Microsoft Copilot、GitHub Copilot、社内構築のLLMエージェントがファイル操作・メール送信・API連携を自律的に担う場面が急速に増えている。情シスが直面しているのは「どう動かすか」だけでなく、「意図しない動作をどう止めるか」という新たな問いだ。
ソウル国立大学の研究者が2026年6月に公開したプレプリント「VIGIL」は、AIエージェントスキルの実行時ポリシー強制という形でこの問いに答えようとしている。本記事では研究の骨子と情シスへの示唆をまとめる。なお、本論文はarXivで公開された査読前のプレプリントであり、内容は今後変わりうる点に留意してほしい。
この記事でわかること
- AIエージェントスキルが企業環境にもたらすセキュリティリスクの構造
- VIGILが提案する実行時ポリシー強制の仕組みと実験結果
- 情シスとして今確認・整備すべきポイント
なぜ「書いてあるだけ」のポリシーでは不十分なのか
LLMエージェントシステムでは、スキル(エージェントが使う機能モジュール)ごとに「このファイルは参照してよいが外部送信は禁止」「承認なしにカレンダーを変更するな」といった制限が自然言語で記述されている。問題は、こうした仕様がシステムに技術的に強制されていないことが多い点だ。
エージェントが実際にどう動くかはモデルの判断に依存しており、以下のような攻撃・障害により想定外の操作が通り抜けるリスクがある。
- EchoLeak / ForcedLeak:プロンプトインジェクションを通じてエージェントが処理したデータを攻撃者のサーバーへ漏洩させる攻撃手法の実証事例
- OpenClaw:サードパーティのスキルライブラリが汚染され、エージェントが意図しない動作を取る事例
IPAが発表した「情報セキュリティ10大脅威 2026」でも「AIの利用をめぐるサイバーリスク」が初めて大脅威リストに選出され、プロンプトインジェクション経由のデータ漏洩は国内企業でも現実の脅威として認識されつつある(IPA 10大脅威 2026)。
VIGILとは――実行時ポリシー強制の仕組み
VIGILは「動作仕様を自然言語から機械処理可能な形式に変換し、実際の実行トレースに照らしてリアルタイムで違反を検出・阻止する」というアプローチを採る。コアとなる技術要素は3つだ。
① ポリシー言語による形式化
スキル仕様に記述された制約を、エージェント・ツール間のイベントにおける時間的依存性・引数制約・値フロー条件として表現できる専用ポリシー言語に変換する。「ファイルをロードした後で外部APIにデータを送信してはならない」といった複数ステップにまたがる制約を扱える点が、従来のルールベース監視と大きく異なる。
② SMT制約による多段階違反検出
ポリシーを有限トレース上のSMT制約(充足可能性モジュロ理論)に変換し、Z3ソルバーで解析する。単一APIコールの監視では見逃される「複数アクション間の値フローや依存関係を通じた違反」を検出できる。たとえば「ファイルを読む」→「要約する」→「外部に送信する」という一連の操作が、ポリシーに違反するシーケンスかどうかを判定できる。
③ 文脈的粒度の動的調整
監視対象イベント・保持すべき状態・推論スコープをタスク文脈に応じて動的に決定することで、重厚な全量監視によるパフォーマンス劣化を抑える。この「文脈的粒度の課題」への対応がVIGILの設計上の特徴の一つだ。
実験結果:3業務シナリオで95%超の検出率
| 評価シナリオ | 内容 |
|---|---|
| オフィス文書処理 | スプレッドシート・文書操作タスク |
| 運用自動化 | システム管理・オペレーション自動化 |
| エンジニアリング業務 | コード生成・技術タスク |
3つの実業務シナリオで評価した結果、リコール率95%以上・偽陽性率10%未満を達成した。既存ハードウェア上でバックグラウンド動作させることが現実的であることも確認されており、著者らは10億ユーザー規模システムへの展開可能性を示唆している。
限界・留意点:スキルごとに詳細なポリシー定義が必要であり、既存の監視インフラとの統合設計も求められる。また、新規ユーザーや弱い社会的ネットワーク(接触者が少ない)環境では性能が低下する可能性がある。現時点では研究プロトタイプであり、商用製品への組み込みには検証が必要だ。
情シスとして今確認すべきこと
VIGILが商用製品に組み込まれるまでには時間がかかる。しかし研究が示す「ポリシーは記述するだけでなく、技術的に強制されなければ意味がない」という教訓は、今の自社環境でもそのまま活かせる問いかけだ。
- エージェントの動作範囲を明文化する:どのファイル・API・通信チャネルへのアクセスを許可するか、明確に定義しているか確認する
- ポリシー強制の実装を確認する:導入するAIプラットフォームがポリシーを技術的に強制する仕組みを持っているかをベンダーに確認する
- 操作ログを整備する:エージェントが何をしたかを事後的に追跡できるログ基盤があるか確認する
- 最小権限原則を徹底する:エージェントに与えるツール・リソースアクセスを業務に必要な最小限に絞る
AIセキュリティに関するIPAの公開リソースも、社内での基準策定や啓発活動に活用できる。IPA「AIセキュリティ」のページでは、AIシステムへの攻撃手法の整理や利用者向けの基礎資料が公開されている。また「AI利用者のためのセキュリティ豆知識」は社内勉強会の教材としても活用できる。
現場目線:「エージェントが何をしたか」を把握できているか
率直に言えば、「AIエージェントが業務システムにアクセスできる」という状況に、多くの組織のセキュリティ管理が追いついていない。従来のEDRやネットワーク監視は「人間が使うアプリの振る舞い」を前提に設計されており、LLMエージェントが複数のAPIを自律的に連鎖させて情報フローを生む場合、それを追跡・解釈することは難しい。
VIGILのような実行時強制技術が製品に組み込まれるまでの間、「エージェントに何をさせるかを明示的に決め、それ以外を禁止する(許可リスト型の設計思想)」を徹底することが、今できる現実的な第一手だと感じる。今の段階から「エージェントが何をしたか」を可視化できる仕組みを整えておくことは、将来の統制強化にも直結する。
まとめ
- LLMエージェントが業務システムを操作する環境では、自然言語ポリシーだけでは不十分で技術的な強制機構が必要。EchoLeakやプロンプトインジェクションは現実の脅威だ
- VIGILはSMT制約と動的文脈調整を組み合わせた実行時ポリシー強制フレームワークで、3業務シナリオで95%超のリコール率を達成(査読前プレプリント、結果は今後変わりうる)
- 情シスが今できるのは、エージェントの動作範囲の明文化・ポリシー強制の実装確認・操作ログの整備・最小権限の徹底という4点から着手することだ
出典
- Subin Song, Taekyoung Kwon, “VIGIL: Runtime Enforcement of Behavioral Specifications in AI Agent Skills,” arXiv:2606.26524v1, 2026. https://arxiv.org/abs/2606.26524
- IPA「情報セキュリティ10大脅威 2026」https://www.ipa.go.jp/security/10threats/10threats2026.html
- IPA「AIセキュリティ」https://www.ipa.go.jp/digital/ai/security/index.html
- IPA「AI利用者のためのセキュリティ豆知識」(プレスリリース 2026-04-02)https://www.ipa.go.jp/pressrelease/2026/press20260402.html
