Blog/製品 & テクノロジー/データから始まるエージェント型エンタープライズのセキュリティ
JUN 19, 2026/約7分で読めます製品 & テクノロジー

データから始まるエージェント型エンタープライズのセキュリティ

AIエージェントは、企業のセキュリティの常識を変えつつあります。エージェントは、単に質問に応答するだけでなく、ユーザーに代わって実際にアクションを起こし、タスクを実行します。そのプロセスの一環として、機密データのクエリ、ツールの呼び出し、ワークフローのトリガー、コードの記述、構成の変更、システム間での情報の移動などを、大規模かつ迅速に行う場合があります。これが、エージェント型AIが非常に強力であると同時に、従来のセキュリティモデルでの対応が困難である理由です。 

企業のセキュリティチームはもはや、「ユーザーにAIへのアクセスを提供できるか」と問うことはありません。現在問われているのは、「AIエージェントがビジネスのために安全にタスクを実行していることを、どのように確認するか」ということです。

Snowflakeでは、その答えは、エージェント型AIは企業のデータ、コンテキスト、コントロールがすでに存在する場所で管理されなければならないというシンプルな原則から始まると考えています。エージェントの導入後にセキュリティを付け足すことはできません。最初から、モデル、エージェントのランタイム、データレイヤーに組み込まれている必要があります。

これが、SnowflakeのData-Model-Agentセキュリティフレームワークの基盤です。

エージェント型AIに新しいセキュリティモデルが必要な理由

エージェントは推論、データアクセス、アクションを組み合わせるため、新たなクラスのリスクをもたらします。

エージェントは、ドキュメントの読み取り、リクエストの解釈、データのクエリ、サードパーティツールの呼び出し、コードの生成、運用変更の推奨などを、すべて単一のワークフロー内で実行する場合があります。各ステップが潜在的なコントロールポイントとなり、ツールを呼び出すたびに、操作ミスによる影響範囲が拡大する可能性があります。エージェントのアクションは、追跡、管理、および回復が可能である必要があります。

そのため、セキュリティリーダーは、困難であっても必要な以下の事項を検討する必要があります。

  • エージェントのアクションと人間のアクションを区別できるかどうか 
  • エージェントを必要なツールとデータのみに制限できるかどうか 
  • 機密情報が承認された境界から流出するのを防ぐことができるかどうか 
  • プロンプトインジェクションから防御できるかどうか 
  • リスクの高いアクションに承認を必須にできるかどうか 
  • 事後に何が起こったかを監査できるかどうか

これらは例外的なケースではありません。AIエージェントを本番環境に導入するための要件です。

Data-Model-Agentフレームワーク

Snowflakeのアプローチでは、エージェント型セキュリティを3つのレイヤーに構成しています。

  • データレイヤーは、何よりもまず、データが存在する場所で、最小権限、マスキング、データ移動の制御、主権、レジリエンス、コンプライアンス対策を適用します。

  • モデルレイヤーは、インテリジェンスエンジンを操作から保護し、お客様のセキュリティ境界内で実行を維持します。

  • エージェントレイヤーは、エージェントがアクションを起こす際の動作、ツール、アイデンティティ、承認、監査可能性を管理します。

エージェント型AIのセキュリティは単一の機能で確保されるものではなく、ワークフロー全体にわたる多層防御が必要となるため、この3層のフレームワークが重要になります。

データの保護:基盤から始まるガバナンス

AIによってデータセキュリティのルールが変わることはありません。データ基盤に弱点があれば、AIによってそれが露呈します。ロールベースのアクセス制御、マスキング、暗号化、ネットワークポリシー、監査可能性など、分析において重要となる基盤のコントロールは、エージェントが自律的に行動できるようになるとさらに重要性を増します。

Snowflakeのデータガバナンスモデルは最小権限に基づいて構築されており、エージェントはタスクに必要なデータにのみアクセスする必要があります。機密情報は、モデルの応答に到達する前にマスキングまたは制限される必要があり、機密情報が承認された境界から流出しないようにデータの移動を制御する必要があります。

ここで、Snowflakeのゼロコピーアーキテクチャも重要になります。

ゼロコピーとは、レイテンシー、地理的条件、システム境界が存在しないかのように振る舞うことではありません。不要なコピーを減らし、データのスプロール化を制限し、地域の主権を維持し、データにガバナンスを付随させることを目的としています。AIのために作成するコピーが増えるほど、組織はより多くのポリシーを複製、監視、調整しなければならなくなります。コピーが少なければ機密データが漏洩する場所も少なくなり、セキュリティ体制の強化につながります。

モデルの保護:悪意ある操作に対する防御

プロンプトインジェクションは、エージェント型AIにおける決定的な脅威の1つです。直接的なプロンプトインジェクションは、ユーザーがモデルを操作して指示を無視させようとした場合に発生します。間接的なプロンプトインジェクションはさらに危険です。エージェントが、隠された悪意のある指示を含むWebページ、PDF、チケット、ドキュメントなどの外部ソースを読み取ることで発生します。エージェントはこれらの指示を正当なものとして扱い、下流でそれに基づいて行動する可能性があります。

だからこそ、モデルの保護はトップレベルのコントロールである必要があります。目標はシンプルです。モデルを操作から保護し、エンタープライズデータの不要な移動を防ぐことです。

