Security

生成AIアプリの脅威モデリング: Microsoftの新指針

3分で読める

概要

Microsoftは、生成AIやエージェント型AIアプリでは、これまでの脅威モデリングだけでは不十分だと説明しています。こうしたシステムは非決定的で、prompt injectionによる操作を受けやすく、さらにツール、メモリ、自律的なワークフローとの接続が進んでいるためです。このガイダンスは、securityチームがツールの誤用、権限昇格、静かなデータ漏えいといったAI特有のリスクを、実際の悪用に発展する前に予測するうえで重要です。

Securityでお困りですか?専門家に相談する

はじめに: なぜ重要なのか

脅威モデリングは、現実世界での障害や敵対的な悪用が起きる前の早い段階で、何が問題になり得るかをチームが特定するのに役立ちます。Microsoftは、AIアプリケーション、特に生成AIやエージェント型システムは、従来の決定論的ソフトウェアにおける多くの前提を崩すと指摘しています。そのため、securityチームは、確率的な出力、拡大した攻撃対象領域、人間中心の被害を考慮できるように、脅威モデリングのアプローチを適応させる必要があります。

新たなポイント: AIが脅威環境をどう変えるか

Microsoftは、AIにおける脅威モデリングを根本的に変える3つの特性を挙げています。

  • 非決定性: 同じ入力でも実行ごとに異なる出力が生じる可能性があり、まれでも影響の大きい結果を含め、起こり得る挙動の範囲を分析する必要があります。
  • 指示追従バイアス: モデルは有用であるよう最適化されているため、prompt injection、強制、操作の影響を受けやすくなります。特に、データと指示が同じ入力チャネルを共有する場合に顕著です。
  • ツールとメモリによるシステム拡張: エージェント型システムはAPIを呼び出し、状態を保持し、ワークフローを自律的に実行できます。問題が発生すると、障害がコンポーネント間で急速に連鎖する可能性があります。

こうした特性により、従来からあるリスクは次のような新しい形で現れます。

  • 直接的および間接的な prompt injection(モデルが取得した外部コンテンツ経由のものを含む)
  • ツールの誤用と chaining を通じた権限昇格
  • 静かなデータ流出(出力やツール呼び出しを通じて機密情報が漏れること)
  • 自信ありげだが誤った出力が事実として扱われること
  • 信頼の低下、過度な依存、バイアスの強化、説得的な誤情報といった人間中心の被害

攻撃ではなく資産から脅威モデルを作る

重要な推奨事項の1つは、何を保護するのかを明確に定義することから始めることです。AIの資産は、databaseや資格情報だけにとどまらないためです。代表的なAI特有の資産には次のものがあります。

  • ユーザーの安全(特にAIのガイダンスが行動に影響する場合)
  • 出力や振る舞いに対するユーザーの信頼
  • 機密性の高い業務データやユーザーデータのプライバシー/セキュリティ
  • prompt、指示、コンテキストデータの完全性
  • エージェントのアクションとその下流への影響の完全性

この資産優先の考え方は、ポリシー判断を早い段階で迫ることにもつながります。システムが決して実行してはならない行動は何か。 利益の有無にかかわらず、受け入れられない結果もあります。

実際に構築したシステムをモデル化する

Microsoftは、AIの脅威モデリングは理想化された図ではなく、実際の運用を反映しなければならないと強調しています。特に次の点に注意が必要です。

  • ユーザーが実際にどのようにシステムとやり取りしているか
  • prompt、メモリ、コンテキストがどのように組み立てられ、変換されるか
  • どの外部ソースを取り込み、どのような信頼前提が存在するか
  • システムがどのツール/APIを呼び出せるのか(そしてどの権限の下で呼び出せるのか)
  • アクションがリアクティブなのか自律的なのか、また人の承認がどこで強制されるのか

AIシステムでは、prompt assembly pipeline が第一級のセキュリティ境界になるといえます。コンテキストの取得、変換、保持、再利用の各所に、「静かな」信頼前提が蓄積していくためです。

IT管理者とプラットフォーム所有者への影響

AIソリューション(カスタムアプリ、Copilot、エージェント型ワークフロー)を展開する管理者にとって、このガイダンスは次の領域までコントロールを広げる必要があることを示しています。

