。1つでも断てばリスクは大きく下がる。
  • agens は 隔離(サンドボックス)→ 最小権限 → 通信制御 → 人間の承認 → 監査・巻き戻し の多層で守る。
  • Anthropic も Claude Code をファイル・ネットワークで隔離(許可外の送信を既定で遮断)。実行型AIではサンドボックスが前提。
  • 全操作はタスク単位で記録され、必要なら巻き戻せる。オンプレミス/国内リージョンにも対応。

『賢いAI』より『危険なことができないAI』

AIに業務を任せるとき、安全性をAIの賢さに頼るのは危うい設計です。どれだけ優秀でも、外部から紛れ込んだ指示に乗ってしまうことはある。だから agens は、AIを信用するのではなく、危険な操作が“構造的にできない”ことを土台にしています。

考え方はシンプルです。AIに固定の強い権限を渡さず、操作を閉じた場所に閉じ込め、外への送信を絞り、重要な操作は人が確かめ、すべてを記録して必要なら戻せるようにする。一つの仕組みに頼るのではなく、層で守ります。

危険が生まれやすい3つの条件

セキュリティ研究では、AIエージェントが危険になりやすいのは、(1) 機密データに触れられ、(2) 外部からの指示が紛れ込み、(3) その情報を外部へ送れる——この3つが同時に揃ったとき、と整理されています(Simon Willison が『lethal trifecta』と呼ぶ枠組み、2025-06)。逆に言えば、どれか1つを断つだけで危険は大きく下がります。

外部からの指示の紛れ込みは『プロンプトインジェクション』と呼ばれ、OWASP の LLM アプリ向けリスク一覧(2025年版)でも筆頭に挙げられています。完全に防ぐ“魔法の一手”はない、というのが現在の共通認識です。だからこそ agens は、3つの条件が揃わないように構造で囲みます——機密に触れる作業はサンドボックスに閉じ込め、外部送信は既定で絞る、というように。

一つの仕組みでなく、層で囲む

監査・巻き戻し ― 全操作を記録し、戻せる人間の承認 ― 重要操作は人がゲート通信制御 ― 既定で外部送信を遮断最小権限 ― タスク単位で限定接続隔離 ― サンドボックスAI がツールを操作
AIの操作を、隔離(サンドボックス)→最小権限→通信制御→人間の承認→監査・巻き戻しの多層で囲む。どこか1層が破れても、ほかの層が止める。

各層が何をするか

隔離:作業はタスクごとの使い捨てサンドボックスの中だけで行い、終われば破棄します。最小権限:必要なツールに、必要なときだけ、必要な範囲で接続します(固定の強い権限を渡しっぱなしにしない)。通信制御:外部への送信は既定で絞り、許可した宛先だけに限ります。

人間の承認:影響の大きい操作は、人がゲートで確かめてから実行します。監査・巻き戻し:誰が何をAIにやらせたかをタスク単位で記録し、必要なら操作を取り消せます。

この“実行を隔離し、認証情報を作業環境に置かない”という発想は agens 固有のものではありません。Anthropic は Claude Code でファイルとネットワークを隔離し(許可外の送信を既定で遮断、これで人への確認を約84%削減と報告、2025-10)、OpenAI も『プロンプトインジェクションや情報持ち出しを前提に設計すべき』と明言しています(2026-04)。agens は同じ前提に立ち、日本企業向けの統制まで束ねています。

誰が何をAIにやらせたか、すべて残る

AI タスク:「請求書を処理して」巻き戻し ― 操作を逆順に取り消す操作1DB を更新操作2ファイル作成操作3Slack 通知監査ログ誰が・何を・いつ — タスク単位で全操作を記録
1つのAIタスクを構成する各操作が監査ログに記録され、必要なら操作を逆順に取り消して巻き戻せる。

🛡 だから、安全に任せられる

隔離・最小権限・通信制御・人間の承認・監査と巻き戻し——層で守るから、AIに自律実行させても統制を失いません。サンドボックスも記録も、オンプレミスや国内リージョンで完結させられます。なお一部のエンタープライズ向けガバナンス機能は順次提供のため、要件はエンタープライズのページでご確認ください。

関連

概念を学ぶ(homula.jp)AIエージェントのセキュリティ製品で見る(homula.ai)コントロール(監査・権限・統制)

よくある質問

AIに権限を渡して危なくないですか?
固定の強い権限を渡しっぱなしにはしません。タスクごとのサンドボックスで必要な範囲だけに接続し、外部送信を絞り、重要な操作は人が確認、全操作を記録して必要なら巻き戻します。一つの仕組みでなく層で守る設計です。
プロンプトインジェクションは防げますか?
完全に防ぐ単一の手段は存在しない、というのが現在の共通認識です。agens は『危険な操作がそもそもできない』構造——隔離・最小権限・外部送信の制御・人間の承認——で影響範囲を抑え、万一のときも監査と巻き戻しで対応できるようにしています。
何が記録され、どこまで巻き戻せますか?
誰が何をAIにやらせたかをタスク単位で記録します。必要なら操作を逆順に取り消して巻き戻せます。統制機能の詳細は agens のコントロールのページをご覧ください。
データを社外に出さずに使えますか?
はい。サンドボックスもデータ・成果物も、オンプレミスや国内リージョンで完結させられます。詳しくはオンプレミスのページをご覧ください。
LLM やエージェントのセキュリティリスクとは何ですか?
プロンプトインジェクションや過剰な権限付与(excessive agency)などが代表的です。概念の体系的な解説は homula.jp の学習ガイドにまとめています。

最終更新: 2026-06

agens を実際に動かしてみませんか?

デモ・お問い合わせagens を詳しく見る他の技術解説を見る