米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html)【まるちゃんの情報セキュリティ気まぐれ日記】(2026年01月12日) --- > [!NOTE] この記事の要約（箇条書き） - **記事概要**: 2026年1月15日付けの「まるちゃんの情報セキュリティ気まぐれ日記」の投稿。 - **主要テーマ**: 米国NISTのCAISI（AI標準化・イノベーションセンター）が、AIエージェントシステムのセキュリティ強化に関する情報提供要請（RFI）を発表したことについて解説。 - **RFIの背景**: AIエージェントシステムの普及に伴うセキュリティ脅威の増加、経済競争力、公共安全、インフラリスク、技術標準の不足といった懸念がある。 - **RFIの主な質問項目**: - AIエージェントシステム特有のセキュリティ脅威、リスク、脆弱性、およびその将来的な変化。 - 開発・展開におけるセキュリティ改善策（モデルレベル、システムレベル、人間による監視制御）。 - セキュリティ脅威の予測・特定・評価手法、展開後のインシデント検知、サプライチェーンセキュリティとの整合性。 - 展開環境の制限、変更、監視方法、望ましくない行動の取り消し・ロールバックの現状。 - その他の考慮事項（迅速なセキュリティ実践の採用、政府とAIエコシステムの連携、研究分野、他国の取り組み、他分野からの知見）。 - **著者のコメント**: AIエージェントシステムがもたらす不確実性の高まり、人間による関与の重要性、複数のAIシステム連携時の責任分担の検討の必要性を指摘。 - **RFI提出期限**: 2026年3月9日。 > [!NOTE] 要約おわり --- [« 中国パブコメインターネットアプリケーション個人情報取得・利用規定 (2026.01.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-360e0e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [英国 ICO技術展望: エージェント型AI（Agentic AI） »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html) ## 2026.01.15 ### 米国 NIST CAISI AIエージャントシステムのセキュリティ強化に関するRFI (2026.01.12) こんにちは、丸山満彦です。 NIST CAISIが **AIエージェントシステムのセキュリティ強化に関するRFIを** 公表していますね... AI Agent システムが台頭し、実世界への影響増加しつつある一方、セキュリティ脅威の増加、米国経済競争力への懸念、公共安全とインフラリスク、技術標準の不足といった懸念事項があることが背景としてあるのでしょうかね... 要求事項の項目... 1. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性 2. AIエージェントシステムのセキュリティ対策 3. AIエージェントシステムのセキュリティアセスメント 4. 展開環境の制限、変更、監視 5. 追加の考慮事項常に先を見て行動できていますよね... 用語の定義がまず必要ですかね。。。AI Agent SystemはAgentic AIと同じ意味？それぞれの定義が曖昧なのでなんとも言えないような気もするけど... きっと法律やガイドの作成、人間の関与の仕方、レッドチーミングテスト、インシデントデータベースなど、重要となってくるのかもしれません。。。早めに取り組まないとですね... AIエージェントシステムが普及する世界というのは、 **（不確実性） n** のような世界になるような気がしますので、どのポイントで人間が関与していくのか？というのが重要な要素になるのではないかと思いました。例えば、法的な面も含めていうと複数のAIシステムの連携が生じた場合の責任の分担もよく考えておく必要があります。例えば、XとYというAIシステムが協働して共通のアウトプットを出したことにより被害が生じた場合のXとYを管理している組織間の責任関係はどうなるのか？というのを考えた場合、XやYを使うためにどのような準備を必要かというのは重要な話かもしれません。。。 ● **NIST - CAISI** ・2026.01.12 [**CAISI Issues Request for Information About Securing AI Agent Systems**](https://www.nist.gov/news-events/news/2026/01/caisi-issues-request-information-about-securing-ai-agent-systems) | **CAISI Issues Request for Information About Securing AI Agent Systems** | **CAISI、AIエージェントシステムのセキュリティ強化に関する情報提供を要請** | | --- | --- | | The Center for AI Standards and Innovation (CAISI) at the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has published a Request for Information (RFI) seeking insights from industry, academia, and the security community regarding the secure development and deployment of AI agent systems. | 米国商務省国立標準技術研究所（NIST）傘下のAI標準化・イノベーションセンター（CAISI）は、AIエージェントシステムの安全な開発・展開に関する業界、学界、セキュリティコミュニティからの知見を求める情報提供要請（RFI）を発表した。 | | AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. While these systems promise significant benefits for productivity and innovation, they present unique security challenges. | AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画・実行する能力を持つ。生産性やイノベーションに大きな利益をもたらす可能性を秘める一方で、独自のセキュリティ課題も提示している。 | | AI agent systems face a range of security threats and risks. Some risks overlap with other software systems, such as exploitable authentication or memory management vulnerabilities. This RFI, however, focuses on distinct risks that arise when combining AI model outputs with the functionality of software systems. This includes risks from models interacting with adversarial data (such as in indirect prompt injection), risks from the use of insecure models (such as models that have been subject to data poisoning), and risks that models may take actions that harm security even in the absence of adversarial inputs (such as models that exhibit specification gaming or otherwise pursue misaligned objectives). These security challenges not only hinder adoption today but may also pose risks for public safety and national security as AI agent systems become more widely deployed. | AIエージェントシステムは多様なセキュリティ脅威やリスクに直面している。認証やメモリ管理の脆弱性といった他のソフトウェアシステムと共通するリスクも存在する。しかし本RFIは、AIモデルの出力とソフトウェアシステムの機能を組み合わせる際に生じる特有のリスクに焦点を当てる。これには、敵対的データとの相互作用によるリスク（間接的プロンプト・インジェクションなど）、安全でないモデルの使用によるリスク（データ・ポイズニングを受けたモデルなど）、敵対的入力がなくてもセキュリティを損なう行動を取る可能性のあるモデルによるリスク（仕様ゲームを示すモデルや、目的がずれた目標を追求するモデルなど）が含まれる。これらのセキュリティ課題は、現在の導入を妨げるだけでなく、AIエージェントシステムの普及が進むにつれて公共の安全や国家安全保障へのリスクをもたらす可能性がある。 | | The RFI poses questions on topics including: | 本RFIでは以下のテーマについて質問を提示する： | | ・Unique security threats affecting AI agent systems, and how these threats may change over time. | ・AIエージェントシステムに影響を与える **固有のセキュリティ脅威** 、およびこれらの脅威が **時間とともにどのように変化するか** 。 | | ・Methods for improving the security of AI agent systems in development and deployment. | ・開発および展開段階におけるAIエージェントシステムのセキュリティを **改善する方法** 。 | | ・Promise of and possible gaps in existing cybersecurity approaches when applied to AI agent systems. | ・既存のサイバーセキュリティ手法をAIエージェントシステムに **適用した場合の有効性と潜在的な不足点** 。 | | ・Methods for measuring the security of AI agent systems and approaches to anticipating risks during development. | ・AIエージェントシステムの **セキュリティを測定する方法** と、開発段階におけるリスク予測の手法。 | | ・Interventions in deployment environments to address security risks affecting AI agent systems, including methods to constrain and monitor the extent of agent access in the deployment environment. | ・AIエージェントシステムに影響するセキュリティリスクに対処するための展開環境における **介入策** 。これには展開環境内でのエージェントアクセス範囲を制限・監視する方法も含まれる。 | | Input from AI agent deployers, developers, and computer security researchers, among others, will inform future work on voluntary guidelines and best practices related to AI agent security. It will also contribute to CAISI’s ongoing research and evaluations of agent security. Respondents are encouraged to provide concrete examples, best practices, case studies and actionable recommendations based on their experience with AI agent systems. The full RFI can be found here. | AIエージェントの展開担当者、開発者、コンピュータセキュリティ研究者などからの意見は、AIエージェントセキュリティに関する自主的ガイドラインとベストプラクティスの将来的な作業に反映される。また、CAISIによるエージェントセキュリティの継続的な研究と評価にも寄与する。回答者は、AIエージェントシステムに関する自身の経験に基づき、具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう奨励される。RFI全文はこちらで閲覧可能である。 | ● **Federal Register** ・2026.01.12 [**Request for Information Regarding Security Considerations for Artificial Intelligence Agents**](https://www.federalregister.gov/documents/2026/01/08/2026-00206/request-for-information-regarding-security-considerations-for-artificial-intelligence-agents) | **Request for Information Regarding Security Considerations for Artificial Intelligence Agents** | **人工知能エージェントのセキュリティ考慮事項に関する情報提供要請** | | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **AGENCY:** | **機関：** | | Center for AI Standards and Innovation (CAISI), National Institute of Standards and Technology (NIST), U.S. Department of Commerce. | 米国商務省国立標準技術研究所（NIST）内人工知能標準・イノベーションセンター（CAISI） | | **ACTION:** | **措置：** | | Notice; request for information (RFI). | 通知；情報提供要請（RFI）。 | | **SUMMARY:** | **概要：** | | The Center for AI Standards and Innovation (CAISI), housed within the National Institute of Standards and Technology (NIST) at the Department of Commerce, is seeking information and insights from stakeholders on practices and methodologies for measuring and improving the secure development and deployment of artificial intelligence (AI) agent systems. AI agent systems are capable of taking autonomous actions that impact real-world systems or environments, and may be susceptible to hijacking, backdoor attacks, and other exploits. If left unchecked, these security risks may impact public safety, undermine consumer confidence, and curb adoption of the latest AI innovations. We encourage respondents to provide concrete examples, best practices, case studies, and actionable recommendations based on their experience developing and deploying AI agent systems and managing and anticipating their attendant risks. Responses may inform CAISI's work evaluating the security risks associated with various AI capabilities, assessing security vulnerabilities of AI systems, developing evaluation and assessment measurements and methods, generating technical guidelines and best practices to measure and improve the security of AI systems, and other activities related to the security of AI agent systems. | 商務省国立標準技術研究所（NIST）内に設置された人工知能標準・イノベーションセンター（CAISI）は、人工知能（AI）エージェントシステムの安全な開発・展開を測定・改善するための実践手法と方法論について、関係者からの情報と知見を求めている。AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を取ることが可能であり、ハイジャック、バックドア攻撃、その他の悪用に対して脆弱である可能性がある。これらのセキュリティリスクが放置されれば、公共の安全に影響を与え、消費者の信頼を損ない、最新のAIイノベーションの採用を阻害する恐れがある。回答者には、AIエージェントシステムの開発・展開経験、および付随するリスクマネジメントに基づく具体的な事例、ベストプラクティス、ケーススタディ、実行可能な提言を提供するよう促す。回答内容は、CAISIの以下の活動に資する可能性がある：各種AI機能に関連するセキュリティリスクの評価、AIシステムのセキュリティ脆弱性の評価、アセスメント・測定手法の開発、AIシステムのセキュリティ測定・改善のための技術ガイドライン及びベストプラクティスの策定、その他AIエージェントシステムのセキュリティ関連活動。 | | **DATES:** | **提出期限：** | | Comments containing information in response to this notice must be received on or before March 9, 2026, at 11:59 p.m. Eastern Time. Submissions received after that date may not be considered. | 本通知への回答情報を含むコメントは、2026年3月9日午後11時59分（東部時間）までに受理されなければならない。この期限後に受理された提出物は考慮されない可能性がある。 | | **ADDRESSES:** | **提出先：** | | Comments must be submitted electronically via the Federal e-Rulemaking Portal. | コメントは連邦電子規則制定ポータル（Federal e-Rulemaking Portal）経由で電子的に提出しなければならない。 | | ... | ... | | **SUPPLEMENTARY INFORMATION:** | **補足情報：** | | **Authority** | **法的根拠** | | This RFI advances NIST's activities to support measurement research and development of best practices for artificial intelligence systems, including their safety and robustness to adversarial attacks (15 U.S.C. 278h-1(b)). It is consistent with NIST's functions to, inter alia, compile data, provide a clearinghouse of scientific information, and assist industry in improving product quality (15 U.S.C. 272(b-c)). | 本RFIは、人工知能システムの安全性及び敵対的攻撃に対する堅牢性を含む、最良の実践手法の測定研究開発を支援するNISTの活動を推進するものである（15 U.S.C. 278h-1(b)）。これは、NISTがデータを収集し、科学情報の交換拠点を提供し、産業の製品品質向上を支援するなどの機能（15 U.S.C. 272(b-c)）と整合するものである。 | | **Background** | **背景** | | AI agent systems are capable of planning and taking autonomous actions that impact real-world systems or environments. AI agent systems consist of at least one generative AI model and scaffolding software that equips the model with tools to take a range of discretionary actions. These systems may be more expansive, containing multiple sub-agents with software that orchestrates their interactions. They can be deployed with little to no human oversight. Other terms used to refer to AI agent systems include AI agents and agentic AI. Challenges to the security of AI agent systems may undermine their reliability and lessen their utility, stymieing widespread adoption that would otherwise advance U.S. economic competitiveness. Further, security vulnerabilities may pose future risks to critical infrastructure or catastrophic harms to public safety ( i.e., through chemical, biological, radiological, nuclear, and explosive (CBRNE) weapons development and use or other analogous threats). | AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画し実行する能力を有する。AIエージェントシステムは、少なくとも1つの生成的AIモデルと、モデルに様々な裁量行動を実行する手段を提供する足場ソフトウェアで構成される。これらのシステムはより大規模になり、相互作用を調整するソフトウェアを備えた複数のサブエージェントを含む場合もある。人間の監視がほとんど、あるいは全くない状態で展開される可能性がある。AIエージェントシステムを指す他の用語には、AIエージェントやエージェント型AIがある。AIエージェントシステムのセキュリティ上の課題は、その信頼性を損ない有用性を低下させる恐れがある。これにより、米国経済の競争力向上に寄与するはずの普及が阻害される。さらに、セキュリティ上の脆弱性は将来的に重要インフラへのリスクや、化学・生物・放射性物質・核・爆発物（CBRNE）兵器の開発・使用や類似の脅威を通じた公共安全への壊滅的被害をもたらす可能性がある。 | | Deployed AI agent systems may face a range of security threats and risks. Some of these risks are shared with other kinds of software systems, such as exploitable vulnerabilities in authentication mechanisms or memory management processes. This Request for Information, however, focuses instead on the novel risks that arise from the use of machine learning models embedded within AI agent systems. Within this category are: (1) security risks that arise from adversarial attacks at either training or inference time, when models may interact with potentially adversarial data ( e.g., indirect prompt injection) or may be compromised by data poisoning; (2) security risks posed by models with intentionally placed backdoors; and (3) the risk that the behavior of uncompromised models may nonetheless pose a threat to confidentiality, availability, or integrity ( e.g., models that exhibit specification gaming or otherwise pursue misaligned objectives). Organizations have begun to implement technical controls, processes, and other mitigations for the security risks posed by their AI agent systems. In some cases, mitigations draw on cybersecurity best practices, including implementing systems according to the principle of least privilege and designing systems with a zero trust architecture. In other cases, risks are addressed with novel approaches, including instruction hierarchy and agent design patterns with trusted models. | 展開されたAIエージェントシステムは、様々なセキュリティ脅威やリスクに直面する可能性がある。認証メカニズムやメモリ管理プロセスにおける悪用可能な脆弱性など、他のソフトウェアシステムと共通するリスクも存在する。しかし本情報提供要請（RFI）は、AIエージェントシステムに組み込まれた機械学習モデルの使用から生じる新たなリスクに焦点を当てる。