AI Agentを企業で安全に使う方法

**投稿者:** 岸田崇史 | Omluc (@omluc_ai)

**投稿日時:** 2026-02-27

**カテゴリ:** 💻 AI/エンタープライズ

**有益度:** ⭐⭐⭐⭐ (ブックマーク427件, いいね230件)

**元URL:** https://x.com/omluc_ai/status/2027325907434906050

---

概要

AI Agentの企業導入における3つの課題（アクセス範囲の制御・攻撃時の被害抑制・行動の監査）に対して、IT運用の実績ある原則を適用する方法論。

4つの対策

① 権限を、業務に必要な最小限に絞る

• 読めるファイルを指定、認証情報（.env等）や機密フォルダはブロック
• 実行できるコマンドを限定（例：`git commit`は許可、`git push`は確認制）
• 通信先を業務に必要なドメインだけに制限
• **Claude Code:** `managed-settings.json` でIT部門が全社に共通ルールを強制配布可能
• 「人が守る」前提ではなく「システムが強制する」前提で設計

② 実行環境を、本番システムから隔離する

• Docker等のコンテナでファイルシステムとネットワークを隔離
• 主要クラウドのAgent向け隔離環境:

- **AWS** Bedrock AgentCore（セッション単位）

- **Azure** Foundry Agent Service（VNet委任）

- **GCP** Agent Sandbox（Kubernetes Pod単位）

• 本番データが必要な場合は**読み取り専用レプリカ**をAgentに参照させる

③ リスクの高い操作の前に、人間の確認を挟む

操作を3段階に分類：

1. **自動実行** — ファイル読み取りなど

2. **人間の承認後に実行** — 外部へのデータ送信、本番反映など

3. **常にブロック**

Agent実行を一時停止 → Teams/Slackに承認リクエスト → 承認後に再開

④ Agentの行動を記録し、あとから検証できるようにする

記録すべき内容：

• アクセスしたファイル、実行したコマンド、指示元、外部通信
• **「なぜその行動を取ったか」** — 入力コンテキスト・ツール呼び出し順序・推論過程

**Claude Code:** Compliance APIで利用データ、OpenTelemetryでトレース取得

多層防御の考え方

①権限制限 → 突破されても ②環境隔離 → それでも ③承認ゲート → 問題発生時 ④監査記録

各レイヤーが独立して機能するため、一つが突破されても次が守る。

まとめ

AI Agentのセキュリティはまだ発展途上だが、**完璧を待つ必要はない**。

「権限を絞る・環境を隔離する・承認を挟む・記録を残す」の4つを今の自社でできる範囲から始める。