OWASP GenAIの「Agentic AI Top 10」公開──自律エージェント時代のセキュリティリスクと対策を整理する

スイッチはもう入っている：自律エージェントの現実と危機感

生成AIは“答える”段階を超え、“行動する”段階に入った。
エージェントはAPIを呼び、コードを実行し、ワークフローを横断しながら意思決定を下す。
その一歩が、企業の攻撃面を一気に拡張している。

OWASP GenAI Security Projectは12月11日、エージェント固有の脅威を体系化した初のガイド「OWASP Top 10 for Agentic Applications」を公開。
100名超の研究者・実務家・規制当局関係者がレビューに参加し、実装に移せる対策を提示した。
NISTや欧州委員会、アラン・チューリング研究所の専門家も関与し、オープンかつ実務志向の“指針”がここに整った。

何が公開されたのか：Top 10の骨子

代表的なリスクと狙われ方

OWASPは、チャットボット中心の従来議論から一線を画し、ツール駆動・計画・実行・協調までを含むエージェントの全体像を前提にした。
中でも目立つのは、行動方針の乗っ取り、ツール悪用、権限乱用といった“行為”に直結するカテゴリだ。

• エージェント目標ハイジャック（Agent Behavior/Goal Hijacking）
• ツールの誤用・悪用（Tool Misuse and Exploitation）
• アイデンティティと権限の乱用（Identity and Privilege Abuse）
• 予期せぬコード実行（Unexpected Code Execution / RCE）
• エージェント間通信の不備（Insecure Inter-Agent Communication）
• 人間の信頼の悪用（Human–Agent Trust Exploitation）
• サプライチェーン脆弱性（Agentic Supply Chain Vulnerabilities）
• メモリ／コンテキスト汚染（Memory and Context Poisoning）
• カスケード障害（Cascading Failures）
• 暴走エージェント（Rogue Agents）

注目は、これらが単独ではなく連鎖しやすい点だ。
メモリ汚染が目標ハイジャックを誘発し、誤ったツール行使がRCEや権限乱用に波及する。
“行動するAI”ならではの故障モードが体系化された意義は大きい。

一歩踏み込む：どこで破られ、なぜ止めにくいのか

ツール境界のすり抜けと暗黙の権限

ツールは生産性の鍵だが、同時に最短距離の攻撃路でもある。
プロンプトや中間出力を介し、エージェントがツールに不正リクエストを発行すれば、既存のアプリ脆弱性や機密APIに直結する。
「正規の権限内での悪用」が検知を難しくする。

もう一つの盲点は“暗黙の権限”だ。
チームの利便性から広めのロールを与えがちで、複数ツールの合成により意図せぬ能力が生まれる。
メモリやコンテキストが長期で再利用されると、占有や汚染の影響は長く残存する。

「Agent Behavior Hijacking, Tool Misuse and Exploitation and Identity and Privilege Abuse are some of the highlighted threats within the Top 10 and showcase how attackers can subvert agent capabilities or their supporting infrastructure.」

“言わせる”から“させる”への転換で、セキュリティはルール検査から行動監督へ。
この現実を前提に、OWASPは運用に落とし込める防御原則を整備した。

現場での使い方：自社リスクにマッピングする手順

Top 10を単なる“一覧”で終わらせない

フレームワークは読むだけでは効かない。
自社のエージェント行動・ツール・データ・アイデンティティに投影して、攻撃連鎖を可視化することが肝心だ。

• 資産の棚卸し：エージェントの目的、到達可能なデータ、呼べるツール、実行権限、長期メモリの有無を列挙。
• 攻撃面の写像：各資産をTop 10カテゴリにマッピングし、連鎖（例：メモリ汚染→目標ハイジャック→ツール悪用）を図示。
• 重大シナリオの選定：事業インパクトと到達容易性で優先度を付与。代表ユーザフローに紐づける。
• 防御コントロールの割当て：後述の“Least Agency”“AIファイアウォール”“監査ログ”などをシナリオごとに当て込む。
• レッドチーミングと回帰：攻撃連鎖を再現し、コントロールの実効性と回復力（ロールバック、停止スイッチ）を検証。

このプロセスを四半期ごとに回し、権限・ツール・メモリのドリフトを是正する。
“構成は変わる”を前提に、継続的な可観測性を備えておきたい。

防御戦略の要点：Least AgencyとAIファイアウォール

“最小自律性”で行動の幅を絞る

OWASPは“Least Agency（最小自律性）”を掲げる。
必要最小限の目的・ツール・スコープだけを与え、否定ガードレールは最終防壁として強制する。
権限は人と同じ原則でなく、行動連鎖の上限で設計する。