このカテゴリーには以下が含まれる： **(1) モデルが潜在的に敵対的なデータ** （例：間接的プロンプト・インジェクション） **と相互作用する可能性のある、あるいはデータ・ポイズニングによって侵害される可能性がある、訓練時または推論時における敵対的攻撃から生じるセキュリティリスク** ； (**2) 意図的にバックドアを仕込まれたモデルがもたらすセキュリティリスク** ； **(3) 侵害されていないモデルの動作が、機密性・可用性・完全性に対する脅威となるリスク** （仕様の悪用や目標の乖離を示すモデルなど）。組織は、AIエージェントシステムがもたらすセキュリティリスクに対して、技術的制御、プロセス、その他の緩和策を導入し始めている。場合によっては、最小権限の原則に基づくシステム実装やゼロトラストアーキテクチャ設計といったサイバーセキュリティのベストプラクティスを活用する。また、信頼できるモデルを用いた命令階層やエージェント設計パターンといった新たな手法でリスクに対処するケースもある。 | | NIST conducts research and develops guidelines to promote safe and secure AI innovation and adoption. Research by CAISI technical staff [1] has demonstrated risks of agent hijacking. NIST has also produced resources on this topic including NIST AI 100-2e2025 [2] that provides a taxonomy of attacks and mitigations in adversarial machine learning generally; the NIST AI Risk Management Framework,[3] which describes and discusses “secure and resilient” AI and includes subcategories for security assessment within the Measure function; NIST's companion Risk Management Framework: Generative AI Profile,[4] which provides further context and considerations for “information security” and associated risks with generative AI, applicable to this RFI; and NIST AI 800-1 [5] that provides guidelines for AI developers to manage risks including the misuse of AI agent systems for offensive cybersecurity operations. In addition, NIST SP 800-218A [6] provides a profile for the secure development of generative AI, and NIST SP 800-53 [7] provides a glossary of relevant terms and a catalog of security and privacy controls for information systems generally. | NISTは安全でセキュアなAIの革新と普及を促進するため、研究を実施しガイドラインを開発している。CAISI技術スタッフによる研究 [1] は、エージェント乗っ取りのリスクを実証している。NISTもこのテーマに関する資料を作成しており、具体的には：・敵対的機械学習全般における攻撃手法と緩和の分類を提供する「NIST AI 100-2e2025」 [2] ・「安全かつレジリエンスのある」AIを定義・論じ、測定機能内のセキュリティ評価サブカテゴリーを含む「NIST AIリスクマネジメント枠組み」 [3] NISTの関連文書である「リスクマネジメント枠組み：生成的AIプロファイル」\[4\]は、生成的AIに関連する「情報セキュリティ」とリスクについて、本RFIに適用可能な追加的な文脈と考慮事項を提供する。また「NIST AI 800-1」\[5\]は、攻撃的なサイバーセキュリティ活動におけるAIエージェントシステムの悪用を含むリスクマネジメントのためのガイドラインをAI開発者に提供する。さらに、NIST SP 800-218A [6] は生成的AIの安全な開発プロファイルを提供し、NIST SP 800-53 [7] は関連用語集と情報システム全般向けのセキュリティ・プライバシー制御カタログを提供する。 | | **Request for Information** | **情報提供要請** | | This RFI seeks information that can support secure innovation and adoption of AI agent systems. It invites stakeholders—particularly AI agent developers, deployers, and computer security researchers—to share insights on the secure development and deployment of AI agent systems. Such information should be scoped to the security of AI agent systems capable of taking actions that affect external state, i.e., persistent changes outside of the AI agent system itself. Unless contextualized to impact the security of agent systems directly, this RFI does not seek general information on generative AI security, insights on practices for AI chatbots or retrieval-augmented generation systems that are not orchestrated to act autonomously, or feedback on the misuse of AI agent systems to carry out cyberattacks. | 本RFIは、AIエージェントシステムの安全な革新と展開を支援する情報を求めるものである。特にAIエージェント開発者、展開者、コンピュータセキュリティ研究者といった関係者に、AIエージェントシステムの安全な開発・展開に関する知見の共有を呼びかける。提供される情報は、外部状態（すなわちAIエージェントシステム自体以外の永続的な変化）に影響を与える行動を実行可能なAIエージェントシステムのセキュリティに焦点を当てるべきである。本RFIは、エージェントシステムのセキュリティに直接影響する文脈に限定され、生成的AIのセキュリティに関する一般的な情報、自律的に動作するよう設計されていないAIチャットボットや検索拡張生成システムの実践に関する知見、あるいはAIエージェントシステムを悪用したサイバー攻撃の実行に関するフィードバックは対象外とする。 | | NIST is requesting that respondents provide information on the topics below. NIST has provided this non-exhaustive list of topics and accompanying questions to guide respondents, and the submission of any relevant information germane to the subject but that is not included in the list of topics below is also encouraged. NIST will consider all relevant comments received during the public comment period. Respondents need not address all questions in this RFI, though all responses should specify which questions are being answered. For respondents with limited bandwidth, please prioritize questions 1(a), 1(d), 2(a), 2(e), 3(a), 3(b), 4(a), 4(b), and 4(d). All relevant responses that comply with the requirements listed in the DATES and ADDRESSES sections of this RFI will be considered. | NISTは回答者に対し、下記のトピックに関する情報の提供を求めている。NISTは回答者の指針として、この網羅的ではないトピックリストと付随する質問を提供している。下記のトピックリストに含まれていないが主題に関連する情報の提出も奨励する。