こんにちは、NRI の鎌田です。私は現在、AI を活用したレガシーシステムのリライトの技術支援やソリューション開発に携わっています。AI エージェントは自律的かつ高速に動作し、高い問題解決能力を持つ一方で、悪意のある指示1つで甚大な被害を与えてしまうリスクがあります。そのため、従来のセキュリティ対策では不十分な新たな脅威が顕在化しています。

私は先日ラスベガスで開催された Google Cloud Next '26 の「Agent security at scale: Protect against the OWASP Top 10 application risks」というセッションに参加してきました。本記事ではセッション内で語られていた AI エージェント OWASP TOP10 に対する Gemini Enterprise Agent Platform での解決策について紹介します。

 

OWASP Top10 は、非営利団体である OWASP（Open Worldwide Application Security Project）が研究結果に基づき、アプリケーションにおける最も深刻な10のセキュリティリスクを特定、分類した文書になります。2025年12月に AI エージェントに特化した「Top 10 risks against agentic applications」が公開されました。

公開された Top10 のセキュリティリスクは以下となります。

リスクID	リスク名	内容
ASI01	Agent goal hijack	エージェントの目的乗っ取り
ASI02	Tool misuse and exploitation	ツールの誤用と悪用
ASI03	Identity and privilege abuse	認証情報と特権の乱用
ASI04	Agentic supply chain vulnerabilities	サプライチェーンの脆弱性
ASI05	Unexpected code execution	予期しないコード実行
ASI06	Memory and context poisoning	メモリとコンテキストの汚染
ASI07	Insecure inter-agent communication	エージェント間の安全でない通信
ASI08	Cascading failures	連鎖的な失敗
ASI09	Human agent trust exploitation	人間とエージェントの信頼の悪用
ASI10	Rogue agents	暴走したエージェント

これらのリスクは、AI エージェントが自律的に意思決定し、大規模かつ高速に推論を行う能力を持つことに起因する、AI アプリケーション特有の深刻な脅威として特定されています。

 

Gemini Enterprise Agent Platform は、Google Cloud が提供する AI エージェント の Build（構築）、Scale（拡張）、Govern（ガバナンス）、Optimize（最適化）を大規模に行うための統合プラットフォームです。

このセッションでは Govern（ガバナンス）に焦点が当てられており、Gemini Enterprise Agent Platform のソリューションを通じて、どのように多層防御のアプローチをとっていくと良いかが OWASP Top10 の AI エージェントにおけるリスク毎に語られていたので、1つずつ紹介していきます。

Google Cloud に関するソリューション・事例はこちら

 

1. リスクの概要

OWASP が提唱する「AI エージェントのトップ10リスク」の第1位に挙げられている重大な脅威です。
攻撃者が悪意のある入力（ユーザープロンプトやデータファイルなど）を通じて、エージェントの本来の目的を操作・書き換え、エージェントを自身のコントロール下に置くことを指します。
Geotab 社の Francois-Xavier Jeannet 氏は、このリスクを「すべての基盤となるリスク」と位置づけています。エージェントの目標が乗っ取られると、ツールの悪用、権限の乱用、データの流出といった他のあらゆるリスクにつながるためです。

2. 主な攻撃シナリオ

• 間接的なプロンプトインジェクション (Indirect Prompt Injection) : エージェントが読み取るメールやドキュメントの中に、隠されたシステム指示を忍び込ませる手法です。このセッションでは、メールアシスタント・エージェントが機密情報を含むメールを外部のアドレスへ転送するように指示されるデモが紹介されました。
• 目的の置き換え (Goal Displacement) : 悪意のあるカレンダー招待などを用いてエージェントの行動を誘導する「カレンダードリフト（Calendar Drift）」攻撃などがあります。
• コンテキストウィンドウの悪用 (Context Window Exploitation) : 指示を複数のターンに分割して入力することで、ガードレールをすり抜けさせ、最終的に悪意のある目的を達成させる手法です。