• スコープの明示境界：データ領域、時間、金額、宛先ドメインなどをポリシーで制約。
• ツールの粒度権限：読み取り／書き込み／実行を分離し、危険操作は人間承認を必須化。
• メモリ衛生：機微情報の短期化、セッション分離、要約キャッシュの脱機微化。

ツール前段の検疫層：AIファイアウォール

InfoQが指摘するように、エージェントとツールの間に“AIファイアウォール”を置く設計が有効だ。
入出力を検査し、プロンプト注入や危険命令、データ外泄の兆候を遮断する。
動的ポリシーと行動ヒューリスティクスを併用し、RCEや権限濫用の連鎖を手前で止める。

• リクエスト検査：コマンド、SQL、シェル、シリアライザなどの高危険トークンを検知・ブロック。
• データ損失防止：機微ラベル（PII、鍵、証跡）をフィルタリングし、外部送信を遮断。
• 行動レート制御：高価値操作の連続実行、再試行嵌り、異常な到達グラフをスロットリング。

さらに、監査可能な行動ログを残し、一時的な権限貸与と自動失効を徹底する。
“誰が・いつ・どの目的で・何をしたか”を後から検証できる状態が、統制の核心だ。

実装のヒント：社内コパイロットとSaaSエージェントでの落とし穴

内製エージェント（RAG・自動化）のポイント

RAGは“回答品質”だけでなく“行動安全”で評価する。
検索結果の汚染が目標ハイジャックに直結するため、出所検証と結果の多様性制御を併用する。
コード実行やIaC変更は、PR作成までを自動化し、マージは人間に残す。

• データ分割：テナント／プロジェクト単位のメモリとインデックスを分離。
• 変化点アラート：権限定義・ツール接続の差分を検知し、リスク審査を自動発火。
• セーフモード：異常時は“読み取り専用”へ即時ダウングレードできる設計を標準化。

SaaS連携エージェントのポイント

外部SaaSのAPI・Webhookは、境界が相手側にあることを忘れない。
スコープの限定、署名検証、呼び出し前のポリシーチェック、レスポンスのスキーマ検疫を“必須化”する。
連携が増えるほど、供給網リスクは幾何級数的に膨らむ。

• ゼロトラスト接続：mTLS・短命トークン・リソーススコープ・継続的認証。
• 外部依存の健全性監視：モデル・プラグイン・他エージェントの改竄兆候を監視。
• フェイルセーフ：下流失敗時は安全側へ倒すガード（再試行上限、二重支払い防止）。

ガバナンスとエコシステム：規制と業界知の合流点

今回のTop 10は、単なる技術リストではない。
NIST、欧州委員会、アラン・チューリング研究所の専門家がレビューに参加し、規制と実務を横断する“共通言語”を目指している。
ボードや監督当局に説明可能な枠組みとしても機能する。

「By distilling a broad ecosystem of OWASP GenAI Security guidance into an accessible, operational format, the Top 10 equips builders, defenders, and decision-makers with a clear starting point for reducing agentic AI risks.」

OWASPはこの他にも、Agentic Threats & Mitigations、Practical Guide to Securing Agentic Applications、FinBot CTFなどの実務リソースを公開している。
フレームワーク→設計原則→運用手引き→演習の流れで、組織に着地させよう。

参考情報と一次ソース

• OWASP Top 10 for Agentic Applications 2026（公式リソース）
• OWASP GenAI プロジェクトの発表（ブログ）
• ITmedia：AIエージェントの10大リスク（日本語報道）
• CSO Online：実務の教訓と準備
• InfoQ：AIファイアウォールと参照アーキテクチャ
• Security Boulevard：脅威一覧と追加ガイド

締めくくり：設計にセキュリティを、行動に統制を

エージェントは便利だが、危険も同じ速度で増幅する。
OWASPのTop 10は、恐れるための“注意喚起”ではなく、動くための“実装手引き”だ。
目的・ツール・権限・メモリの各点を制御し、連鎖の手前で止める。

Least Agencyで自律性の幅を設計し、AIファイアウォールでツール前段の検疫を強化し、可観測性で行動を記録する。
この三点を揃えれば、“何が起きたか”を説明でき、“次は防げる”状態に近づく。
自律エージェント時代のセキュリティは、もう始まっている。