Microsoft Agent 365正式版リリース
あなたの従業員が使用しているAIエージェントを、本当に把握できていますか?開発者がこっそり導入したAIコーディングアシスタント、営業担当者が契約書分析に使用しているAIツール、経理部門が業務効率化のために活用している自動ワークフロー――これら「シャドーAI」の広がりが、企業セキュリティの新たな脅威となっています。Microsoftが先週正式リリースした「Agent 365」は、まさにこのシャドーAI問題に対処するための統制管理プラットフォームです。企業のIT部門は今、自律型AIエージェントの急増にどう対応すべきか、その戦略的アプローチが求められています。
1. シャドーAIがもたらす新たな企業リスクの実態
シャドーAIとは、従業員がIT部門の承認なしに導入・使用しているAIエージェントの総称です。Microsoftの調査によると、多くの企業で従業員が少なくとも3〜5種類の未承認AIツールを使用している実態が明らかになっています。特に開発者部門では、AIコーディングアシスタントの導入が急速に進んでおり、その83%が正式な承認プロセスを経ていません。
MicrosoftのAIセキュリティ担当副社長デビッド・ウェストン氏は「企業は今、自律型AIエージェントの可能性を活用することと、制御不能な状態になることの間のバランスを見出そうと苦戦しています」と指摘します。シャドーAIが引き起こす主なリスクは以下の3つに分類できます。
1. バックエンドシステムへの不正接続
開発者がAIエージェントを重要なバックエンドシステムに接続し、インターネットに認証なしで公開してしまう事例が急増しています。これにより、個人情報や機密データの漏洩リスクが大幅に高まっています。
2. プロンプトインジェクション攻撃
攻撃者がAIエージェントが読み取る可能性のあるデータソース(チケットシステム、Webサイト、Wikiなど)に悪意のある指示を埋め込む「クロスプロンプトインジェクション」が新たな脅威として登場しています。
3. データ保護システムの不備
AIエージェントのアクセスパターンを想定していない従来のDLP(データ損失防止)システムが、機密データを外部ベンダーに誤って公開してしまう事例も確認されています。
2. Agent 365の基本機能と統制管理の仕組み
Agent 365は、AIエージェントを統制管理するための中央集権的なプラットフォームとして設計されています。ユーザーあたり月額15ドルで提供され、Microsoft 365 E7スイートの一部としても利用可能です。
主な機能特徴は以下の通りです。
- エージェントの自動発見とインベントリ管理
- ポリシーベースのアクセス制御とガードレール設定
- マルチクラウド環境での統合管理
- リアルタイム監視とアラート機能
Agent 365では3種類のAIエージェントを管理対象としています。ユーザーの代わりに動作するエージェント(例:メール整理アシスタント)、独自の認証情報で動作する自律型エージェント(例:サポートチケット自動振り分けシステム)、チームワークフローに参加するエージェントです。現在、最初の2カテゴリが一般提供されており、3つ目のカテゴリはパブリックプレビュー段階にあります。
3. 未承認AIツール検出と管理の最新手法
Agent 365の最も革新的な機能の一つが、従業員のデバイス上で動作する未承認AIエージェントの自動検出機能です。Microsoft DefenderとIntuneを連携させることで、管理対象Windowsデバイス上で動作するOpenClawエージェントを検出できます。
IT管理者はMicrosoft 365管理センター内の「シャドーAI」ページで、どのデバイスがOpenClawを実行しているかを確認し、Intuneポリシーを適用して一般的な実行方法をブロックできます。Microsoftは2026年6月までにGitHub Copilot CLIやClaude Codeを含む18種類のエージェント検出に対応する計画です。
ウェストン氏は「エンドポイントでの可視性を活用することで、推論エンドポイントを呼び出している多様なアプリケーションを検出できます」と説明します。検出されたエージェント情報はIT部門に提供され、それらが適切なものか、リスクをもたらすものかの判断を支援します。
4. Microsoft DefenderによるAIエージェントの影響範囲分析
2026年6月からは、Microsoft Defenderが「アセットコンテキストマッピング」機能を提供します。これは、AIエージェントが侵害されたり誤動作したりした場合の潜在的な「ブラスト半径(影響範囲)」を分析する機能です。
この機能は、エージェントが実行されているデバイス、接続しているMCPサーバー、関連するID、およびそれらのIDがアクセスできるクラウドリソースを表示する関係グラフを構築します。ウェストン氏は「ブラスト半径は、アセットインベントリを取得し、各アセットをグラフのノードに変換して計算されます。エッジは、異なるアセットやデータソースがどのように接続されているかを表します」と技術的な背景を説明します。
この分析により、セキュリティチームは「信頼されていないAIエージェントを実行しているデバイスが、重要な業務データベースに接続されている」といった複合リスクを特定できます。既存のクラウドベースのアセットグラフまたはエンドポイントデータから計算されるため、非常に精度の高い分析が可能です。
5. マルチクラウド環境でのエージェント統制管理
Agent 365のもう一つの特徴は、AWS BedrockやGoogle Cloud(Google Gemini Enterprise Agent Platform)など、競合プラットフォーム上のエージェントも管理できる点です。新たなパブリックプレビュー機能により、ITチームはこれらのプラットフォーム上のエージェントを自動的に発見、インベントリ化し、基本的なライフサイクル管理(開始、停止、削除など)を実行できます。
ウェストン氏は「単一のコントロールプレーンとして、お客様がいる場所に対応する必要があります。多くのお客様はマルチクラウド環境です」と説明します。クラウドプロバイダーによって利用可能な制御の深度は若干異なりますが、ほとんどのシナリオで「かなり同等の機能」が提供されるとしています。
また、Microsoft EntraネットワークコントロールをMicrosoft Copilot StudioエージェントやOpenClawなどのローカルエージェントのトラフィックにも拡張。セキュリティチームはエージェントのネットワークアクティビティを監視、未承認のAI使用を特定、承認されたWeb宛先への接続を制限、危険なファイル転送をフィルタリングできます。
6. Windows 365 for Agentsによる高リスクワークロードの分離
従業員のエンドポイントで直接AIエージェントを実行することに不安を感じる企業向けに、Microsoftは「Windows 365 for Agents」のパブリックプレビューも提供します。これはエージェントワークロード専用に設計された新しいクラウドPCクラスで、Intuneを通じて管理され、人間の従業員に適用されるのと同じIDおよびセキュリティ制御の対象となります。
ウェストン氏はこの機能をセグメンテーション戦略と位置付けています。「セキュリティ原則の観点からは、より多くのセグメンテーションを実現できればできるほど優れています」と述べ、軍事施設などの高セキュリティ環境では情報を分離することが不可欠であると説明します。
このパブリックプレビューには、Agent 365ライセンス、Intuneライセンス、およびアクティブなAzureサブスクリプションが必要です。現在は米国に限定されて提供されていますが、段階的に拡大される予定です。