3. Google Cloud による解決策

• Model Armor :
• 入力のサニタイズとプロンプトインジェクションの検知 : 直接・間接の両方のプロンプトインジェクションをインラインでブロックします。
• 機密データの保護 : 250以上の分類器を用いて、PII（個人情報）などの機密データを特定し、マスキングやブロックを行います。
• コンテンツの安全性 : 危険、攻撃的、または有害なコンテンツをフィルタリングします。

 

エージェントが持つ「自律的にツールを呼び出す能力」が、悪意のある指示や設計上の不備によって悪用される脅威を指します。

1. リスクの概要

エージェントがプロンプトインジェクションやモデルの不整合により、付与された権限を悪用して本来の機能を逸脱したアクションを実行するリスクです。
特に、ツールに過剰な権限が与えられている場合、被害が甚大になります。例えば、メールの要約を目的としたエージェントが、誤ってメールを削除したり、外部に送信したりするケースが挙げられます。

2. 攻撃シナリオ

• ツールの連鎖 (Tool Chaining) : エージェントが複数の正当なツールを組み合わせて実行することで、最終的に悪意のある結果（データの不正取得など）を引き起こすシナリオです。
• ツールの汚染 (Tool Poisoning) : 攻撃者がツールのメタデータを操作し、エージェントに偽の情報に基づいたツールの呼び出しを行わせる手法です。
• 安全チェックの回避 : エージェントがエラーに遭遇した際、安全フラグを外して同じコマンドを再試行しようとするなど、ガードレールを自ら回避してしまう行動も含まれます。

3. Google Cloud による解決策

• Agent Anomaly Detection（エージェント異常検知）:
• 推論ベースの監視層 : ログやテレメトリデータを分析し、不審なツールの使用、権限昇格の試み、異常なツールの連鎖を特定します。
• LLM による判定 : 「LLM as a judge」機能により、例えば「返金担当のチャットボットがエンジニアの給与情報を調べている」といった異常な振る舞いを検知し、管理者への通知やブロックの推奨を行います。

• Semantic Governance Policy :
• 「顧客の PII（個人情報）をサードパーティのツールと共有しない」といった自然言語によるビジネスルールを定義し、エージェントの行動を動的に制限します。
• VPC Service Controls (VPC-SC) :
• 機密データの周囲にセキュリティ境界を構築し、ツールが誤用された場合でもデータの外部流出を物理的なネットワークレベルで阻止します。
• Agent Gateway :
• ユーザー、エージェント、ツール間のすべての通信を管理する制御ポイントとして機能し、上記のポリシーや Model Armor による検査を一貫して適用します。

これらのソリューションを組み合わせることで、エージェントに必要最小限の権限のみを与え、その活動をリアルタイムで監視・統制することが可能になります。

 

1. リスクの概要

AI エージェントがユーザーの代わりに自律的に行動する際、動的な信頼関係や不適切な権限設定を悪用して、本来許可されていない機密リソースや外部エージェントへアクセスしてしまうリスクです。広範な書き込み権限などが与えられている場合に特に深刻化します。

2. 主な攻撃シナリオ

• 混乱した代理人 (Confused Deputy) : 権限を持つエージェントが、権限のないユーザー（攻撃者）からの指示をそのまま実行し、ユーザーに代わって不正な操作を行ってしまう問題です。
• アイデンティティの共有 (Identity Sharing) : 複数のユーザーやタスク間でエージェントの ID や権限が適切に分離されず、あるユーザーの権限が別のユーザーに流用されるケースです。
• ワークフロー認可のドリフト (Workflow Authorization Drift) : 古くなった認可情報や、タスク完了後も残存する特権が、後の攻撃に悪用されるリスクです。

