AIエージェントの脅威モデリング
OWASP Top 10 for Agentic Applications、AWSスコーピングマトリクス、Rule of Twoフレームワークを使い、AIエージェントの脅威モデルを構築する。
プレミアムコースコンテンツ
このレッスンはプレミアムコースの一部です。Proにアップグレードすると、すべてのプレミアムコースとコンテンツを利用できます。
- すべてのプレミアムコースを利用
- 1,000以上のAIスキルテンプレート付き
- 毎週新しいコンテンツを追加
カオスからフレームワークへ
🔄 Quick Recall: 前回のレッスンで被害を見た:1クリックRCE、341の悪意あるスキル、認証情報漏洩、135,000の露出インスタンス。脅威は多い。フレームワークなしでは圧倒される。フレームワークがあればチェックリストになる。
脅威モデリングとは、セキュリティの専門家が「すべてが怖い」を「何が重要で何をすべきか」に変える方法。AIエージェントについては、2025-2026年にリスクを構造的に考えるための3つのフレームワークが登場した。
このレッスンの終了時にできるようになること:
- OWASP Top 10 for Agentic Applicationsを使いエージェントの脅威を分類できる
- AWSスコーピングマトリクスを適用し、エージェントに必要なセキュリティ制御を判断できる
フレームワーク1:OWASP Top 10 for Agentic Applications
OWASP GenAI Security Projectが2026年に、自律型AIエージェント専用に設計された初のフレームワークを公開。100人以上のセキュリティ専門家によるピアレビューを経て、計画・永続化・委任するエージェントの最も重大な10のリスクを特定した。
レッスン1で学んだ内容にマッピングしたリスト:
| # | リスク | 意味 | 実例 |
|---|---|---|---|
| A1 | ツール悪用 | エージェントが意図しない方法でツールを使用 | 悪意あるスキルがエージェントにシェルコマンド実行を指示 |
| A2 | 過剰なエージェンシー | 必要以上の権限をエージェントが保持 | 1フォルダだけ必要なのに全ファイルにアクセス |
| A3 | 安全でない出力処理 | エージェント出力が意図しないアクションを引き起こす | サニタイズなしで実行されるSQL生成 |
| A4 | データ漏洩 | エージェントのアクションを通じた機密データの流出 | 283スキルがコンテキストウィンドウ経由でAPIキー漏洩 |
| A5 | メモリポイズニング | エージェントの永続メモリの汚染 | ZenityのSOUL.mdバックドアがスキル削除後も持続 |
| A6 | マルチエージェント委任 | サブエージェントが過剰な権限を継承 | 読み取り専用ではなくフルシステムアクセスでサブエージェントを生成 |
| A7 | 安全でないプラグイン | サードパーティ統合が脆弱性を導入 | ClawHavocの341の悪意あるClawHubスキル |
| A8 | カスケード型ハルシネーション | ハルシネーション出力が実際のアクションにフィード | エージェントがCLIコマンドを捏造して実行 |
| A9 | アイデンティティスプーフィング | エージェントがユーザーや他のエージェントを偽装 | 明示的な承認なしにユーザー「から」メール送信 |
| A10 | サプライチェーンリスク | 信頼できないソースからの依存関係とスキル | 侵害されたGitHubアカウントがバックドア付きスキルを公開 |
レッスン1のカテゴリが直接マッピングされる:RCEはA1/A2、悪意あるスキルはA7/A10、認証情報露出はA4、露出インフラストラクチャはA2。
✅ Quick Check: エージェントがGoogle Docを読み、隠された指示を見つけ、SSHキーを外部サーバーに送信した。どのOWASPリスクが関与しているか?(答え:A1(ツール悪用——ネットワークツールで外部流出)、A4(データ漏洩——SSHキーの流出)、さらにA5の可能性(指示がメモリに残る場合)。トリガーは間接プロンプトインジェクションで、複数のカテゴリにまたがる。)
フレームワーク2:AWSスコーピングマトリクス
AWS Securityは異なる質問に答えるフレームワークを公開:「何がうまくいかないか?」ではなく「エージェントにどの程度のセキュリティが必要か?」
マトリクスには4つのスコープレベル:
| レベル | 説明 | 例 | セキュリティ要件 |
|---|---|---|---|
| No Agency | 静的応答、ツール使用なし | 基本的なチャットボット | 標準LLMセキュリティ |
| Prescribed | 固定ワークフロー、事前定義ツール | 「このファイルを要約」(特定パス指定) | 入力バリデーション、出力チェック |
| Supervised | 動的ツール選択、人間の承認 | 変更を提案し承認を求めるコーディングアシスタント | 権限境界、監査ログ |
| Full Agency | 自律的な計画と実行 | 夜間ワークフローを実行するOpenClaw | 完全なセキュリティスタック |
各スコープレベルに対してAWSは6つのセキュリティ次元を定義:
- アイデンティティとアクセス — エージェントの認証方法と、アクセスできるもの
- データ保護 — 認証情報と機密データの取り扱い
- ネットワークセキュリティ — エージェントがネットワーク経由で到達できるもの
