株式会社サイバーセキュリティクラウド テックブログPublicationへの投稿
👀

【CODE BLUE 2025 レポート】Agentic Web Security

カンバヤシ
に公開
AI
Security
AIエージェント
codeblue
idea

はじめに

先日、セキュリティイベント「CODE BLUE」に参加しました。
本記事では、聴講したセッション「Agentic Web Security」について、投影スライドと当日の内容を基に、私自身の言葉でまとめています。

イベント概要

  • イベント名:CODE BLUE Tokyo 2025
  • 開催日:2025年11月18日, 19日
  • 開催場所:ベルサール高田馬場

https://codeblue.jp/

Speaker

三井物産セキュアディレクション株式会社 - 高江洲 勲 氏
https://www.mbsd.jp/

レポート

Agentic Webの基本概念

MCP(Model Context Protocol)やA2A(Agent-to-Agent)といったエージェント・プロトコルの登場により、マルチエージェントシステム(MAS:Multi-Agent-System)が注目を集めています。
MASは複数のAIエージェントや外部ツールとネットワーク経由で連携し、複雑な処理を自律的に実行できる基盤として、今後社会実装が進むことが予想されます。
従来の「人間がWebブラウザを通じて情報を取得し、サービスを利用する」という内容は、「AIエージェント同士がやり取りを行い、人間に最適な情報やサービスを提供する」という内容に進化しつつあります。
つまり、Webという場における実行者が人間からMASに替わることで、新しいWeb(Agentic Web)に進化するということです。

例えば、旅行の計画を考えてみましょう。人間が行う場合、Webブラウザで観光地の概要、目的地までの経路や所要時間、滞在時間、予算、食事などの様々な情報を収集し、取捨選択をして立案し、必要に応じて予約を行う、といった流れになると思います。
得意不得意もありますが、かなり骨が折れる内容です。しかし、MASが行う場合、人間は旅行についての要件や希望をAIエージェントに伝えるだけで、裏側でAIエージェント同士がやり取りを行い、立案から予約までが完了することになります。
MASが行う旅行計画の概略図
MASが行う旅行計画の概略図

Agentic Web特有のリスク

Agentic Webによって利便性が高まりますが、同時にリスクも発生します。
Agentic Webでは、入出力 / 記憶 / 外部ツール / サプライチェーン / エージェント連携 などの攻撃面が多層化し、従来のWebにはなかった誤誘導 / 不正操作 / 欺瞞(ぎまん) / 信頼破壊 といったセキュリティリスクが顕在化します。
Agentic Web特有の新たなリスクは、システム内外や組織な以外にわたって広範に分布し、予兆検知やインシデント発生時の対応が困難な状況にあるのが実状です。
WebとAgentic Webのリスク観点差異
WebとAgentic Webのリスク観点差異

既に、便利なMCPサーバを提供して、裏側で悪意ある処理を行う(MCPサーバを使用してメールを送信する際に、BCCを勝手に追加される)事例が発生しています。

The Hacker News:"First Malicious MCP Server Found Stealing Emails in Rogue Postmark-MCP Package

Agentic Webを安心安全に使用するために

MASのセキュリティ対策ガイドラインや脅威モデリングフレームワークが登場しています。

  • OWASP Top 10 for LLM Applications 2025
    • AIエージェントの思考基盤となる、LLMに特有の脅威と対策をまとめたガイドライン
  • OWASP Agentic AI - Threats and Mitigations
    • Agentic AI (≒ MAS)に特有の脅威と対策をまとめたガイドライン / 脅威モデリングフレームワーク
    • 脅威は、T1〜T15を定義
    • 6つの対策観点
  • CSA MAESTRO
    CSA(Cloud Security Alliance)が提案した脅威モデリングフレームワーク

また、高江洲氏は、MASにおける信頼境界は以下の4つに区分できると述べています。

信頼境界 概要
人間 - AIエージェント 人間とAIエージェントの境界
AIエージェント - ツール / データストア AIエージェントが内外のツールやデータストアと連携する境界
AIエージェント - AIエージェント AIエージェント同士が協調する境界
環境設定 MASの動作環境に係る境界