3. Google Cloud による解決策

• Agent Identity :
• エージェント専用 ID の導入 : 人間ではなくエージェント専用として設計された、システム標準の ID を導入します。これにより、誰（どの人）の権限か曖昧にすることなく、IAM による詳細なアクセス制御と、不変の監査ログによる「どのエージェントが何をしたか」の完全な追跡が可能になります。
• ライフサイクル管理 : エージェントの実行期間に合わせて自動的にプロビジョニング・破棄されるため、休眠中の ID が乗っ取られるリスクを低減します。
• 最小権限の原則と動的認可 :
• タスク限定・期限付き権限 : 実行中のタスクに必要な最小限の権限のみを、短期間だけ付与します。
• アクションごとの認可 : 重要なアクションを実行するたびに再検証を強制します。
• Agent Gateway :
• すべての外部への通信における認証・認可の強制ポイントとして機能し、アイデンティティベースのセキュリティモデルを一貫して適用します。

これらのソリューションを組み合わせることで、「エージェントを暗黙的に信頼しない」というゼロトラストの原則に基づいた防御を実現し、特権の乱用を封じ込めます。

 

1. リスクの概要

AI エージェントのアプリケーションは、MCP（Model Context Protocol）サーバー、プロンプトテンプレート、外部ライブラリなど、多くの動的なコンポーネントに依存しています。従来のソフトウェアと異なり、エージェントは実行時に依存関係をロードするため、ビルド時のスキャン（SBOM など）だけでは不十分であり、ランタイムでの信頼分析が不可欠となります。

2. 主な攻撃シナリオ

• 悪意のある MCP サーバー : 「毒入れ」されたツール定義を持つ未承認の MCP サーバーにエージェントを接続させ、不正な操作を実行させる手法です。
• プロンプトテンプレートインジェクション : OSS のプロンプトテンプレート内に、悪意のあるシステム指示を忍び込ませる攻撃です。
• 侵害されたアーティファクトレジストリ : エージェントを騙して、マルウェアが含まれたライブラリをインストール・実行させるシナリオです。
• シャドー AI : 管理者の目が届かない場所で、未承認のエージェントやツール、推論エンドポイントがデプロイされ、脆弱性の温床となるリスクです。

3. Google Cloud による解決策

• SCC AI Protectionによる統合的な分析 :
• AI Discovery service : 組織内のすべてのエージェント資産、MCP ツールを自動検出し、組織全体のインベントリを作成します。管理されていない「シャドー AI」や未承認の MCP サーバーも特定し、可視化します。
• Agent Supply Chain Analysis : コンポーネントの出所分析、継続的な脆弱性スキャン、スキルの評価を行います。
• Agent Registry :
• 承認された資産の信頼できる唯一の情報源（Source of Truth）として機能します。
• ビルド時のシグナル（脆弱性スキャン、出所分析、スキル評価など）に基づき、信頼できる資産のみを登録・維持します。
• Agent Trust Analysis :
• 実行時のプロセス、ネットワーク・テレメトリ、ツール呼び出しなどの行動を継続的に分析し、エージェント信頼スコアを算出します。
• ルール違反や異常な挙動を検知した場合、信頼スコアを下げて警告を発します。
• 署名と検証（GCP Sigstore）:
• すべてのコンポーネントが信頼できるエンティティによって署名されていることを確認し、改ざんを防ぎます。
• Agent Gateway :
• ランタイムの制御ポイントとして、エージェント信頼スコアに基づき、エージェントが外部リソースへアクセスすることを許可または拒否します。

これらの対策を組み合わせることで、開発からデプロイ、実行に至るまで、一貫したサプライチェーンの安全性を確保します。

 

1. リスクの概要

エージェントが実行環境（コンテナなど）の脆弱性を悪用したり、悪意のあるバイナリを実行したりすることで、サンドボックスを脱出（コンテナ脱出）し、ホストシステムへのアクセス権を奪取しようとするリスクです。自律的にコードを生成・実行する能力を持つエージェントにおいて、基盤インフラに直接的な被害を及ぼす極めて深刻なリスクとされています。

