https://oregin-ai.hatenablog.com/entry/2025/12/26/205136

今回は、OWASPの「Securing Agentic Applications Guide 1.0」に基づき、大規模言語モデル（LLM）を活用したAIエージェントのセキュアな設計、開発、デプロイに関する実践的な知見を整理しました。

genai.owasp.org

はじめに

本ガイドの目的は、AI/MLエンジニアやセキュリティアーキテクトに対し、エージェント的アプリケーションの構築における実践的かつ実用的なガイダンスを提供することとされています。概念的な脅威を、実際のアクションが可能なアーキテクチャパターンや開発者ガイドラインに落とし込む役割を担っており、ASI（Agentic Security Initiative）の他の成果物と連携する重要な位置付けとなっています。

セキュアなエージェント的アーキテクチャ

エージェント的アーキテクチャは、言語モデルを「脳」とし、オーケストレーション、推論・計画パラダイム、記憶モジュール、ツール統合フレームワーク、そして運用環境（Agency）といった主要コンポーネントで構成されています。アタックサーフェスの分析により、ハルシネーションのカスケードや意図の破壊といった脅威は単一の要素の防御に留まらず、アーキテクチャ全体に組み込む包括的な防御アプローチが求められています。具体的なパターンとして、シーケンシャル、階層型、スウォーム型といった構成が示され、それぞれの特性に応じた防御策が検討されています。

エージェント的開発者ガイドライン

開発ライフサイクル全体を通じたセキュリティの統合が強調されています。
各フェーズについて、以下のような内容になっています。

設計・開発フェーズ：システムプロンプトのエンジニアリングとハーディング、セキュアなコーディング実践、コンテンツモデレーションの統合、メモリのセキュリティ設計、および高リスクなアクションに対する人間による関与（Human-in-the-Loop: HITL）の設計に焦点を当てています。
ビルド・デプロイフェーズ：静的分析（SAST）、依存関係スキャン（SCA）、環境のハーディングとサンドボックス化、およびシークレット管理を徹底が求められています。
運用・実行フェーズ：リアルタイムの異常検知、実行時のガードレール、詳細なロギングと追跡、およびインシデントレスポンス計画の策定が必要とされています。また、信頼できるエージェント間の連携を実現するために、暗号化されたアイデンティティ層やエージェント名サービス（ANS）などのボット対策と管理策も提示されています。

強化されたセキュリティアクションと運用機能

システムの形態に応じた具体的なアクションが定義されています。シングルエージェントではOAuth 2.0やRBACによる最小特権の原則が基礎となりますが、マルチエージェントでは制御プレーンの分離や信頼されたコンポーネントが騙されて、本来許可されていないアクションを不正に実行してしまう「confused deputy」問題の緩和が重要視されています。運用面では、APIアクセスにおけるOAuthスコープの制限や、コード実行時の強制的なサンドボックス化、データベース操作におけるテンプレートクエリの排他的利用といった厳格な隔離措置が求められています。

サプライチェーンの安全確保とシステムの保証

サプライチェーンの観点では、サードパーティライブラリのスキャンのみならず、エージェント自身が生成したコードの検証が重要とされています。また、エージェントの保証戦略として、プロンプトインジェクション等をシミュレートするレッドチーミング、AgentBench等を用いた振る舞いテスト、そして思考の連鎖（CoT）のログ記録を通じた説明責任監査という多角的なアプローチが必要とされています。

実行時のハーディングとデプロイメント

本番環境へのデプロイにおいては、CI/CDパイプラインを通じたスキャンやコンテナ化、API ゲートウェイによる仲介が原則とされています。実行時には、gVisorやFirecrackerを用いたプロセスのサンドボックス化、機能制約の適用、およびセッション終了時の記憶の自動消去といった衛生管理を組み合わせることで、強固な防御を実現することが提示されています。