信頼境界ごとに脅威を洗い出すことで、脅威と対策の抜け漏れを防ぐことができます。

ここからは、それぞれの信頼境界について、詳しく見ていきます。
対策観点の例に対応する手法は、OSSといったすぐに利用可能なものが紹介されました。

人間 - AIエージェント

  • 境界の例
    • 人間からAIエージェントへの指示
    • AIエージェントから人間への回答を検証
  • 想定される脅威
    • プロンプトインジェクションによるエージェントの意図や目標の書き換え
    • Human-in-the-Loopの悪用 (人間の判断を誘導し、誤った行動を誘発)
  • 対策観点の例
    • 入出力内容の検証 (ガードレールの強化)
    • AIエージェントの目標整合性チェックと役割の固定化
  • 手法

AIエージェント - ツール / データストア

  • 境界の例
    • MCPを介した通信の検証
    • 信頼できるMCPサーバの利用
  • 想定される脅威
    • ツールや外部API / MCP サーバを悪用したAIエージェントの権限逸脱や不正操作
    • データストアや記憶の改ざんによる、AIエージェントの挙動の汚染
  • 対策観点の例
    • AIエージェントの最小権限化とツール呼び出しの監査
    • 信頼できるMCPサーバの利用
    • (記憶を含む)AIエージェントの外部参照情報(コンテキスト)の監査
  • 手法

AIエージェント - AIエージェント

  • 境界の例
    • A2Aを介した通信の検証
    • 信頼できるAIエージェントの連携
  • 想定される脅威
    • A2A通信のなりすまし
    • 悪意あるAIエージェントによる攻撃
    • タスクのリプレイ攻撃やタスクの実行結果(Artifact)の改ざんによる不正連携
  • 対策観点の例
    • AIエージェント間の通信の認証と署名 (ID管理)
    • MASに存在するAIエージェントの信頼性を可視化し、悪意あるAIエージェントを検知
  • 手法

環境設定

  • 境界の例
    • 認証認可制御やMASの可視化
    • AIエージェントの行動追跡ログの取得と管理
  • 想定される脅威
    • 設定不備や脆弱な初期設定を突いたサービス障害
    • RAG / データ / モデル の品質不良を利用した誤誘導や不正回答
    • 未承認のMCPサーバやAIエージェントとの連携による各種侵害
    • ログの取得不備による可監査性の損失
  • 対策観点の例
    • MCPサーバやA2Aサーバの認証認可設定の適正化
    • MAS全体の可視化 (MAS内に存在するAIエージェントやMCPサーバの可視化)
    • RAG / データ / モデル の品質監査とログの保全
  • 手法
    • Agentic Radar (MASを可視化する)
    • AgentOps (AIエージェントの行動を追跡することで可監査性を担保するツール)

まとめ (実運用を見据えたAgentic Web Security)

AIエージェントがツールを呼び出し、他エージェントと連携してタスクを実行する環境では、従来のWebとは異なる攻撃面が生じます。
プロンプトインジェクション / 記憶の改ざん / ツール権限の濫用 など、MAS特有の挙動を前提とした保護モデルが必要です。

そのためには、入出力検証やツールの呼び出しの最小権限化 / 記憶の監査 / 行動ログの体系化 など、セキュリティと運用の保護観点が欠かせません。
また、MASはブラックボックス化しやすいため、追跡可能性を確保し、異常行動を早期に検出する必要があります。
本領域では、AI Firewall / AgentOps / MCP監査 といった新しい運用技術が整備され始めています。
最適な技術スタックを適切に組み合わせ、リスクを構造的に管理することがAgentic Web時代の基本方針となります。

MASの価値を最大化させるには、MAS導入の初期段階から"安全に使える基盤づくり"を注力することが重要です。
将来のセキュリティや運用コスト削減と、ビジネス継続性の確保に繋がります。
マルチエージェントシステムの全容の把握(システムの全体構成の把握)が重要であり、可視化や追跡可能性を確保することが推奨されます。

感想

「人間はAIエージェントを信用する傾向があるため、欺瞞というリスクが発生する」という指摘が印象的でした。
AIの性能向上に合わせて、最初は疑心的だった人も一定の信頼を抱くようになってきていると感じています。
自分も例外ではないため、セキュリティに携わる人間として、これからのAIのリスクについて学ぶことができて良かったと思います。
引き続き、勉強を続けていきたいです。

株式会社サイバーセキュリティクラウド テックブログ
株式会社サイバーセキュリティクラウド テックブログPublication

「世界中の人々が安心安全に使えるサイバー空間を創造する」 この理念を掲げ、世界有数のサイバー脅威インテリジェンスとAI技術を活用した、WEBアプリケーションのセキュリティサービスを全世界に向けて提供しています。

Discussion