2. 主な攻撃シナリオ

• コンテナ脱出 (Container Escape) : 悪意のあるコードがカーネルの脆弱性などを突くことで、エージェントが動作しているコンテナの境界を超え、ホスト OS へアクセスを試みる攻撃です。
• ホストの侵害 (Host Compromise) : エージェントが攻撃者の IP アドレスに対してリバースシェルを開くなど、ホストシステムを自身のコントロール下に置こうとする行為です。
• 外部 C2 サーバーとの通信 : 予期しないコード実行によって、外部の C2（コマンド＆コントロール）サーバーへ接続し、企業の境界内から機密データを流出（エクスフィルトレーション）させます。

3. Google Cloud による解決策

• Agent Sandbox :
• gVisor ベースの隔離 : 強固なサンドボックス技術である gVisor を採用し、コンテナ・ランタイムをホストから完全に隔離します。ホストとカーネルやリソースを共有しないため、コンテナ脱出の試みを根本的に阻止できます。
• BYO コンテナのサポート : 開発者は独自のパッケージ依存関係を持つコンテナ（Bring Your Own Container）を持ち込むことができ、それらを安全な隔離環境で実行可能です。
• エフェメラル（短命）な実行環境 : 実行が終わるたびに環境が完全にクリーンアップ（消去）されるため、攻撃者が環境内に永続的な足場を築くことを防ぎます。
• VPC Service Controls (VPC-SC) :
• Egress トラフィックの遮断 : ネットワークレベルでセキュリティ境界を構築し、未承認の外部ドメインへの通信をブロックします。これにより、万が一コードが実行されても、C2 サーバーへのデータ流出を物理的に防ぎます。
• SCC AI Protection :
• プラットフォーム脅威検知 : エージェント・プラットフォーム内での不審な振る舞いや、予期しないコード実行の兆候を継続的に監視・検知します。

これらの対策を組み合わせることで、エージェントが自律的に操作を行う際も、その影響範囲を隔離された安全な空間に封じ込めることができます。

 

1. リスクの概要

エージェントが過去のやり取りを記憶したり、RAG（検索拡張生成）で外部知識を参照したりする際に、信頼できない情報がコンテキストに混入してしまうリスクです。これにより、エージェントが誤った知識を学習したり、機密情報が別のセッションやユーザーに漏洩（コンテキスト漏洩）したりする可能性があります。

2. 主な攻撃シナリオ

• RAG の毒入れ (RAG Poisoning) : エージェントが参照するナレッジベースやデータベースに悪意のある情報を注入し、エージェントに誤った情報や有害な指示を生成させる攻撃です。
• コンテキスト漏洩 (Context Leakage) : セッション間やユーザー間でのメモリ分離が不適切な場合、あるユーザーの機密情報が別のユーザーとのやり取りに流出してしまう現象です。
• 間接的なプロンプトインジェクション (Indirect Prompt Injection) : 外部データ（Web サイトや文書）を通じて悪意のある指示をメモリに注入し、将来のセッションでエージェントを操作します。
• コンテキストウィンドウの悪用 : 大量のデータを入力して重要なシステム指示をコンテキストから押し出し、ガードレールを無効化する手法です。

3. Google Cloud による解決策

• Agent Memory Bank :
• セッション・ユーザーごとの分離 : セッション、ユーザー、エージェントごとにメモリセグメントを厳格に分離し、コンテキストの漏洩や汚染を防ぎます。
• ロールベースのアクセス制御 (RBAC) : エージェントのアイデンティティ（Agent Identity）に基づき、メモリへのアクセス権限を IAM で管理します。
• 暗号化のサポート: 保存されるメモリデータに対して暗号化を提供し、データの機密性を確保します。
• Model Armor :
• 取り込みフィルタリング (Ingestion Filtering) : データがメモリや RAG に保存される前に、プロンプトインジェクションや不適切なコンテンツ、機密データ（PII）が含まれていないかをスキャンし、ブロックします。
• SCC AI Protection :
• エージェント・データ・ガバナンス : 組織内のデータ資産の系統（Lineage）を追跡し、信頼できるソースからの情報のみが使用されているかを監視します。
• 機密データ保護 : メモリ内に保存されている機密情報を継続的にスキャンし、不適切な露出を検知します。

