あなたの会社には、何体のAIエージェントがいるだろうか。
即答できる人は、おそらくほとんどいない。もっと言えば、その「何体」という数字が正確に出せる企業は全体の25%以下だという。残りの75%は、自社の中で動いているAIエージェントの全容を把握できていない。これが2026年3月時点の、偽りない現実だ。
Graviteeが2026年に公開した「State of AI Agent Security 2026」レポートによると、技術チームの80.9%がAIエージェントのテストまたは本番運用に入っている。しかし、セキュリティ・IT部門の正式な承認を得てから稼働しているのは、わずか14.4%だ。つまり、残りの大半は「勝手に動いている」。
この記事では、いま企業セキュリティにとって最も見えにくく、最も危険な存在になりつつある「シャドーAIエージェント」について、3つの視点から掘り下げる。
シャドーAIエージェントとは何か — 従来のシャドーITとの決定的な違い
シャドーITの延長線上にあるが、根本的に違う
シャドーIT自体は昔からある問題だ。承認外のSaaSアカウントを社員が勝手に作る、個人のDropboxに業務ファイルを入れる。こうした話は10年以上前から繰り返されてきた。
しかし、シャドーAIエージェントには決定的な違いがある。自律的に行動するという点だ。
従来のシャドーITツールは、人間が使わなければ何もしない。Dropboxは勝手にファイルを他社に送らない。だがAIエージェントは違う。いったんデプロイされれば、APIを叩き、データベースにクエリを投げ、ワークフローを実行し続ける。人間がログアウトした後も、だ。
Kiteworksの2026年レポートは衝撃的な数字を出している。63%の企業がAIエージェントに目的の制限を適用できておらず、60%が暴走したエージェントを停止できない。要するに、動いていることすら知らないし、知っていても止められないケースが過半数を占めているということだ。
見つからない理由 — 従来の検出手法が通用しない
問題をさらに厄介にしているのが、シャドーAIエージェントの「見つけにくさ」だ。
多くのAIエージェントは、すでに承認済みのSaaSツールの上に構築される。Microsoft Copilot Studio、Salesforce Agentforce、n8nなど、正規に導入されたプラットフォームの機能として存在するため、従来のIT資産管理ツールでは「承認済みアプリの一部」として処理されてしまう。
ブラウザ拡張機能やIDEプラグインとして動くものも多い。自然言語でのプロンプトを通じて機密データとやり取りし、そのプロンプトは第三者サーバーに保存される。しかし、エンドポイントのセキュリティソフトからは「通常のHTTPSトラフィック」にしか見えない。
DataDomeの2026年2月のレポートによると、約80%のAIエージェントが自らを適切に識別しておらず、約80%のWebサイトが正規のAIエージェントと攻撃者のなりすましを区別できない。つまり、外からも中からも見えない。
なぜ今、急激に危険度が上がっているのか
視点1: 「実行レイヤー」への攻撃シフト
正直、ここ数ヶ月の変化は速すぎる。
従来のサイバー攻撃は、ネットワーク境界やエンドポイントを狙っていた。ファイアウォールを突破する、マルウェアを仕込む、フィッシングでクレデンシャルを盗む。防御側もそこに集中してきた。
だが攻撃者の関心は、いま「実行レイヤー」に移っている。AIエージェントが本番システムとやり取りするツール呼び出しやAPI連携の部分だ。ここにはほとんどの企業がガバナンスを設けていない。ツール呼び出しはデフォルトで信頼され、エージェントの既存クレデンシャルでそのまま実行される。
プロンプトインジェクション攻撃が特に効果的なのはこのためだ。悪意のある指示をエージェントに読み込ませれば、エージェントは自分の持っている権限で——つまり従来のセキュリティ境界を完全に迂回して——不正な操作を実行してしまう。
視点2: 非人間アイデンティティの爆発
もう一つの盲点がある。AIエージェントは「人間ではないのに、人間と同等以上の権限を持つ」存在だということだ。
従来のIAM(Identity and Access Management)は人間を前提に設計されている。IDとパスワード、MFA、セッション管理。だがAIエージェントはAPIキーやOAuthトークンで動く。共有APIキーでエージェント間認証を行っている場合、インシデント発生時に「どのエージェントが何をしたか」の特定が不可能になる。
さらに厄介なことに、エージェントが別のエージェントを作成・指示できる環境では、権限の自律的エスカレーションが起きうる。監査証跡は複雑に絡み合い、セキュリティチームが全体像を把握する頃には、すでに手遅れになっている。
視点3: 規制の時計が動き始めた
EU AI Actは2026年8月に執行フェーズに入る。高リスクAIシステムの登録が義務化され、違反には巨額の制裁金が課される。ここで重要なのは、知らなかったでは済まされないということだ。シャドーAIエージェントが高リスクカテゴリに該当する処理を行っていた場合、企業はその存在を知らなくてもコンプライアンス違反に問われる。
World Economic Forumの「Global Cybersecurity Outlook 2026」によると、87%の組織がAI関連の脆弱性を最も急速に成長するサイバーリスクとして位置づけている。問題を認識している経営層は増えている。だが認識と対応の間には、まだ大きな溝がある。
