Security

GenAIセキュリティで重要なAI observabilityとは

3分で読める

概要

Microsoftは、Secure Development Lifecycleのガイダンスを更新し、AI observabilityを生成AIおよびagentic AIシステムにおける中核的なセキュリティ要件として位置付けました。これは単なるパフォーマンス監視の追加機能ではありません。従来のレイテンシや稼働率などの指標が正常に見えても、AIモデルが汚染されたコンテンツやprompt injectionによって操作される可能性があるため、コンテキスト、来歴、プロンプト、応答をより詳細に記録することが、AI固有の脅威を検出し調査するうえで不可欠になります。

Securityでお困りですか?専門家に相談する

Introduction

生成AIとagentic AIが実証実験から本番環境へ移行するにつれ、これらは中核的な業務ワークフローの一部になりつつあります。多くの場合、機密データ、外部ツール、自動化アクションへのアクセスも伴います。Microsoftの最新のセキュリティガイダンスは、こうしたシステムに対して、従来の稼働監視やパフォーマンス監視だけではもはや不十分であることを明確にしています。

What’s new

Microsoftは、安全なAI開発に関する議論を拡張し、AI observabilityをSecure Development Lifecycle (SDL)における重要要件として位置付けています。

Why traditional monitoring falls short

従来のobservabilityは、主に次のような決定論的なアプリケーションシグナルに注目しています。

  • 可用性
  • レイテンシ
  • スループット
  • エラー率

しかしAIシステムでは、システムが侵害されていても、こうしたシグナルが正常なままである可能性があります。Microsoftは、AIエージェントが汚染または悪意ある外部コンテンツを取り込み、それをエージェント間で受け渡し、従来型の障害を発生させることなく未承認のアクションを引き起こすシナリオを示しています。

What AI observability should include

Microsoftによると、AI observabilityは標準的なログ、メトリクス、トレースを超えて進化し、次のようなAIネイティブなシグナルを取得する必要があります。

  • Context assembly: 特定の実行で、どの指示、取得コンテンツ、会話履歴、ツール出力が使われたか
  • Source provenance and trust classification: コンテンツの出所と、それを信頼すべきかどうか
  • Prompt and response logging: prompt injection、複数ターンにわたるjailbreak、モデル動作の変化を特定するうえで重要
  • Agent lifecycle-level correlation: 複数ターンの会話やエージェント間のやり取りを通じて使える安定した識別子
  • AI-specific metrics: トークン使用量、取得ボリューム、エージェントのターン数、モデル更新後の動作変化
  • End-to-end traces: 初期プロンプトからツール利用、最終出力までの可視性

Two added pillars: evaluation and governance

Microsoftはさらに、observabilityを次の要素へと拡張しています。

  • Evaluation: 出力品質、grounding、指示への整合性、適切なツール利用の測定
  • Governance: テレメトリと制御を活用し、ポリシー適用、監査可能性、説明責任を支援

Why this matters for IT and security teams

管理者、セキュリティチーム、AIプラットフォーム責任者にとって、このガイダンスは、AIシステムには確率的かつ多段階の挙動に合わせたセキュリティ制御が必要であることを改めて示しています。より豊富なテレメトリがなければ、prompt injectionの検出、データ流出経路の追跡、ポリシー準拠の検証、エージェントが予期しない動作をした理由の説明が難しくなる可能性があります。

これは、Microsoft 365、業務データ、外部APIに接続されたcopilot、カスタムAIエージェント、retrieval-augmented generationアプリ、自律型ワークフローを展開している組織にとって特に重要です。

組織は、現在のAI監視の実践を見直し、AI固有のリスクを調査するのに十分な詳細を取得できているか評価する必要があります。

主なアクションは次のとおりです。

  • 本番運用中のAIアプリ、copilot、エージェントを棚卸しする
  • 必要に応じて、プロンプト、応答、ツール呼び出し、取得コンテンツのログを有効化する
  • 複数ターンおよびマルチエージェントのワークフロー全体で、会話レベルのトレースを保持する
  • grounding、品質、ポリシー整合性に関する評価プロセスを追加する
  • AI observabilityをgovernance、監査、インシデント対応プロセスと整合させる

Microsoftのメッセージは明快です。AIが本番インフラになりつつあるなら、observabilityはセキュリティベースラインの一部にならなければなりません。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Angela Argentati, Matthew Dressman, Habiba Mohamed and Microsoft AI Securityの元の記事を読む
SecurityAI observabilityGenerative AIagentic AIgovernance

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。