解説

マルチエージェントセキュリティ — Agent 同士が会話する時の漏洩経路

admin · · 5 min read

Multi-Agent Security — When Agents Talk to Agents
Photo: Tara Winstead (Pexels)

AIエージェント同士が自律的に通信・協調するA2A(Agent2Agent)やMCP(Model Context Protocol)構成の普及により、従来の「人間→AI」という単純な信頼モデルは崩壊しつつある。エージェント間の通信路そのものが新たな攻撃面となり、CISOはその漏洩経路とガバナンスの空白を直視しなければならない。

背景

2024年後半からGoogle CloudをはじめとするクラウドベンダーがA2Aプロトコルを本格展開し、複数のAIエージェントが役割分担しながらタスクを遂行するマルチエージェントアーキテクチャが実運用フェーズへ移行した。Agent2AgentプロトコルはHTTPベースのJSONメッセージングを基盤とし、エージェント同士がタスク定義・中間成果物・コンテキストを非同期で交換する。並行してAnthropicが策定したMCPは、エージェントが外部ツールやデータソースに接続するための標準インターフェースとして急速に採用が進んでいる。2025年現在、社内業務自動化・カスタマーサポート・コード生成パイプラインへの組み込みが加速しており、単一エージェント時代のセキュリティ設計では対応しきれない構造的問題が顕在化している。

リスクの全体像

脅威は主に三層に分かれる。①エージェント間プロンプトインジェクション:Orchestratorエージェントが外部データソースから取得したコンテンツをそのままサブエージェントへ渡す際、悪意ある指示が混入する。サブエージェントはそれを「上位エージェントの命令」と解釈し、機密データの外部送信・権限昇格・ツール濫用を実行し得る。A2AのJSONペイロード内に隠蔽されたインジェクション文字列は人間の目視監査では検出困難だ。②信頼境界の崩壊:A2AではエージェントIDの認証にAPIキーや署名が使われるが、Compromisedエージェントが正規の署名を持ったまま悪意ある指示を伝播させる「Confused Deputy」問題が発生する。MCPのツール呼び出し権限がエージェント間で暗黙的に継承されるケースも確認されている。③責任所在の追跡不能:複数エージェントが連鎖して起こしたインシデントは、どのエージェントのどの判断が起点かをログから再構成することが技術的に困難であり、コンプライアンス監査・インシデント対応の両面でブラックボックスになりやすい。

チェックリスト

  • A2A通信の全ペイロードに対してエージェントIDの署名検証を実装しており、署名なし・期限切れトークンを拒否するポリシーが存在するか。
  • Orchestratorが外部ソース(Web・DB・メール)から取得したコンテンツをサブエージェントへ渡す前に、プロンプトインジェクション検出レイヤー(入力サニタイズ・パターンフィルタ)を通過させているか。
  • MCPツール呼び出し権限はエージェントごとに最小権限で定義されており、Orchestratorの権限がサブエージェントへ自動継承されない設計になっているか。
  • エージェント間の全メッセージ交換(タスク定義・中間出力・ツール呼び出し結果)をSIEMへ転送する不変ログ基盤が整備されており、連鎖トレースが単一タイムラインで再現可能か。
  • マルチエージェント構成における「誰が最終意思決定者か」をインシデント対応手順書に明記しており、エージェント起因のデータ漏洩時の法的責任主体を社内外のステークホルダーと合意しているか。

打ち手

優先順位の高い順に整理する。第一に、A2A通信路へのmTLS適用とエージェント署名検証を実装し、なりすましエージェントの侵入経路を塞ぐ。第二に、外部データがエージェント間を流れる境界点にインジェクション検出プロキシを配置し、人手では読めないペイロードの異常検知を自動化する。第三に、MCPツール権限をエージェントロール別にスコープ定義し、権限継承を明示的に禁止する設定を標準化する。第四に、全エージェント間メッセージの構造化ログをOpenTelemetryで収集し、インシデント発生時の因果連鎖再現を可能にする基盤を整備する。

エージェントを信頼するな。通信を検証せよ。

Omamori AI の結論

  1. 事実: A2AおよびMCPプロトコルを使ったマルチエージェント構成では、エージェント間メッセージへの悪意ある指示混入・権限の暗黙継承・ログ欠損という三つの構造的脆弱性が並存しており、いずれも従来のシングルエージェント向けセキュリティ設計では対処できない。
  2. 判断軸: A2A通信を「エージェント同士の内部処理」として人間の監査対象外に置くか、「外部との通信と同等の信頼検証が必要な境界」として扱うかで、必要な統制設計が根本的に変わる。CISOはA2A通信を明示的に信頼境界として定義し直す判断を下す必要がある。
  3. 打ち手: mTLS+署名検証の実装、インジェクション検出プロキシの導入、MCPツール権限のロール別スコープ化、構造化ログによる連鎖トレース基盤構築の四施策を、リスクの大きいエージェントパイプラインから段階的に適用する。

経営者視点で考えるべきこと

マルチエージェント構成でインシデントが発生した場合、どのエージェントのどの判断が起点かを事後に証明できなければ、善管注意義務の履行を監査機関・取引先・裁判所に示すことができない。個人情報保護法・GDPRにおける「処理に関する説明責任」は、AIが介在した場合でも事業者に帰属する。エージェント間通信のログ欠損はそのまま法的抗弁能力の欠損を意味する。一方でエージェントの相互協調は業務自動化コストの大幅削減をもたらすため、リスクを理由に封じることは事業競争力の毀損につながる。取締役会が判断すべきは「使うか使わないか」ではなく、「どの範囲まで自律判断を許容し、どこに人間の検証ゲートを置くか」の線引きであり、その基準をポリシーとして明文化することが経営リスク管理の起点となる。

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細