AI agent との通信をどう保護するのか
TL;DR
- AI agent は人間のようなユーザーの振る舞いと、アプリケーションのような振る舞いの両方を持ち合わせている
- そのトラフィックはほとんど HTTPS 通信
- じゃあ CASB や SWG で保護できるんじゃあないの、という話
はじめに
AI agent は人間のようなユーザーの振る舞いと、アプリケーションのような振る舞いの両方を持ち合わせているんじゃあないかという話を書いてみます。
んで、じゃあそのトラフィックってほとんど HTTPS だし、 CASB や SWG で保護できるんじゃあないの、という話です。
AI agent と協同する世界
巷では AI agent の作成方法についてやんややんややっている状況ではありますが、では実際にそういった AI agent が数多くある世界はどのようなものでしょうか。
こちらは先日の Microsoft Ignite 2025 の中でさんざん見た数字ではありますが、2028 年には 13 億の agent が存在するそうです。
Microsoft Ignite 2025 - BRK269 - Slide 7
そういった AI agent まみれの世界において、そのかかわり方は 2 種類が考えられます。
1 つは 人間 と AI agent、もう 1 つは AI agent と AI agent です。
human to agent, and agent to agent communication
ここではまとめて書いていますが、人間が今までのように vscode から MCP サーバーを叩くような例のほかに、人間が AI agent に指示を出し、その AI agent がインターネットから情報を収集したり、MCP サーバーを叩くようなケースも考えられます。
さらに、AI agent から AI agent へと指示を出し合い、連携してタスクをこなすようなケースも考えられます。
それぞれの AI agent は、例えば coding、review、test などといった役割を持たせるイメージです。
で、このそれぞれの矢印を考えたとき、AI agent が SaaS のようなアプリとしての性質と、人間のようなユーザーとしての性質の両方を持ち合わせているのではないか、と考えられます。
んで、じゃあそのほとんどって HTTPS 通信なんじゃあないの、と思うと、CASB や SWG で保護できるんじゃあないの、という発想に至ります。
Microsoft Agent 365 と Microsoft Entra
先ほどのと同じ Breakout session のスライドを引用しますが、Microsoft Agent 365 には Microsoft Entra が含まれると書かれています。
ここでいう Microsoft Entra とは、具体的には、Conditional Access および Internet Access が該当すると考えています。
Microsoft Ignite 2025 - BRK269 - Slide 14
人間から agent の通信も、Web への通信も、MCP への通信も、agent から agent への通信も、すべて HTTPS 通信であると考えたとき、Microsoft Entra Internet Access (MEIA) によって保護できるのではないか、という考え方です。
もちろん、具体的に見ればそれ以外の protocol もあるでしょうが、現在の世の中の通信のほとんどが HTTPS であることを考えると、SWG によりそのほとんどがカバーされるというのは非常に親和性が高い話になってきます。
Microsoft Copilot Studio と Global Secure Access
今まで Microsoft Copilot Studio と Global Secure Access なんて、絶対にかかわることのない 2 つの product だと思っていましたが、ここにきてその組み合わせが preview となっています。
つまり、Microsoft Copilot Studio 上で (managed な host の上で) 動作する agent に対して、 GSA の Microsoft Entra Internet Access を利用して保護できるようになった、という話です。
まだ preview ですし、具体的に試したわけではないのですが、上記のような考え方がある程度正しいことを示唆しているのではないかと信じています。
そのほかの platform で動く agent に対する保護
Microsoft Copilot Studio で動作する agent であれば、その platform を含めて Microsoft が管理しているため、こういった連携が可能だと思います。
ただし、近い将来、agent は様々な環境で動作しており、Azure Functions であったり、他社パブリック クラウド、もしかしたらオンプレミスで、ということも考えられるかもしれません。
そういった場合に、どこまで保護が可能かというのはまだわかりませんが、Microsoft Agent 365 SDK がその一助となると理解しています。
この記事では Microsoft Agent 365 SDK の詳細については触れませんが、また説明できたらと思います。
まとめ
ということで、AI agent は人間のようなユーザーの振る舞いと、アプリケーションのような振る舞いの両方を持ち合わせているんじゃあないかという話を書いてみました。
まだ preview の話ではありますが、Web の検索だって、MCP サーバーへの通信だって、AI agent への通信だって、結局技術的には HTTPS 通信であることが多いでしょうから、CASB や SWG で保護できるのではないか、そうかな?そうかも?みたいな話でした。
答え合わせができるのはまた数か月後かなと思います、お楽しみに!
参考
- Explore Microsoft Agent 365 security and governance capabilities
- Microsoft エージェント ID プラットフォームの基本的な概念 - Microsoft Entra Agent ID | Microsoft Learn
- Copilot Studio エージェントに対するグローバルなセキュアアクセス (プレビュー) - Power Platform | Microsoft Learn
Discussion