NISTはパブリックコメント期間中に受け取った全ての関連コメントを検討する。回答者は本RFIの全質問に回答する必要はないが、回答する質問を明記すべきである。回答に制限がある場合は、 **質問1(a)、1(d)、2(a)、2(e)、3(a)、3(b)、4(a)、4(b)、4(d)** を優先的に回答すること。本RFIの「提出期限」及び「提出先」セクションに記載された要件を満たす関連回答は全て考慮される。 | | **1\. Security Threats, Risks, and Vulnerabilities Affecting AI Agent Systems** | **1\. AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性** | | **(a) What are the unique security threats, risks, or vulnerabilities currently affecting AI agent systems, distinct from those affecting traditional software systems?** | **(a) 従来のソフトウェアシステムに影響を与えるものとは異なる、AIエージェントシステムに現在影響を与えている特有のセキュリティ脅威、リスク、脆弱性は何であるか。** | | (b) How do security threats, risks, or vulnerabilities vary by model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), hosting context (including components on premises, in the cloud, or at the edge), use case, and otherwise? | (b) セキュリティ脅威、リスク、脆弱性は、モデルの能力、エージェント足場ソフトウェア、ツール使用、展開方法（内部展開と外部展開を含む）、ホスティング環境（オンプレミス、クラウド、エッジ上のコンポーネントを含む）、ユースケース、その他の要素によってどのように異なるか？ | | (c) To what extent are security threats, risks, or vulnerabilities affecting AI agent systems creating barriers to wider adoption or use of AI agent systems? | (c) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性は、どの程度、AIエージェントシステムの普及や利用の障壁となっているか？ | | **(d) How have these threats, risks, or vulnerabilities changed over time? How are they likely to evolve in the future?** | **(d) これらの脅威、リスク、脆弱性は時間とともにどのように変化してきたか？将来どのように進化する可能性が高いか？** | | (e) What unique security threats, risks, or vulnerabilities currently affect multi-agent systems, distinct from those affecting singular AI agent systems? | (e) 単一のAIエージェントシステムに影響を与えるものとは異なり、現在マルチエージェントシステムに影響を与える固有のセキュリティ脅威、リスク、脆弱性は何であるか？ | | **2\. Security Practices for AI Agent Systems** | **2\. AIエージェントシステムのセキュリティ対策** | | **(a) What technical controls, processes, and other practices could ensure or improve the security of AI agent systems in development and deployment? What is the maturity of these methods in research and in practice? Categories may include:** | **(a) 開発および展開段階におけるAIエージェントシステムのセキュリティを確保または改善するための技術的制御、プロセス、その他の実践は何であるか？これらの手法は研究と実践においてどの程度の成熟度に達しているか。カテゴリーには以下が含まれる：** | | **i. Model-level controls, such as measures to enhance model robustness to prompt injections;** | **i. プロンプト・インジェクションに対するモデルの頑健性を高める対策など、モデルレベルの制御。** | | **ii. Agent system-level controls, such as prompt engineering, data or tool restrictions, and continuous monitoring methods;** | **ii. プロンプトエンジニアリング、データやツールの制限、継続的監視手法など、エージェントシステムレベルの制御。** | | **iii. Human oversight controls, such as approvals for consequential actions, management of sensitive and untrusted data, network access permissions, or other controls.** | **iii. 重大な行動に対する承認、機密性・信頼性の低いデータの管理、ネットワークアクセス権限、その他の制御など、人間の監視による制御。** | | (b) To what degree, if any, could the effectiveness of technical controls, processes, and other practices vary with changes to model capability, agent scaffold software, tool use, deployment method (including internal vs. external deployment), use case, use in multi-agent systems, and otherwise? | (b) 技術的制御、プロセス、その他の実践の有効性は、モデル能力、エージェント基盤ソフトウェア、ツール使用、展開方法（内部展開と外部展開を含む）、ユースケース、マルチエージェントシステムでの使用、その他の変化に伴い、どの程度変動する可能性があるか？ | | (c) How might technical controls, processes, and other practices need to change, in response to the likely future evolution of AI agent system capabilities or of the threats, risks, or vulnerabilities facing them? | (c) AIエージェントシステムの能力、またはそれらに対する脅威・リスク・脆弱性の将来的な進化に対応するため、技術的制御、プロセス、その他の実践はどのように変更する必要があるか？ | | (d) What are the methods, risks, and other considerations relevant for patching or updating AI agent systems throughout the lifecycle, as distinct from those affecting both traditional software systems and non-agentic AI? | (d) 従来のソフトウェアシステムや非エージェント型AIに影響するものと区別して、AIエージェントシステムのライフサイクル全体を通じたパッチ適用や更新に関連する手法、リスク、その他の考慮事項は何か。 | | **(e) Which cybersecurity guidelines, frameworks, and best practices are most relevant to the security of AI agent systems?** | **(e) AIエージェントシステムのセキュリティに最も関連性の高いサイバーセキュリティガイドライン、枠組み、ベストプラクティスは何か。** | | **i. What is the extent of adoption by AI agent system developers and deployers of these relevant guidelines, frameworks, and best practices?** | **i. AIエージェントシステムの開発者や展開者が、これらの関連ガイドライン、枠組み、ベストプラクティスをどの程度採用しているか。** | | **ii. What are impediments, challenges, or misconceptions about adopting these kinds of guidelines, frameworks, or best practices?