AIエージェントの導入が広がるなか、誤作動や悪用を抑止する「ガーディアンAI」への関心が高まっている。スタートアップに加え大手テック企業も参入を進める一方、ソフトウェアの供給網を狙った攻撃も相次いでおり、AI活用とセキュリティ管理をどう両立させるかが企業の課題として浮上している。

AIエージェントは、人手を介さず特定業務を自動化できる半面、想定外の挙動によってセキュリティ事故やサービス障害を招く懸念もある。MetaやAmazonなど主要企業でも、AIエージェントの誤作動を起点とする問題が発生したとされ、エージェントの挙動を監視し、ルール逸脱時に警告や制御を行うガーディアンAIへの需要が拡大している。

The Informationによると、Amazon Web Services（AWS）とSalesforceの元幹部、タティアナ・マムット氏が率いるWayfoundは、金融・テック業界を中心に約12社の有料顧客を確保した。ヘッジファンドでは、調査レポート作成向けAIエージェントの監視にWayfoundのサービスを導入しているという。料金は、エージェントの処理1万件当たり月額750ドルのサブスクリプション制とされる。

Salesforceは2025年、Wayfoundを自社AIエージェント基盤「Agentforce」の公式モニタリングパートナーに指定した。イスラエルのスタートアップAvon AIも、サブスクリプションと従量課金を組み合わせた料金体系で、複数企業と複数年契約を結んだ。

大手各社の動きも活発化している。企業向けクラウドソフトを手掛けるServiceNowは、自社製に加えMicrosoftやAmazonなど他社のAIエージェントも監視できるガーディアンAIを販売している。提供形態は「AI Control Tower」で、サブスクリプション課金と従量課金を組み合わせる。SalesforceもガーディアンAIの開発を検討していると伝えられている。

関連分野では、韓国のセキュリティ企業もAI中心の事業再編を急いでいる。Fasooは社名を「FasooAI」に変更し、AX（AI革新）支援企業への転換を本格化させる。企業向けAIプラットフォームやエージェンティックAIの導入支援に加え、AIガバナンスの確保やAI活用を前提としたデータ管理・保護分野までポートフォリオを広げる方針だ。

RaonsecureはUpstageと、エージェンティックAIによるセキュリティ自動化の開発・事業化で業務提携を締結した。企業のセキュリティ運用全般をAIが自動処理する「エージェンティックAI基盤のセキュリティ自動化プラットフォーム」を年内に投入する計画としている。

一方、ソフトウェアサプライチェーンを狙う攻撃も続いている。北朝鮮系ハッカーが主要JavaScriptライブラリ「Axios」のNPM（Node Package Manager）パッケージを改ざんし、数百万件規模で不正配布を引き起こしたサプライチェーン攻撃が確認された。

また、数百万人の開発者が利用するAIゲートウェイを手掛けるLiteLLMは、セキュリティコンプライアンスのスタートアップDelveとの関係を解消し、別の企業を通じてセキュリティ認証を再取得する方針を明らかにした。

このほか、AIとセキュリティを巡る企業・業界の動きも広がっている。AWSは「AWS DevOps Agent」と「AWS Security Agent」を投入した。DevOpsチームやセキュリティチーム向けに24時間稼働するAIチームメンバーとして位置付け、事後対応にかかる時間を減らし、事前の最適化に注力できるよう支援する狙いだ。

MegazoneCloudは、クラウドセキュリティ企業Zscalerと、ゼロトラストに基づくクラウドセキュリティ強化に向けた戦略的パートナーシップを結んだ。同社CEOは自社カンファレンスで、AIの企業導入に当たり「エンタープライズ・トラスト・レイヤー」と「変化管理」が重要だと強調した。これを踏まえ、クラウドベースのAIコンピューティングを全従業員が活用するシナリオを提示したという。

OpenAIのコーディングエージェント「Codex」では、コマンドインジェクションの脆弱性によりGitHubの認証トークンが窃取される可能性があるとする報告書が公表された。

Anthropicが開発中とされる新型AIモデル「Claude Mythos」を巡っては、ハッカーの手に渡った場合、防御側の対応速度を大きく上回る形で悪用されるおそれがあるとの懸念も出ている。AIの普及によってセキュリティ企業の役割が縮小するのではなく、むしろ重要性が高まるとの見方も強まっている。

政策面でも対応が進む。個人情報保護委員会は、カード会社による住民登録番号の処理義務違反を制裁したのに続き、金融分野における住民登録番号の収集・利用などの実態について事前点検を実施する。韓国インターネット振興院（KISA）は、高度化するランサムウェア攻撃に体系的に対応するため、「ランサムウェア全周期対応推進団」を発足した。

韓国情報通信技術協会（TTA）は、AIモデルの信頼性確保とデータ保護に向けた「AIセキュリティ」標準化の専門プロジェクトグループ（PG507）を新設した。チョ・インチョル議員は、情報通信サービス提供者のログ保存義務を強化し、侵害事故発生時に関連サーバーを直ちに証拠保全する内容を盛り込んだ「情報通信網利用促進および情報保護等に関する法律」の改正案を代表提出した。