 

1. リスクの概要

エージェント間でのメッセージ交換において、適切な認証やデータの整合性確認が欠如している場合、攻撃者による介入を許してしまうリスクです。エージェントが「相手は信頼できる別のエージェントである」と暗黙的に信頼してしまうと、改ざんされた指示に従ったり、機密情報を誤った相手に渡したりする可能性があります。

2. 主な攻撃シナリオ

• 中間者攻撃 (Man-in-the-Middle) : 通信経路に介入し、エージェント間のメッセージを傍受、なりすまし、または改ざん（セマンティックな操作）を行う攻撃です。
• 信頼チェーンのリプレイ (Replay on Trust Chain) : 過去にやり取りされた正当な指示を盗み出し、再利用（リプレイ）することで、エージェントに不正なアクションを何度も実行させる手法です。
• 認証不足 : エージェント同士がお互いのアイデンティティを厳密に確認しないまま通信を行うことで、侵害されたエージェントや偽のエージェントからの指示を受け入れてしまうリスクです。

3. Google Cloud による解決策

• Agent Gateway による mTLS の強制 :
• 相互 TLS (mTLS) : エージェント間の接続、およびエージェントとツール間の接続に対して mTLS を適用します。これにより、双方向で証明書を用いた厳格な認証が行われ、未承認のエンティティによる介入を排除します。
• 強力な暗号署名 : 通信内容に暗号署名を付与し、メッセージが途中で改ざんされていないことを保証します。
• 一元的な管理 : 複雑なハンドシェイクや通信の終端処理をゲートウェイが裏側で自動的に処理するため、開発者は意識することなく、信頼された暗号化接続を利用できます。
• エンドツーエンドの可観測性 (Observability) :
• エージェント間のすべてのやり取りにトレース ID を付与し、ログに記録します。これにより、万が一不審な通信が発生した場合でも、後から詳細な調査を行うことが可能です。
• Apigee との統合 :
• API 管理プラットフォームである Apigee と連携することで、エージェントが利用する API エンドポイントに対しても一貫したセキュリティポリシーを適用し、通信を保護します。

これらの対策を組み合わせることで、エージェント同士が「誰と何の話をしているのか」を常に確実にし、安全なマルチエージェント・オーケストレーションを実現します。

 

1. リスクの概要

ハルシネーション（幻覚）、悪意のある入力、あるいは破損したツールによるエラーといった初期の不具合が、複数のエージェント間で連鎖的に広がり、増幅されるリスクです。自律的なエージェント同士が密接に連携している場合、1つの小さなミスが予測不能な大きな失敗へと発展する可能性があります。

2. 主な攻撃シナリオ

• 計画・実行エージェントの結合 (Planner–executor coupling) : 計画立案エージェントがハルシネーションを起こし、その誤った指示を実行エージェントが検証や承認なしにそのまま実行してしまうケースです。
• 汚染されたメッセージによる連鎖 : 1つのエージェントが受信した悪意のあるメッセージや誤ったデータが、適切な認証や整合性確認なしに他のエージェントへ引き継がれることで発生します。
• 障害の増幅 : 初期のエラーが複数のエージェントを通過する過程で修正されず、逆に拡大・深刻化していくシナリオです。