** | **ii. この種のガイドライン、枠組み、ベストプラクティスの採用における障害、課題、誤解は何か？** | | **iii. Are there ways in which existing cybersecurity best practices may not be appropriate for the security of AI agent systems?** | **iii. 既存のサイバーセキュリティベストプラクティスがAIエージェントシステムのセキュリティに不適切な点は存在するか？** | | **3\. Assessing the Security of AI Agent Systems** | **3\. AIエージェントシステムのセキュリティアセスメント** | | **(a) What methods could be used during AI agent systems development to anticipate, identify, and assess security threats, risks, or vulnerabilities?** | **(a) AIエージェントシステム開発中に、セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために使用できる手法は何か？** | | **i. What methods could be used to detect security incidents after an AI agent system has been deployed?** | **i. AIエージェントシステム展開後、セキュリティインシデントを検知するためにどのような方法が用いられるか？** | | **ii. How do these align (or differ) from traditional information security practices, including supply chain security?** | **ii. これらはサプライチェーンセキュリティを含む従来の情報セキュリティ慣行とどのように整合（または相違）するか？** | | **iii. What is the maturity of these methods in research and applied use?** | **iii. これらの方法の研究および応用における成熟度はどうか？** | | **iv. What resources or information would be useful for anticipating, identifying, and assessing security threats, risks, or vulnerabilities?** | **iv. セキュリティ上の脅威、リスク、脆弱性を予測、識別、アセスメントするために有用なリソースや情報は何であるか？** | | **(b) Not all security threats, risks, or vulnerabilities are necessarily applicable to every AI agent system; how could the security of a particular AI agent system be assessed and what types of information could help with that assessment?** | **(b) すべてのセキュリティ脅威、リスク、脆弱性が必ずしも全てのAIエージェントシステムに適用されるわけではない。特定のAIエージェントシステムのセキュリティアセスメントを行う方法と、そのアセスメントに役立つ情報の種類は何か？** | | (c) What documentation or data from upstream developers of AI models and their associated components might aid downstream providers of AI agent systems in assessing, anticipating, and managing security threats, risks, or vulnerabilities in deployed AI agent systems? | (c) AIモデル及び関連コンポーネントの上流開発者から得られる文書やデータは、下流のAIエージェントシステムプロバイダが展開済みシステムのセキュリティ脅威、リスク、脆弱性を評価・予測・管理する上で、どのような支援が可能か？ | | i. Does this data or documentation vary between open-source and closed-source AI models and AI agent systems, and if so, how? | i. このデータや文書は、オープンソースとクローズドソースのAIモデルおよびAIエージェントシステム間で異なるのか。異なる場合、その違いは何か。 | | ii. What kinds of disclosures (if made mandatory or public) could potentially create new vulnerabilities? | ii. どのような開示（義務化または公開された場合）が新たな脆弱性を生み出す可能性があるか。 | | iii. How should such, if any, disclosures be kept secure between parties to protect system integrity? | iii. システム完全性を保護するため、そのような開示（存在する場合）を当事者間で安全に保持するにはどうすべきか。 | | (d) What is the state of practice for user-facing documentation of AI agent systems that support secure deployment? | (d) 安全な展開を支援するAIエージェントシステムのユーザー向け文書の現状はどうか。 | | **4\. Limiting, Modifying, and Monitoring Deployment Environments** | **4\. 展開環境の制限、変更、監視** | | **(a) AI agent systems may be deployed in a variety of environments, i.e., locations where the system's actions take place. In what manner and by what technical means could the access to or extent of an AI agent system's deployment environment be constrained?** | **(a) AIエージェントシステムは様々な環境、すなわちシステムの動作が行われる場所に展開される可能性がある。AIエージェントシステムの展開環境へのアクセスや範囲を、どのような方法と技術的手段で制限できるか？** | | **(b) How could virtual or physical environments be modified to mitigate security threats, risks, or vulnerabilities affecting AI agent systems? What is the state of applied use in implementing undoes, rollbacks, or negations for unwanted actions or trajectories (sequences of actions) of a deployed AI agent system?** | **(b) AIエージェントシステムに影響を与えるセキュリティ脅威、リスク、脆弱性を緩和するため、仮想環境や物理環境をどのように変更できるか？展開済みAIエージェントシステムの望ましくない行動や軌跡（行動の連鎖）に対する取り消し、ロールバック、否定機能の実装における応用利用の現状はどうか？** | | (c) What is the state of managing risks associated with interactions between AI agent systems and counterparties? Practices, their adoption, and their relative maturity may differ according to the counterparty in the interaction, including: | (c) AIエージェントシステムと相手方との相互作用に関連するリスクマネジメントの現状はどうか？実践内容、その採用状況、相対的な成熟度は、相互作用における相手方によって異なる可能性がある。具体的には： | | i. Interactions with humans who are not using the AI agent system directly; | i. AIエージェントシステムを直接使用していない人間との相互作用； | | ii. Interactions with digital resources, including web services, servers, and legacy systems; | ii. ウェブサービス、サーバー、レガシーシステムを含むデジタルリソースとの相互作用 | | iii. Interactions with mechanical systems, machinery, or Internet-of-Things (IoT); | iii. 