自律的にツールを呼び出し、データを操作し、ほかのエージェントと連携する「AIエージェント」が業務に入り始めました。問題は、従来の権限管理(認可)が「やってよい/いけない」しか表現できず、「やったら必ず後始末する」「ある条件では免除する」といった“義務”を扱えないことです。本記事では、この穴を埋める研究として提案された「義務ポリシー(deontic policy)」によるエージェントの実行時ガバナンスを、情シス実務者の視点でかみ砕きます。なお本研究は査読前のプレプリントであり、結論は今後変わりうる点に留意してください。
この記事でわかること
- なぜ既存の権限管理(XACML/Rego/Cedar)だけではAIエージェントを統制しきれないのか
- 「義務ポリシー」とは何か、何を新しく表現できるのか
- LLMの“外側”でポリシーを評価する設計の意味と、現場での使いどころ・限界
- OWASPやIPAの公的な枠組みとどうつながるのか
何が起きているのか:エージェントは「認可」だけでは縛れない
LLMを中核にした自律エージェントは、ツール実行・データ操作・ソフトウェア導入・他エージェントとの連携を、組織の境界をまたいで行います。これは、認証(誰か)とアクセス制御(何ができるか)だけでは統制が足りない、という新しいクラスのセキュリティ・プライバシー・コンプライアンス課題を生みます。
今回取り上げる研究は、メリーランド大学ボルチモア郡(UMBC)らのAnupam Joshi、Tim Finin、Karuna Pande Joshi、Lalana Kagalの各氏による「Deontic Policies for Runtime Governance of Agentic AI Systems」(2026年6月17日投稿、2026 IEEE Symposium on Agentic Services向け)です。著者らは、現在主流のポリシーエンジン(XACMLやRego、Cedar)は基本的にpermit/prohibit(許可/禁止)の判定に閉じており、企業ガバナンスに必要な構造を表現しきれないと指摘します。
「許可/禁止」では足りない具体例
たとえば、次のような統制は単純な許可・禁止では書けません。
- 義務(obligation):「顧客データを外部APIに渡したら、所定のログ記録と通知を必ず行う」
- 免除(dispensation):「インシデント対応中など特定条件下では、通常の承認手順を一時的に免除する」
- 義務の追跡:エージェントが“やるべきこと”を完了したかをライフサイクルとして管理する
こうした「やってよいか」だけでなく「やった後に何を負うか」を扱うのが、義務論理(deontic logic)に基づくポリシーの考え方です。
提案手法:「義務ポリシー」を LLM の外側で評価する
著者らはAgenticReiというシステムを提案します。これは、許可・禁止に加えて義務・免除を表現できる義務ポリシー言語で、研究グループが長年取り組んできた「Rei」フレームワークを土台に、OWL(Web Ontology Language)で記述されます。要点は次の通りです。
| 機能 | 内容 |
|---|---|
| 義務のライフサイクル管理 | 行動の後にエージェントが負う「やるべきこと」を追跡・管理する |
| 免除(dispensation) | 特定の状況下で義務を一時的に解除する |
| 競合解決 | ポリシー同士が矛盾した場合、メタポリシーで優先順位を決める |
| オントロジー推論 | 医療・サイバーセキュリティなどの分野のクラス階層に沿って規則を適用する |
設計上の最大のポイントは、ポリシーの評価をLLMの内部ではなく外側に置き、高性能な論理エンジンが実行時に判定することです。エージェントのツール呼び出しと、エージェント間の通信の両方を、この外部エンジンが統制します。著者らは、こうした制約は現行の本番エンジンでは「そもそも表現できないものが多い」とし、産業標準(A2ASなど)とも自然に組み合わせられると主張しています。
なぜ「LLMの外側」が重要なのか
LLM自身にルールを“お願い”するだけでは、プロンプトインジェクションや目的のすり替え(goal hijacking)で容易に骨抜きになります。判定ロジックをモデルの外側の決定的なエンジンに置けば、モデルが何を出力しようと、ツール実行や通信の段階で機械的にブロック・義務付けができます。ガードレールを“説得で破れない場所”に置く、という発想は、現場の感覚にも合います。
現場目線の課題:理屈は分かる、運用は重い
実務者として正直に言えば、方向性には強く頷けます。エージェントに業務を任せるほど「禁止リスト」では追いつかず、「やったら必ずこれをやれ」という義務の表現が要る、という問題意識は的を射ています。一方で、現場に下ろすと次の重さが見えてきます。
- ポリシーを書く人が要る:OWL/オントロジーで業務ルールを記述・保守できる人材は、多くの情シス部門に潤沢ではありません。
- 本研究は実証が限定的:論文は事例での実現可能性の提示が中心で、本番システムとの性能比較や大規模ベンチマークは乏しいと著者ら自身が認めています。実行時に論理エンジンを挟むレイテンシやスケールは、自社環境で要検証です。
- “正しいポリシー”を誰が決めるか:義務や免除の線引きは、結局は業務・法務・セキュリティの合意形成です。ツールが入っても、この合意づくりの負荷は消えません。
限られた人員で社内の端末すべてに目が届かないのと同じで、増殖するエージェントの挙動を人手で追い切るのは非現実的です。だからこそ「機械的に効く統制点」を持つ意義は大きい——ただし、それを書き・運用する側の体力をどう確保するかが、導入の本当の論点になります。
情シスはどうつなげて考えるか(公的・標準フレームへの接続)
この研究は学術的な一提案ですが、考え方は2026年に出そろってきた実務フレームと地続きです。すぐに導入するというより、自社のAIエージェント統制を設計するときの“語彙”として押さえるのが現実的です。
- OWASP Top 10 for Agentic Applications(2026):目的のすり替え、ツールの誤用、ID・権限の濫用、ガードレールの欠如など、エージェント特有のリスクを体系化。義務ポリシーが効く領域の地図として有用です。
- NIST AI RMF:GOVERN/MAP/MEASURE/MANAGEの枠組みで、組織としての統制プロセスを整理できます。
- IPA「情報セキュリティ10大脅威 2026」:初めて「AIの利用をめぐるサイバーリスク」が選出されました。経営層・他部署への説明材料として使いやすい一次情報です。
まず日本語の足場としては、IPAのAIセキュリティのページやAIセキュリティ短信を参照し、生成AI・エージェント利用時に最低限押さえるべき観点を共有するのが入り口になります。新しい統制技術の前に、地道な利用者教育・啓発が効くのは従来のセキュリティと同じです。
まとめ
- AIエージェントは「許可/禁止」だけでは縛れず、義務・免除を含む“義務ポリシー”で実行時に統制する研究が提案された(査読前)。
- 肝は、ポリシー評価をLLMの外側の論理エンジンに置き、ツール呼び出しとエージェント間通信を機械的に統制する設計思想。
- 実装の実証は限定的。今すぐの導入というより、OWASP Agentic Top 10・NIST AI RMF・IPAと合わせて自社の統制設計の語彙にするのが実務的。
出典
- Anupam Joshi, Tim Finin, Karuna Pande Joshi, Lalana Kagal「Deontic Policies for Runtime Governance of Agentic AI Systems」arXiv:2606.19464(2026年6月17日)https://arxiv.org/abs/2606.19464 ※査読前のプレプリント
- IPA「AIセキュリティ」https://www.ipa.go.jp/digital/ai/security/index.html
- IPA「AIセキュリティ短信」https://www.ipa.go.jp/digital/ai/security/ai-security-bulletin.html
- OWASP Gen AI Security Project「Agentic Security Initiative」https://genai.owasp.org/initiatives/agentic-security-initiative/
