監視：リアルタイムで脅威を捕捉する

見えないものは守れない

🔄 Quick Recall: ここまで3つの防御層を構築した：Docker分離（レッスン3）、権限境界（レッスン4）、スキル審査（レッスン5）。しかし防御は失敗しうる。監視が予防で見逃したものを捕捉する。

Clawhatchが90以上の公開GitHubリポジトリのOpenClaw設定を監査。OpenClawのupdate、doctor、configureコマンドが環境変数を解決し、実際の値を設定ファイルに書き込むことを発見。環境変数にAPIキーを慎重に保管した開発者が、それらのキーがサイレントにディスク上の平文ファイルに書き込まれていることに気づかなかった。

監視なしには決して気づかない。

このレッスンの終了時にできるようになること：

3つの最も重大なエージェントセキュリティイベントを検出する監視を設定できる
即時エージェントシャットダウンのためのキルスイッチを設定できる

何を監視するか

エージェントのすべてのアクションを監視する必要はない。最も危険な攻撃パターンをカバーする3つのカテゴリに集中：

カテゴリ1：認証情報の露出

監視対象： 認証情報を露出させる可能性のあるエージェントアクション。

シグナル	意味	アラート優先度
ログファイルにAPIキーが出現	ロギングによる認証情報漏洩	クリティカル
コマンド後の設定ファイルにシークレット	解決・書き込みによる露出	クリティカル
認証情報パターンを含むアウトバウンドリクエスト	潜在的な外部流出	クリティカル
新しい環境変数アクセス	スキルが予期しない認証情報を要求	高

検出方法：

# エージェント出力ファイル内の認証情報パターンを監視
# 一般的なパターン: sk-*, AKIA*, token=*, Bearer *, api_key=*
watch -n 60 'grep -rn "sk-\|AKIA\|token=\|Bearer \|api_key=" /app/agent-data/logs/'

これは基本的なアプローチ。本番環境では、GitleaksやTruffleHog（ArgusがOpenClawの512の脆弱性を発見するのに使ったのと同じツール）が継続的にスキャンできる。

Clawhatchの発見はここに適用される： エージェント管理コマンドを実行した後、シークレットがディスクに書き込まれていないかチェック。コマンド前後で設定ファイルをハッシュ化する監視スクリプトがこれを捕捉する。

カテゴリ2：不正ツール使用

監視対象： 権限境界を超えるエージェントアクション。

シグナル	意味	アラート優先度
シェルコマンド実行（ブロック済みの場合）	侵害またはスキル悪用の可能性	クリティカル
許可ディレクトリ外のファイルアクセス	横方向移動の試行	高
予期しないドメインへのネットワークリクエスト	データ外部流出またはC2通信	クリティカル
メモリ/設定ファイルの変更	永続化の試行	高

レッスン4でアクション許可リストを設定した場合、リスト外のアクションの監視は簡単：試行されたブロック済みアクションはすべてアラートをトリガーすべき。

ネットワーク監視が特に有用。 ClawHavocキャンペーンは特定のIPのC2サーバーを使用していた。エージェントが突然許可リストにないIPアドレスと通信し始めたら、それは即座のレッドフラグ。

✅ Quick Check: エージェントは通常api.openai.comとapi.github.comにAPI呼び出しをする。監視が91.92.242.30へのリクエストを検出。どうすべきか？（答え：即座にエージェントをシャットダウン（キルスイッチ）。そのIPはClawHavocキャンペーンで使用されたC2サーバー。文脈が異なっても、未知のIPへの予期しないアウトバウンド接続は即座の調査が必要。）

カテゴリ3：行動の異常

監視対象： エージェントの通常の行動パターンの変化。

シグナル	意味	アラート優先度
ファイル読み取りの急増	偵察またはデータ収集の可能性	中
エージェントが自身のメモリを変更	正当な可能性も永続化攻撃の可能性も	高
異常に長い実行時間	暗号マイニングまたはリソース悪用の可能性	中
以前アクセスしたことのないファイルへのアクセス	横方向移動の可能性	中

行動監視にはベースラインが必要。1週間、エージェントが通常何をするか観察：どのファイルにアクセスし、どのツールを使い、どのAPIを呼び出すか。ベースラインの範囲外は調査に値する異常。