- モニタリングとログ — 記録・アラートされるアクション
- インシデント対応 — 侵害されたエージェントの検出と停止方法
- コンプライアンス — 適用される規制要件
OpenClawのような個人AIエージェントはFull Agencyで動作する——マルチステップタスクを計画し、ツールを動的に選択し、最小限の人間の監視で実行する。つまり6つすべての次元で制御が必要。
実践的な洞察: 承認プロンプト付きのAIコーディングアシスタント(Supervised)を使う場合は、夜間に自律エージェントを実行する場合(Full Agency)よりセキュリティインフラが少なくて済む。セキュリティ投資をスコープに合わせる。
フレームワーク3:Rule of Two
Meta AIの研究(Simon Willisonが普及)が、組み合わさるとエージェントを危険にする3つの特性を特定した:
- プライベートデータへのアクセス — ファイル、認証情報、メッセージ、データベース
- 信頼できないコンテンツへの露出 — メール、Webページ、共有ドキュメント、ユーザー入力
- 外部通信の能力 — メッセージ送信、API呼び出し、ファイル書き込み
Rule of Two: これら3つのうち2つを持つエージェントは管理可能。3つすべてを持つエージェントは設計上セキュリティリスク——信頼できないコンテンツがエージェントを操りプライベートデータを外部通信で流出させられるため。
適用例:
| エージェント構成 | 特性 | リスクレベル |
|---|---|---|
| チャットボット(ツールなし) | 3つのうち0 | 低 |
| ファイル整理(ローカルのみ) | プライベートデータのみ | 低 |
| メールアシスタント(読み取り専用) | プライベートデータ+信頼できないコンテンツ | 中 |
| OpenClaw(デフォルト) | 3つすべて | 高 |
| OpenClaw(ハードニング済み、外部通信なし) | プライベートデータ+信頼できないコンテンツ | 中 |
Rule of Twoはあらゆるエージェントのクイックリスク評価を可能にする:特性を数える。3つならこのコースのすべてのセキュリティ制御が必要。
✅ Quick Check: ローカルファイルを読んでレポートを生成するがすべてのネットワークアクセスを無効にしたAIエージェントを設定した。Rule of Twoによるリスクレベルは?(答え:中程度以下。エージェントはプライベートデータにアクセスするが外部通信できない。ファイルから信頼できないコンテンツを処理しても、アウトバウンド通信がブロックされているため何も外部流出できない。三要素の1つを排除した状態。)
脅威モデルの構築
3つのフレームワークを組み合わせた実践的な4ステッププロセス:
ステップ1:スコープの分類(AWSマトリクス) エージェントのエージェンシーレベルは? No Agency、Prescribed、Supervised、Full Agencyのどれか?
ステップ2:三要素特性のカウント(Rule of Two) エージェントはプライベートデータにアクセスするか? 信頼できないコンテンツを処理するか? 外部通信するか? 数える。
ステップ3:関連するOWASPリスクの特定 エージェントの能力に基づき、Top 10のどれが適用されるか? ツールのないエージェントはA1に直面しない。メモリのないエージェントはA5に直面しない。
ステップ4:可能性とインパクトで優先順位付け すべてのリスクが同等ではない。サードパーティスキルをインストールするならA7が最重要。機密データを扱うならA4が最重要。
例:個人のOpenClawインスタンス
- スコープ:Full Agency(自律、マルチステップ、ツール選択)
- 三要素:3/3(ファイル+メール/Web+API呼び出し)——高リスク
- OWASP:A1、A2、A4、A5、A7、A10が主な懸念
- 優先順位:A7(スキル)とA4(認証情報)——レッスン1のデータに基づく
これでコースの残りへの明確なマップが得られる:Docker分離(レッスン3)がA2に対処、権限境界(レッスン4)がA1/A2に対処、スキル審査(レッスン5)がA7/A10に対処、監視(レッスン6)がA4に対処、プロンプトインジェクション防御(レッスン7)がすべてにまたがる。
Key Takeaways
- OWASP Top 10 for Agentic Applicationsは自律型AIエージェント専用の初のピアレビュー済みフレームワーク——ツール悪用、メモリポイズニング、カスケード型障害をカバー
- AWSスコーピングマトリクスはエージェントを4レベル(No Agency → Full Agency)に分類し、レベルごとに6つのセキュリティ次元を定義
- Rule of Twoはプライベートデータ+信頼できないコンテンツ+外部通信の3特性すべてを持つエージェントは設計上高リスクと判定
- 脅威モデルは3つを組み合わせる:スコープ分類→三要素カウント→OWASPリスク特定→優先順位付け
- すべてのエージェントに同じセキュリティが必要なわけではない——エージェントの実際のスコープと能力に制御を合わせる
Up Next
レッスン3:Docker分離——最初の防衛線——脅威モデルで何を防御すべきかがわかった。次は最も影響の大きい最初の防御を実装:最も一般的なエージェント攻撃をブロックする具体的なコンテナハードニングフラグ。
理解度チェック
まず上のクイズを完了してください
レッスン完了!