AIコーディングエージェント(GitHub Copilot、Cursor、Claude Code など)の導入が加速するなか、これらのツールが参照する「設定ファイル」の管理が、企業セキュリティの新たな盲点になりつつあります。10,008件の GitHub リポジトリを分析した査読前研究(2026年6月公開)によると、エージェント設定ファイルの10%以上が組織境界を越えて複製されており、権限宣言を持つファイルは1%未満という実態が明らかになりました。
この記事でわかること
- AIコーディングエージェントの設定ファイルとは何か
- 実態調査が示すリスクの具体的な数字
- 情シスとして今すべきこと(インベントリ整備とポリシー対応)
AIコーディングエージェントの「設定ファイル」とは何か
GitHub Copilot、Cursor、Claude Code、Windsurf といったAIコーディングエージェントは、動作を制御する設定ファイルを持ちます。
.github/copilot-instructions.md(GitHub Copilot 用).cursorrules(Cursor 用)CLAUDE.md(Claude Code 用)- 各種エージェント定義ファイル(
.rules、.agent.mdなど)
これらは、エージェントがどのような操作・権限で動作するかを規定する「指示書」です。コードの生成にとどまらず、ファイルシステムへの書き込みやシェルコマンドの実行を含む広範な権限をエージェントに付与できるため、設定内容はセキュリティ上の重要度が高いと言えます。
実態調査が示すリスク:10,008リポジトリの分析結果
研究者らが2026年6月に公開した査読前論文(arXiv:2606.26924)は、GitHub の10,008リポジトリに含まれる6,145個のエージェント設定ファイルを大規模に分析しました。査読前のプレプリントであり、結果は今後変わりうる点にご留意ください。
| 指標 | 数値 |
|---|---|
| SHA-256 で内容が完全一致するファイル | 10.1% |
| 複製ペアのうち組織境界を越えているもの | 75.5% |
| 権限宣言を持つエージェント設定ファイル | 1%未満 |
| 権限宣言を持つ GitHub Actions ワークフロー(比較) | 33% |
| 単一コミットのみで更新されていない設定ファイル | 58% |
特に目を引くのが「権限宣言」の差です。GitHub Actions ワークフローは3割以上が権限を明示して管理されているのに対し、AIエージェント設定ファイルは1%未満です。AIエージェントのほうがより広範な権限を持ちうる(ファイルシステム全体やシェルアクセスなど)にもかかわらず、管理が大幅に遅れている実態が浮かびます。
なぜ設定ファイルがコピーされるのか
論文が指摘するのは、エージェント設定ファイルが「管理すべき依存関係」として扱われていないことです。
GitHub Actions の場合、ワークフローをコピー利用する際に permissions: セクションを書き直すのが慣行として根付いています。一方、AIエージェント設定ファイルは:
- ライブラリのように依存関係として明示されない(
package.jsonやrequirements.txt相当の管理概念がない) - 「動作実績のある設定をコピペして流用」が拡まりやすい
- コピー元の設定がどのような環境・権限を前提にしていたか、受け取った側が把握しないまま使用する
「組織をまたいだ複製が75.5%」という数字は、設定ファイルがサプライチェーンのように伝播し得ることを示唆しています。
情シスが意識すべきリスクは何か
過剰権限設定の残存:設定ファイルの58%が一度も更新されていません。初期に過剰な権限を付与した設定がそのまま使い続けられるリスクがあります。
悪意ある・不適切な設定の伝播:内容が検証されないままコピーされると、プロンプトインジェクション指示や意図しない動作を誘発する記述が組織内外に広まる可能性があります。
インベントリの欠如:自組織のどのリポジトリにどのエージェント設定ファイルが存在し、何を許可しているかを把握していない場合、インシデント時の調査が困難になります。
現場目線の課題
AIコーディングツールの導入は開発部門主導で進むことが多く、情シス・セキュリティチームが後から実態を把握しようとしても、どのリポジトリにどんな設定が存在するか一覧化できていないケースは少なくないでしょう。
GitHub Actions ですら権限管理の周知に年単位の時間がかかったことを振り返ると、AIエージェント設定ファイルが同水準の管理に達するまでには相応の啓発と仕組みが必要です。開発者の「まず動かす」文化とセキュリティの「まず管理する」文化のギャップが、まさにこの問題の背景にあります。ツール自体の機能が先行し、ガバナンスが追いつかないのはAI領域全体に共通した課題です。
情シスはどうすべきか(公的指針も参照を)
① 棚卸し(インベントリ):組織内リポジトリにある .cursorrules、CLAUDE.md、.github/copilot-instructions.md などを検索・一覧化する。GitHub の高度検索や CI の静的解析ツールで把握可能です。
② レビュープロセスへの組み込み:新規・変更されたエージェント設定ファイルを PR レビュー対象にし、「どの権限を付与しているか」を確認するステップを設ける。
③ 社内ポリシーへの明記:AIコーディングツール利用ポリシーに、設定ファイルの管理(最小権限の原則・定期レビュー・コピー利用時の権限確認)を含める。
AI利用に関するセキュリティ方針の策定については、IPA の「中小企業の情報セキュリティ対策ガイドライン」や、NIST の AI リスク管理フレームワーク(AI RMF 1.0)も参考になります。組織規模や体制に応じて適切な水準を検討してください。
まとめ
- AIコーディングエージェントの設定ファイルは組織をまたいで複製・伝播しており、10%以上で内容の一致が確認されている(査読前研究による)。
- 権限宣言を持つエージェント設定ファイルは1%未満で、GitHub Actions と比べ管理が大幅に遅れている。
- 情シスはインベントリ整備・レビュー組み込み・社内ポリシー策定の3点からAIコーディングツールの設定管理に着手することが求められる。
出典
Pranav Garg et al., “A Deterministic Control Plane for LLM Coding Agents”, arXiv:2606.26924(2026年6月公開、査読前プレプリント)
https://arxiv.org/abs/2606.26924