キルスイッチの設定

CyberArkの核心的洞察：エージェントは人間より速く行動する。侵害されたエージェントはデータ外部流出、ファイル変更、API呼び出しを数秒で行える。レスポンスもその速度に合わせる必要がある。

キルスイッチの3コンポーネント：

1. プロセス終了（即時）

# エージェントコンテナを即座に停止
docker stop agent-container --time=0

# stopが機能しない場合は強制キル
docker kill agent-container

2. トークン無効化（さらなるアクセスを防止）

エージェントがアクセスしていたすべてのAPIキーを無効化
露出した可能性のあるシークレットをローテーション
セッショントークンを無効化

3. エビデンス保全（調査用）

コンテナを破壊する前にコンテナログをコピー
コンテナファイルシステムのスナップショットを保存
エージェントが通信した内容を示すネットワークログを保存

順序が重要： まず停止（さらなる被害を防止）、次に無効化（アクセスを閉鎖）、そして保全（調査を可能に）。

✅ Quick Check: エージェントからの認証情報漏洩を検出した。侵害されたAPIキーを無効化したがエージェントコンテナの停止を忘れた。リスクは？（答え：エージェントが認証情報をキャッシュ、メモリに保存、またはすでに外部流出している可能性がある。侵害されたエージェントは他のまだ有効な認証情報を使って悪意ある操作を続ける可能性も。常にエージェントを最初に停止し、次にトークンを無効化する。）

実践的な監視セットアップ

3つのカテゴリをカバーする最小限の監視設定：

ステップ1：すべてをログに記録

すべてのツール呼び出し、ファイルアクセス、ネットワークリクエストをログに記録するようエージェントを設定。フォーマットにはタイムスタンプ、アクション、ターゲット、結果を含める。

ステップ2：認証情報パターンの監視

エージェント出力を認証情報パターンで数分ごとにスキャンするcronジョブまたはバックグラウンドプロセスを設定。一致があれば即座にアラート。

ステップ3：ネットワーク接続の監視

Dockerのネットワークロギングまたはシンプルなプロキシを使って、すべてのアウトバウンド接続を記録。許可リストと照合。

ステップ4：アラートの設定

クリティカルなシグナルが検出されたとき、次のログレビューセッションではなく即座に知る必要がある。クリティカルアラートには通知メカニズム（メール、Slack、システム通知）を使用。

ステップ5：キルスイッチのテスト

キルスイッチの手順を必要になる前に練習する。エージェントの停止、トークンの無効化、エビデンスの保全を5分以内にできることを確認。実際のインシデントでは手順を考える時間がない。

オブザーバビリティのマインドセット

Microsoftの2026年レポートはFortune 500企業の80%以上がアクティブなAIエージェントを使用しており、共通の結論に収束していることを発見：セキュリティにはエージェントの決定チェーン全体のオブザーバビリティが必要——推論ステップ、ツール呼び出し、メモリ参照、アクション。

個人使用にはエンタープライズツールは不要。必要なのは：

エージェントが何をしているかのログ（アクションとターゲット）
それらのアクションが境界を超えた時のアラート
アラートが発火した時の練習済みキルスイッチ

これだけ。3つのコンポーネント。残りは規律——ログを毎週レビューし、監視を稼働し続けること。

Key Takeaways

3つのカテゴリを監視：認証情報の露出、不正ツール使用、行動の異常
日常的なコマンドがシークレットを露出できる——OpenClawのconfigure/updateが環境変数の解決値をディスクに書き込む
キルスイッチの3ステップ：エージェント停止（即時）、トークン無効化（アクセス閉鎖）、エビデンス保全（調査）
順序が重要：まず停止、次に無効化、そして保全
行動のベースラインには観察が必要——異常を検出するにはまず正常を知る
キルスイッチを必要になる前にテスト——練習が5分のレスポンスと5時間のレスポンスの差を生む

Up Next

レッスン7：プロンプトインジェクション——未解決の問題——監視は稼働中。しかし1つの脅威はこれまでのすべてと根本的に異なるため、専用のレッスンが必要：プロンプトインジェクション。現在の防御の85%がなぜ失敗するのか、実際に機能する多層緩和策を学ぶ。