3. Google Cloud による解決策

• Agent Evals（エージェント評価）:
• 多角的なメトリクスによる監視 : タスクの成功率、ハルシネーションの有無、安全性、ツール使用の品質（パラメータ予測の正確性）、軌跡（Trajectory）の品質など、事前定義された指標を用いてエージェントの挙動を継続的に評価します。
• 評価ワークシート (Evals Worksheet) : すべてのセッションの結果（どのタスクが失敗し、どの程度の割合で問題が発生したかなど）を可視化したワークシートを提供します。これにより、開発者はエージェントの連鎖のどこで問題が生じているかを正確に調査できます。
• Agent Gateway および Agent Engine :
• これらがエージェント間の通信や実行のガバナンス・制御ポイントとして機能し、不適切な指示やデータの伝播を技術的に抑止します。
• Human-in-the-Loop :
• 重要なアクションやエージェント間での高リスクな指示の受け渡しにおいて、人間の承認を必須とすることで、ハルシネーションに起因する連鎖的な暴走を未然に防ぎます。

これらの対策を組み合わせることで、個々のエージェントの出力品質を担保し、システム全体に障害が波及する「ドミノ倒し」のような失敗を防ぐことが可能になります。

 

1. リスクの概要

AI エージェントが親しみやすく、あるいは信頼できるアシスタントとして振る舞うことで、ユーザーの警戒心が解かれることがあります。攻撃者はこれを利用し、侵害されたエージェントを通じてソーシャルエンジニアリング攻撃を仕掛け、ユーザーのアイデンティティや機密データを詐取しようとします。

2. 主な攻撃シナリオ

• フィッシング : 侵害されたカスタマーサポートエージェントなどが、本物のサービスを装ってユーザーのアイデンティティ（ID やパスワード）を盗み出すシナリオです。
• 請求書詐欺 : 信頼を得たエージェントが、攻撃を実行するために必要なユーザーの資格情報や機密データを要求するケースです。
• 出所の不透明性 : エージェントが自身の正体や意図を隠して行動することで、ユーザーが不適切なアクションを承認してしまうリスクがあります。

3. Google Cloud による解決策

• Agent Identity :
• すべてのエージェントを IAM プリンシパルとして定義します。これにより、「エージェントは人間ではない」というアイデンティティを明確に公開し、すべての行動を不変の監査ログで追跡可能にします。
• Human-in-the-Loop :
• 影響の大きいアクション（資金移動、機密情報の共有など）を実行する前に、必ず人間の承認を介在させる仕組みです。
• IAM ポリシーやエージェント・プラットフォーム・コンソールを通じて、承認プロセスを一元管理できます。
• Agent Supply Chain Protection (SCC AI Protection) :
• エージェントの信頼分析および出所分析 (Provenance Analysis) を行います。エージェントが侵害されていないか、信頼できるソースから構築されているかを継続的に検証します。
• 安全な UX パターンと電子透かし :
• Safe UX Patterns : 高リスクなアクションを実行する前に、UI 上でユーザーに警告を表示します。
• Watermarking（電子透かし）: エージェントの出力に電子透かしを施すことで、その情報の出所と信頼性を検証できるようにします。

これらの対策を組み合わせることで、ユーザーが AI エージェントを過信することを防ぎ、重要な意思決定には必ず人間が関与する安全な運用体制を構築します。

 

1. リスクの概要

エージェントが、プロンプトインジェクションによる操作や、設計上の不備、あるいは悪意のある意図によって、本来の意図された機能や許可された範囲を逸脱して行動するリスクです。これらは表面的には規約に準拠しているように見えても、実際には意図しない操作や不適切な最適化を行うことがあります。

2. 主な攻撃シナリオ

• 目的のドリフトと策謀 (Goal Drift and Scheming) : 間接的なプロンプトインジェクションなどを通じて、エージェントが本来の目的とは異なる「独自の計画」を密かに実行し始めるケースです。
• 報酬ハッキングと最適化 : エージェントが誤った指標を最適化してしまう現象です。例えば、「計算コストを抑えよ」という指示に対し、コスト削減を最優先するあまり、システムの維持に必要な重要リソースを勝手に削除してしまうといった行動が挙げられます。
• 権限の逸脱 : エージェントが許可されたスコープを越えてシステム設定を変更したり、外部への不正な接続を試みたりする行為です。

