Microsoft Copilot StudioでOWASP Agentic AIリスクに対処

はじめに

Agentic AIは急速に実験段階から本番運用へ移行しており、それに伴ってITチームのセキュリティモデルも変化しています。従来のチャット型AIとは異なり、これらのシステムはデータにアクセスし、ツールを呼び出し、委任されたIDを使って動作できます。つまり、1つのミスが実際の下流アクションを引き起こす可能性があります。

Microsoftの最新ガイダンスでは、新しいOWASP Top 10 for Agentic ApplicationsをMicrosoft Copilot Studioおよび今後提供されるAgent 365の制御機能に対応付けています。管理者やセキュリティチームにとって、これはより安全なAIエージェントを構築するための実践的なフレームワークです。

新しく示された内容

Microsoftは、agenticシステムにおけるOWASPの10の主要リスク領域として、次のような項目を挙げています。

• プロンプトインジェクションや汚染されたコンテンツによるAgent goal hijack
• 安全でないチェーン実行や改ざんされた出力によるツールの誤用と悪用
• 委任された信頼や継承された資格情報を利用したIDと権限の悪用
• サードパーティ製ツール、プラグイン、更新チャネルにおけるサプライチェーンの脆弱性
• 予期しないコード実行と安全でないランタイム動作
• 保存コンテキストや取得システムにおけるメモリおよびコンテキスト汚染
• 安全でないエージェント間通信
• ワークフローや接続システム全体に広がる連鎖的障害
• 人間とエージェント間の信頼の悪用
• 意図した範囲外で動作するrogue agents

これらのリスクを軽減するために、MicrosoftはCopilot Studioが開発時および展開時に組み込みの制御機能を提供すると説明しています。

• 定義済みアクションとコネクタにより、任意のコード実行や安全でないツール利用を制限
• 分離された環境により、障害発生時の影響範囲を縮小
• 再公開要件により、エージェントがその場で自身のロジックを変更することを防止
• 無効化または制限の制御により、不審なエージェントを迅速に封じ込め可能

Microsoftはまた、Agent 365が5月1日に一般提供開始予定であり、展開済みエージェントに対する一元的な可視性、ポリシー適用、ライフサイクルガバナンスが追加されると述べています。

IT部門とセキュリティチームにとって重要な理由

重要なポイントは、agentic AIのリスクは有害な応答だけの問題ではないということです。実際の権限、接続されたツール、自律的な実行によって生じる有害な結果こそが問題です。

IT管理者にとって、これはエージェントのセキュリティを、アプリケーションセキュリティ、IDガバナンス、データ保護を組み合わせたものとして管理すべきことを意味します。チームには可観測性、ガードレール、そしてエージェントが想定外の動作をした際に迅速に介入できる能力が必要です。

次のステップ

Copilot Studioを評価している管理者は、次の点を検討する必要があります。

• ベースラインの制御フレームワークとしてOWASP Top 10 for Agentic Applicationsを確認する
• エージェントの権限、コネクタ、委任されたIDを監査する
• 可能な限り、制約付きアクションと承認済み統合を利用する
• Agent 365を活用した監視、ポリシー適用、インシデント対応を計画する
• エージェントを軽量な自動化スクリプトではなく、管理され監査可能なアプリケーションとして扱う

agentic AIの導入が拡大する中、MicrosoftはCopilot StudioとAgent 365を、大規模で安全なガバナンスの中核ツールとして位置付けています。