対応が始まった — しかし十分ではない
良いニュースもある。セキュリティベンダー各社がこの問題に動き始めた。
Nudge Securityは2026年3月24日、AIエージェントディスカバリー機能をリリースした。Microsoft Copilot Studio、Salesforce Agentforce、n8nなどのプラットフォーム上の社員作成エージェントを自動で検出し、権限やデータ接続をマッピングする。公開状態のエージェントやハードコードされたクレデンシャルといったリスクも可視化する。
CrowdStrikeはFalconプラットフォームに「Shadow AI Discovery」を追加。エンドポイント、SaaS、クラウド全体でAIエージェントを統合的に検出・分類する。さらにEDRレベルでAIエージェントの実行時挙動を監視する「AI Runtime Protection」も導入している。
NVIDIAとCrowdStrikeは共同で「Secure-by-Design AI Blueprint」を発表し、AIエージェントスタックにセキュリティを開発段階からネイティブに組み込むアプローチを提唱している。
ただし、これらは対処療法の域を出ていないと筆者は見ている。ツールを入れれば解決する問題ではない。必要なのは、AIエージェントを「ソフトウェア」ではなく「従業員」と同等に扱うガバナンスの根本的な転換だ。
AIエージェント開発者への影響 — 何を変えるべきか
AIエージェントを構築する側として、筆者がいま最も重要だと考えるのは以下の3点だ。
1. エージェントのアイデンティティ設計を最初からやる。共有APIキーでの認証は論外。エージェントごとに固有のID、スコープされた権限、期限付きトークンを設定する。OktaやAmazon SailPointが提供し始めているNon-Human Identity管理の仕組みは、いまのうちに評価しておく価値がある。
2. 「発見可能であること」をデフォルトにする。自分が構築したエージェントが、セキュリティチームのスキャンで検出されるようにしておく。ステルスで動くエージェントは、いずれ「脅威」として停止される。発見可能性は信頼の基盤だ。
3. ツール呼び出しに対する事前リスクスコアリングを実装する。エージェントがAPIを叩く前に、そのリクエストのリスクを評価する層を入れる。コネクタレベルでの粒度の細かいアクセス制御と、異常検知の仕組みは、もはやオプションではない。
正直なところ、これらを全部やるのは相当な手間だ。だが、セキュリティインシデントが起きた後の対応コストに比べれば、遥かに安い。
私の結論
シャドーAIエージェントは、2026年の企業セキュリティにおける「最大の死角」だと筆者は考えている。
理由は単純で、見えないものは守れないからだ。そして、いまの大半の企業は見えていない。
CrowdStrikeやNudge Securityのようなディスカバリーツールは良い第一歩だ。だが本質的な解決には、AIエージェントをITインフラの「住民」として正式に登録し、人間の従業員と同じレベルのID管理・アクセス制御・監査を適用する仕組みが必要になる。
EU AI Actの執行まであと5ヶ月。まだ対策していない企業は、いまから棚卸しを始めても遅くない。だが、始めなければ確実に遅い。
まずは今日、自社のIT部門に聞いてみてほしい。「うちで動いているAIエージェント、全部で何体か知ってますか?」と。その回答が、あなたの組織のリスクレベルを教えてくれるはずだ。
参考・出典
- State of AI Agent Security 2026 Report — Gravitee(参照日: 2026-03-25)
- AI Agent Data Governance: Why Organizations Can’t Stop Their Own AI — Kiteworks(参照日: 2026-03-25)
- The AI Agent Identity Crisis: 80% of Agents Don’t Properly Identify Themselves — Security Boulevard / DataDome(参照日: 2026-03-25)
- Nudge Security Extends AI Security Leadership with AI Agent Discovery — Nudge Security(参照日: 2026-03-25)
- New CrowdStrike Innovations Secure AI Agents, Govern Shadow AI — CrowdStrike(参照日: 2026-03-25)
- CrowdStrike, NVIDIA Unveil Secure-by-Design AI Blueprint for AI Agents — CrowdStrike / NVIDIA(参照日: 2026-03-25)
—
この記事はAIgent Lab編集部がお届けしました。AIエージェントの安全な導入・運用についてのご相談はお問い合わせフォームからお気軽にどうぞ。
あわせて読みたい:
- AIエージェントセキュリティ3強比較|Cisco・CrowdStrike・Palo Alto — 主要セキュリティベンダーの対応状況
- AIエージェントにIDは必要か?Okta新製品が示すセキュリティの新常識 — エージェントのID管理を深掘り
- AIエージェントのガードレールとは?なぜ必要で、どう実装するのか — ガードレール実装ガイド