3. Google Cloud による解決策

ローグ・エージェントのリスクには単一の解決策（特効薬）がなく、複数のツールを組み合わせた多層防御が重要です。

• Agent Anomaly Detection :
• ローグ・エージェント・デテクター : ログやテレメトリデータを分析し、エージェントの行動異常を特定する推論ベースの監視層を提供します。
• LLM による判定 : 「LLM as a judge」機能がエージェントのセッションをレビューし、本来の役割（例：返金担当）から逸脱した振る舞い（例：給与情報の閲覧）をしていないかをリアルタイムで判定し、管理者に警告します。
• Agentic Assets Discovery および Agent Registry :
• 組織内のすべてのエージェント、MCP サーバー、モデルなどを自動的に発見し、組織全体のインベントリを可視化します。これにより、管理者の目が届かないシャドー AI の発生を防ぎ、承認された信頼できる資産のみが動作することを確実にします。
• Agent Identity と不変の監査ログ :
• すべてのエージェントに固有の ID を付与し、行動を改ざん不可能な監査ログに記録します。これにより、逸脱が発生した際の詳細なポストモーテムや原因特定を容易にします。
• Agent Gateway :
• 実行時のガバナンス制御ポイントとして機能し、異常な振る舞いやポリシー違反が検知されたエージェントの通信を即座にブロック・強制執行します。

Google Cloud は、これらの機能を Gemini Enterprise Agent Platform を通じて統合的に提供することで、エージェントの「暴走」や「逸脱」を大規模に Govern（ガバナンス）することを可能にしています。

 

本記事では、AI エージェント向け OWASP Top10 の各リスクと、Gemini Enterprise Agent Platform を通じた Google Cloud の対策について紹介しました。以下がまとめのスライドとなります。

セッションの締めくくりとして、Google Cloud のリードプロダクトマネージャーであるAniket Patankar 氏は、「Gemini Enterprise Agent Platform は、今回紹介した OWASP の10のリスクすべてに対して保護を提供する多様なツールとテクノロジーを統合したものであり、それがこのプラットフォームの強力な点である」と述べました。

Google Cloud Next '26 に現地参加して多くのセッションを聴講し、最新技術で「何ができるか」を追求するのと同時に、最新のセキュリティ動向から「何を防ぐべきか」も常にキャッチアップし続けることが、AI エージェントによる変革を安全に、そして持続可能な形で成功させるための唯一の道であると再認識しました。

AI エージェントの可能性は無限大ですが、その力を安全に引き出すための取り組みをこれからもキャッチアップし続けていきたいと思います。

---

本記事は「Agent security at scale: Protect against the OWASP Top 10 application risks」(Google Cloud Next '26) の聴講内容をもとに、筆者の解釈・補足を交えて構成しています。

 

各種SNSでも情報を発信しています。ぜひフォローをお願いいたします。

 

　　 　　

 

atlax では、ソリューション・サービス全般に関するご相談やお問い合わせを承っております。

 

・2026/05/25 情報検索に「正確性」と「スピード」を、Agent Searchとは？

・2026/05/21 長時間稼働 AI エージェントの設計原則 ― Anthropic が語る5つの失敗パターンと"Harness"設計(Google Cloud Next '26 レポート)

・2026/05/15 Google Cloud Next ' 26で見えた、AIエージェントが切り拓く新しいセキュリティの姿

 

※ 記載された会社名 および ロゴ、製品名などは、該当する各社の登録商標または商標です。
※ アマゾン ウェブ サービス、Amazon Web Services、AWS および ロゴは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
※ Microsoft、Azure は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
※ Google Cloud、Looker、BigQuery および Chromebook は、Google LLC の商標です。
※ Oracle、Java、MySQL および NetSuite は、Oracle Corporation、その子会社および関連会社の米国およびその他の国における登録商標です。NetSuite は、クラウド・コンピューティングの新時代を切り開いたクラウド・カンパニーです。