MicrosoftはAIセキュリティ報告書「Cyber Pulse: An AI Security Report」を公表し、企業がAIエージェントを安全に導入するうえで、可視性の確保、ガバナンスの整備、ゼロトラストの徹底が重要だとする見解を示した。AIエージェントの普及に伴い、統制の及ばない「Shadow AI」が拡大し、権限の悪用によってエージェントが意図せず「二重エージェント」となるリスクも高まっていると警告している。

報告書では、AIエージェントの拡大が新たな経営リスクとして「可視性のギャップ」を生んでいると分析した。AI導入競争で優位に立つのは、業務部門、IT部門、セキュリティ部門が連携し、エージェントの活動を継続的に把握しながら、ガバナンスとセキュリティ対策を進められる組織になると見通した。

そのうえで、ゼロトラストの重要性を強調した。中核となる要素として、最小権限アクセス（Least Privilege Access）、ID・デバイス・場所・リスクに基づく明示的な検証（Explicit Verification）、侵害を前提とする考え方（Assume Compromise）を挙げている。

Microsoftは2026年を「AIエージェントの年」と位置付けた。ローコード／ノーコードツールの普及により、知識労働者が自らエージェントを開発できる環境が整い、AIベースの自動化が幅広い業種で急速に広がっていると説明した。

こうした動きは地域別・業種別の指標にも表れている。地域別のアクティブエージェント比率は、欧州・中東・アフリカが42%、米国が29%、アジアが19%、中南米が10%だった。業種別では、ソフトウェア・テクノロジーが16%、製造が13%、金融サービスが11%、小売が9%を占めた。

エージェント導入は複数のプラットフォームを通じて進んでいる。MicrosoftはMicrosoft Fabric、Microsoft Foundry、Microsoft Copilot Studio、Microsoft Agent Builderなどを通じ、企業がエージェントを構築・展開できる環境を提供している。

一方で同社は、エージェント導入のスピードがセキュリティやコンプライアンスの整備を上回るケースが増えていると指摘した。これによりShadow AIのリスクが高まり、攻撃者がエージェントのアクセス権限や権限範囲を悪用した場合、エージェントが意図せず「二重エージェント」として機能する恐れがあるという。人間の従業員と同様に、過剰な権限を与えられたり、不適切な指示を受けたりしたエージェントは、組織内の新たな脆弱性になり得るとしている。

このリスクは理論上の懸念にとどまらない。Microsoft Defenderチームは最近、メモリポイズニング（memory poisoning）の手法を悪用した詐欺目的の攻撃キャンペーンを確認した。複数の攻撃者がAIアシスタントのメモリを継続的に操作し、将来の応答を密かに誘導することで、システムの正確性に対する信頼を損なう手口だという。

Microsoft AI Red Teamは、欺瞞的なインターフェース要素の影響で、エージェントが通常のコンテンツに埋め込まれた有害な指示に従う事例も確認した。操作されたタスクフレーミング（task framing）によって、エージェントの推論が誤った方向に誘導されるケースもあったとしている。

運用・管理面の課題も大きい。Hypothesis GroupがMicrosoftの委託で実施した調査では、従業員の29%が未承認のAIエージェントを業務で利用した経験があると答えた。Microsoft Data Security Indexによると、生成AI向けのセキュリティ統制を導入している組織は47%にとどまった。

報告書は、先進企業ではAIエージェントの普及を契機にガバナンスの刷新を進め、不必要なデータ共有を抑えながら、全社的な統制を段階的に強化していると説明した。こうした取り組みは、エージェント保護を競争優位につなげる戦略資産として重要性を増しているという。

また、AIエージェントのリスクを抑えるための7つの重点課題として、運用範囲の明確化、データ保護体制の強化、承認済みAIプラットフォームの提供、インシデント対応計画の策定、規制対応体制の構築、全社統合型のリスク管理、セキュリティを重視する企業文化の醸成を挙げた。