  • data-to-prompt-to-action の経路全体(モデルのホスティングだけでは不十分)
  • tool access と下流の自動化に対する権限とガードレール
  • 予期しない出力、異常なツール呼び出し、データ流出パターンに対する運用監視

アクション項目 / 次のステップ

  • AI資産を棚卸しする: 信頼、安全、指示/コンテキストの完全性を含めます。
  • prompt pipeline をエンドツーエンドで可視化する: ソース、取得、変換、メモリ、再利用を整理します。
  • 影響の大きいアクションに対して、ツール権限を制限し、人の承認を必須にします。
  • injection と誤用をテストする: 取得コンテンツを介した間接的な prompt injection も含めます。
  • 事故を前提に備える: UX上の注意喚起、検証ステップ、エスカレーション経路で過度な依存を緩和します。

Securityでお困りですか?

私たちの専門家がMicrosoftソリューションの導入と最適化をお手伝いします。

専門家に相談する

Microsoftテクノロジーの最新情報を入手

Scott Christiansen, Alyssa Ofstein and Neil Colesの元の記事を読む
AI securitythreat modelingprompt injectionagentic AIrisk management

関連記事

Security

Trivy サプライチェーン侵害: Microsoft Defender 対応ガイダンス

Microsoft は、2026年3月の Trivy サプライチェーン侵害について、検知、調査、緩和策のガイダンスを公開しました。このインシデントは、信頼された CI/CD セキュリティツールが通常どおり動作しているように見せかけながら、ビルドパイプライン、クラウド環境、開発者システムから認証情報を窃取するために悪用された点で重要です。

Security

AI agent governance: セキュリティのための意図整合

Microsoft は、ユーザー、開発者、ロールベース、組織の意図を整合させる AI agent 向けガバナンスモデルを提示しています。このフレームワークは、行動の境界と競合時の明確な優先順位を定義することで、企業が agent の有用性・安全性・コンプライアンスを維持するのに役立ちます。

Security

Microsoft Defender予測シールディングがGPOランサムウェアを阻止

Microsoftは、Defenderのpredictive shieldingが暗号化開始前に悪意ある Group Policy Object(GPO)の悪用を検知した、実際のランサムウェア事例を詳しく説明しました。GPOの伝播を強化し、侵害されたアカウントを遮断することで、Defenderは暗号化の試行を約97%阻止し、GPO配信経路を通じたデバイスの暗号化を防ぎました。

Security

Microsoft Agentic AI セキュリティ新機能をRSACで発表

RSAC 2026でMicrosoftは、企業向けAIのより包括的なセキュリティ戦略を発表しました。その中核となるのが、AIエージェントの統制と保護を担う新しいコントロールプレーン **Agent 365** で、5月1日に一般提供開始予定です。さらに、Defender、Entra、Purview、Intune全体でのAIリスク可視化とID保護の拡張、新たなshadow AI検出ツールも発表され、AI活用の保護が企業のセキュリティ運用の中核になりつつあることが示されました。

Security

CTI-REALMでAI検知エンジニアリングを評価する新ベンチマーク

Microsoftは、AIエージェントが脅威インテリジェンスレポートの解釈からKQLおよびSigma検知ルールの生成・改善まで、検知エンジニアリング業務をエンドツーエンドで実行できるかを検証するためのオープンソースベンチマーク「CTI-REALM」を発表しました。これは、SOC運用におけるAIの評価において、単純なサイバーセキュリティQ&Aではなく、実環境にまたがる測定可能な運用成果に焦点を当てた、より現実的な手法をセキュリティチームに提供する点で重要です。

Security

Microsoft Zero Trust for AI ワークショップとアーキテクチャ

Microsoft は Zero Trust for AI ガイダンスを導入し、Zero Trust Workshop に AI に特化した柱を追加するとともに、Assessment ツールを新しい Data と Network の柱で拡張しました。この更新は、企業が prompt injection、data poisoning、過剰なアクセスといったリスクから AI システムを保護しつつ、約 700 のコントロールを通じてセキュリティ、IT、業務チームの足並みをそろえるための体系的な方法を提供する点で重要です。