Snowflake Horizon AI Guardrailsは、ユーザーの意図、モデルの推論、および実行の間にガバナンスレイヤーを追加することで、既知および新たなプロンプトインジェクション攻撃の両方から防御できるように設計されています。アカウント管理者は、シンプルなアカウントレベルの構成を使用するだけで、高度なプロンプトインジェクションガードレールを数分で有効にできます。インフラストラクチャの変更やカスタムミドルウェアは必要ありません。同様に重要な点として、SnowflakeのアーキテクチャはAIをガバナンスの効いたエンタープライズデータの近くに維持するため、プライバシーとコントロールが最優先される場合に、外部のモデルプロバイダーへの不要なデータ露出を回避できます。

エージェントのガバナンス:アイデンティティ、ツール、アクション

モデルがツールを使用できるようになると、それはエンタープライズ内のアクターになります。明確なエージェントアイデンティティがない場合、マシンのアクションが人間のログに紛れ込んでしまう可能性があります。その結果、何が起こったのか、誰(または何)がアクションを開始したのか、どのように修復すればよいのかを把握することが困難になります。

Snowflakeのアプローチでは、AIエージェントに明確で監査可能なアイデンティティを付与するため、オペレーションをそれを実行したエージェントに関連付けることができます。クエリ、API呼び出し、ツールの呼び出しは、可視化され、レビュー可能であり、ガバナンスが効いている必要があります。

ツールのガバナンスも同様に重要です。エージェントがSaaSアプリケーション、API、またはMCPツールに接続した瞬間に、セキュリティの境界は拡大します。管理者は、どのエージェントがどのツールを呼び出せるか、どのような条件下で、どのような権限を持っているかを把握する必要があります。

SnowflakeのNatomaとの統合により、企業は一元化されたゲートウェイを通じてMCPツールの使用をガバナンスできます。これにより、チームは誰がアクションをリクエストしたか、どのような権限を持っているか、アクションが許可されているかどうかを制御および可視化できます。このプラットフォームは、Snowflakeの内部だけでなく、より広範なエージェント型スタック全体にわたって、最小特権を実装し、ツールのアクティビティを監視し、一貫したコントロールを適用する方法を提供します。また、100以上のMCPサーバーと10,000種類のツールが組み込まれています。これにより、従業員がシャドーAIとしてオープンソースサーバーをデプロイする必要がなくなります。

コード生成エージェントにとっては、分離も重要です。エージェントはタスクを実行するのに十分な能力を備えている必要がありますが、ガードレールなしで動作するべきではありません。Snowflakeは、ローカルで実行されるエージェント向けのサンドボックス環境をサポートしています。これにより、ファイルシステムやネットワークへのアクセスを制限し、設計段階から影響範囲を縮小できます。 

Day 2セキュリティ:デプロイから継続的なコントロールまで

エージェントを本番環境に導入することは、始まりにすぎません。企業は、監視、検出、修復、および復旧を行う必要もあります。

Snowflakeトラストセンターは、セキュリティポスチャ管理を、保護対象のワークロードのより近くで実行できるようにします。AIセキュリティ態勢管理は、分析をお客様の信頼できる境界内に維持しながら、チームがAIワークロードの脆弱性を特定できるように支援します。データ移動ポリシーは、機密データが承認された環境から流出するのを防ぐのに役立ちます。信頼性の高いシグナルにより、疑わしいデータ移動パターンをチームに警告できます。

Snowflakeはまた、AIを活用した修復およびコンプライアンスワークフローを通じて、セキュリティの運用化を支援します。監査やセキュリティレビューのために証拠を手作業でつなぎ合わせる代わりに、チームはより充実したレポートを生成し、より迅速にアクションを実行できます。

機密性の高いオペレーションに対して、Snowflakeは複数者による承認とビジネス上の正当性をサポートしており、悪意のある管理者によるシナリオや認証情報の侵害からの保護を支援します。また、レジリエンスの面では、Write Once Read Many(WORM)バックアップ、ポイントインタイムリカバリ、クロスリージョンレプリケーションなどの機能が、問題が発生した場合の復旧をサポートします。

セキュリティは大規模なエージェント型AIへの道

信頼は、エージェント型エンタープライズの基盤です。機密データが保護され、ガバナンスポリシーが有効な状態を維持しながら、エージェントがシステム全体で推論し、行動できるように、信頼はデータインフラストラクチャの実質的にあらゆる側面に基礎から組み込まれている必要があります。 

だからこそ、エージェント型セキュリティに対するSnowflakeのアプローチは、データを保護し、モデルを保護し、エージェントをガバナンスするというワークフロー全体から始まります。これらのコントロールがエンタープライズデータとコンテキストの近くに存在する場合、組織はイノベーションとセキュリティのバランスを取ることができます。自信を持ってプロトタイプから本番環境に移行し、AIエージェントを本来あるべき場所、つまりガバナンスの効いたエンタープライズの内部で機能させることができます。

エージェント型トランスフォーメーションの安全な加速 

Snowflakeは、Horizonカタログ、トラストセンター、およびData-Model-Agentのセキュリティフレームワークを使用して、企業によるAIエージェントの保護とガバナンスを支援します。以下で詳細をご確認ください。Snowflakeをお試しいただき、AIトランスフォーメーションの取り組みを開始いただけます。また、最新の発表も併せてご確認ください。 

Subscribe to our blog newsletter

Get the best, coolest and latest delivered to your inbox each week