機械システム、機械装置、またはモノのインターネット（IoT）との相互作用 | | iv. Interactions with authentication mechanisms, operating system access, source code access, or similar network-level access vectors; | iv. 認証メカニズム、オペレーティングシステムへのアクセス、ソースコードへのアクセス、または類似のネットワークレベルアクセスベクトルとの相互作用 | | v. Interactions with other AI agent systems. | v. 他のAIエージェントシステムとの相互作用 | | **(d) What methods could be used to monitor deployment environments for security threats, risks, or vulnerabilities?** | **(d) セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視するために、どのような方法が使用できるか？** | | **i. What challenges exist to deploying traditional methods of monitoring threats, risks, or vulnerabilities?** | **i. 脅威、リスク、脆弱性を監視する従来の方法を展開する際に、どのような課題が存在するか？** | | **ii. Are there legal and/or privacy challenges to monitoring deployment environments for security threats, risks, or vulnerabilities?** | **ii. セキュリティ上の脅威、リスク、脆弱性に対して展開環境を監視することに関して、法的および／またはプライバシー上の課題は存在するか？** | | **iii. What is the maturity of these methods in research and practice?** | **iii. これらの方法は、研究および実践においてどの程度の成熟度にあるか？** | | (e) Are current AI agent systems widely deployed on the open internet, or in otherwise unbounded environments? How could the volume of traffic be tracked on the open internet or in otherwise unbounded environments over time? | (e) 現在のAIエージェントシステムは、オープンインターネットやその他の無制限環境に広く展開されているか？オープンインターネットやその他の無制限環境におけるトラフィック量を、時間経過とともに追跡する方法は何か？ | | **5\. Additional Considerations** | **5\. 追加の考慮事項** | | (a) What methods, guidelines, resources, information, or tools would aid the AI ecosystem in the rapid adoption of security practices affecting AI agent systems and promoting the ecosystem of AI agent system security innovation? | (a) AIエージェントシステムに影響を与えるセキュリティ慣行の迅速な採用と、AIエージェントシステムセキュリティイノベーションのエコシステム促進に役立つ方法、ガイドライン、リソース、情報、またはツールは何か？ | | (b) In which policy or practice areas is government collaboration with the AI ecosystem most urgent or most likely to lead to improvements in the state of security of AI agent systems today and into the future? | (b) 政府とAIエコシステムとの連携が、現在および将来のAIエージェントシステムのセキュリティ状態の改善に最も緊急性が高く、あるいは最も効果的であると思われる政策または実践分野はどこか？ | | (c) In which critical areas should research be focused to improve the current state of security practices affecting AI agent systems? | (c) AIエージェントシステムに影響を与える現行のセキュリティ実践を改善するために、研究を集中させるべき重要な分野はどこか？ | | i. Where should future research be directed in order to unlock the benefits of adoption of secure and resilient AI agent systems? | i. 安全でレジリエンスのあるAIエージェントシステムの導入による利点を解き放つために、将来の研究はどこに向けるべきか？ | | ii. Which research approaches should be prioritized to advance the scientific understanding and mitigation of security threats, risks, and vulnerabilities affecting AI agent systems? | ii. AIエージェントシステムに影響するセキュリティ脅威、リスク、脆弱性の科学的理解と緩和を進めるため、どの研究アプローチを優先すべきか？ | | (d) How are other countries addressing these challenges and what are the benefits and drawbacks of their approaches? | (d) 他国はこれらの課題にどう対処しているか？そのアプローチの長所と短所は何か？ | | (e) Are there practices, norms, or empirical insights from fields outside of artificial intelligence and cybersecurity that might benefit our understanding or assessments of the security of AI agent systems? | (e) AIやサイバーセキュリティ以外の分野から、AIエージェントシステムのセキュリティ理解やアセスメントに有益な実践、規範、実証的知見は存在するか？ | | **Footnotes** | **脚注** | | [1\. Technical Blog: Strengthening AI Agent Hijacking Evaluations, \[web\]](https://www.nist.gov/news-events/news/2025/01/technical-blog-strengthening-ai-agent-hijacking-evaluations) | [1\. 技術ブログ：AIエージェント乗っ取り評価の強化、\[web\]](https://www.nist.gov/news-events/news/2025/01/technical-blog-strengthening-ai-agent-hijacking-evaluations) | | [2\. Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations (NIST AI 100-2e2025), \[web\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-2e2025.pdf) | [2\. 敵対的機械学習：攻撃と緩和策の分類と用語集（NIST AI 100-2e2025）、\[web\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-2e2025.pdf) | | [3\. Artificial Intelligence Risk Management Framework (NIST AI 100-1), \[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf) | [3\. 人工知能リスクマネジメント枠組み（NIST AI 100-1）、 \[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf) | | [4\. Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile (NIST AI 600-1), \[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf) | [4\. 人工知能リスクマネジメント枠組み：生成的人工知能プロファイル（NIST AI 600-1）、\[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf) | | [5\. Managing Misuse Risk for Dual-Use Foundation Models (NIST AI 800-1 2pd), \[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.800-1.ipd2.pdf) | [5\. 二重用途基盤モデルの悪用リスクマネジメント（NIST AI 800-1 2pd）、\[pdf\]](https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.800-1.ipd2.pdf) | | [6\. Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile (NIST SP 800-218), \[web\]](https://csrc.nist.gov/pubs/sp/800/218/a/final) | [6\. 生成的AI及びデュアルユース基盤モデルのためのセキュアなソフトウェア開発実践：SSDFコミュニティプロファイル（NIST SP 800-218）、\[web\]。](https://csrc.nist.gov/pubs/sp/800/218/a/final) | | [7\. Security and Privacy Controls for Information Systems and Organizations (NIST SP 800-53 Rev. 5), \[web\].](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final) | [7\. 情報システム及び組織のためのセキュリティ及びプライバシー管理（NIST SP 800-53 Rev. 5）、\[web\]。](https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final) | | Alicia Chambers, | アリシア・チェンバース | | NIST Executive Secretariat. | NIST 事務局長 | | [\[FR Doc. 2026-00206 Filed 1-7-26; 8:45 am\]](https://www.federalregister.gov/d/2026-00206) | [\[FR Doc. 2026-00206 提出日 1-7-26; 午前8時45分\]](https://www.federalregister.gov/d/2026-00206) | | BILLING CODE 3510-13-P | 請求コード 3510-13-P | ![1_20260114225201](https://maruyama-mitsuhiko.cocolog-nifty.com/security/images/1_20260114225201.png "1_20260114225201") | [Permalink](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e944fb.html) [« 中国パブコメインターネットアプリケーション個人情報取得・利用規定 (2026.01.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-360e0e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [英国 ICO技術展望: エージェント型AI（Agentic AI） »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html) [« 中国パブコメインターネットアプリケーション個人情報取得・利用規定 (2026.01.10)](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-360e0e.html) | [Main](http://maruyama-mitsuhiko.cocolog-nifty.com/security/) | [英国 ICO技術展望: エージェント型AI（Agentic AI） »](http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/01/post-e09eba.html) # ■■TextGenerator による要約■■ ## 米国NIST CAISIによるAIエージェントシステムのセキュリティ強化に関するRFI ### ■要約（3行まとめ） - 米国NISTのCAISI（AI標準化・イノベーションセンター）が、AIエージェントシステムのセキュリティ強化に関する情報提供要請（RFI）を公表した。 - AIエージェントシステムの普及に伴うセキュリティ脅威の増加、経済競争力、公共安全、インフラリスク、技術標準の不足が背景にある。 - RFIは、AIエージェント特有の脅威、対策、評価方法、展開環境の制限・監視、人間による関与の重要性などについて幅広い意見を求めている。 ### ■既存の業務・技術との違い（新規性） - AIエージェントシステムは、現実世界のシステムや環境に影響を与える自律的な行動を計画・実行する能力を持つ点が従来のソフトウェアと異なる。 - 従来のサイバーセキュリティリスクに加え、AIモデルの出力とソフトウェア機能の組み合わせから生じる特有のリスク（例：間接的プロンプト・インジェクション、データ・ポイズニング、目的乖離）が存在する。 - 複数のAIシステムが連携する際の責任分担や、人間の監視なしでの展開がもたらす不確実性の高さが新たな課題となる。 ### ■実務へのインパクト（何が変わるか） #### ●社会全般 - AIエージェントシステムのセキュリティリスクが放置されれば、公共の安全、国家安全保障、重要インフラに甚大な被害をもたらす可能性がある。 - 消費者のAIに対する信頼が損なわれ、AIイノベーションの普及が阻害される恐れがある。 - AIエージェントが普及する世界は不確実性が高まり、どの段階で人間が関与すべきかの判断が極めて重要になる。 #### ●特に中小企業 - 不明 ### ■次アクション（試す/読む/実装） #### ●緊急対応（インシデント対応を意識して） - 展開中のAIエージェントシステムで発生した望ましくない行動や軌跡に対し、取り消し、ロールバック、否定機能が実装されているかを確認する。 - AIエージェントシステム展開後のセキュリティインシデントを迅速に検知するための方法を確立する。 #### ●恒久的対策（サイバーレジリエンスを意識して） ##### ◆準備・計画 - AIエージェントシステムに影響を与える特有のセキュリティ脅威、リスク、脆弱性を特定し、評価するプロセスを確立する。 - AIエージェントのセキュリティに関する既存のサイバーセキュリティガイドライン、フレームワーク、ベストプラクティスを調査し、適用可能性と不足点を評価する。 - 複数のAIシステムが連携した場合の法的側面を含む責任分担について、早期に検討を開始する。 ##### ◆防御 - モデルレベル（プロンプト・インジェクション耐性強化）、エージェントシステムレベル（プロンプトエンジニアリング、データ/ツール制限、継続的監視）、人間による監視制御（重要な行動の承認、機密データ管理、ネットワークアクセス権限）を導入する。 - AIエージェントシステムの展開環境へのアクセスを制限し、その範囲を技術的手段で制約する方法を検討・実装する。 - 最小権限の原則やゼロトラストアーキテクチャといったサイバーセキュリティのベストプラクティスをAIエージェントシステムに適用する。 ##### ◆検知 - AIエージェントシステム開発中にセキュリティ脅威、リスク、脆弱性を予測・識別・評価するための手法（例：レッドチーミングテスト）を導入する。 - 展開環境においてセキュリティ脅威、リスク、脆弱性を継続的に監視するための方法を確立し、運用する。 ##### ◆対応 - AIエージェントシステムの望ましくない行動や軌跡が発生した場合に、迅速に取り消し、ロールバックできる機能を強化する。 ##### ◆復旧 - 不明 ##### ◆改善・適応 - AIエージェントシステムのライフサイクル全体を通じて、パッチ適用や更新を安全かつ効率的に行う方法を確立する。 - AIエージェントシステムの能力や脅威の将来的な進化に対応できるよう、セキュリティ対策を継続的に見直し、改善する計画を立てる。 ### ■役割毎の重要ポイント #### ●組織の責任者（経営層・部門長） - AIエージェントシステム導入が公共安全、経済競争力、国家安全保障に与える潜在的リスクを深く理解し、経営戦略におけるAIセキュリティの優先順位を高める。 - AIエージェントセキュリティに関する標準化活動やガイドライン策定への貢献を検討し、規制動向を注視する。 - 複数のAIシステム連携時における責任分担など、新たなガバナンス課題への対応策を早期に講じる。 #### ●システム担当者（情シス・エンジニア） - AIエージェントシステム特有のセキュリティ脅威（プロンプト・インジェクション、データ・ポイズニング、目的乖離など）に関する専門知識を習得し、対策を設計・実装する。 - モデルレベル、システムレベル、人間による監視制御を含む多層的なセキュリティ対策を構築し、既存のサイバーセキュリティ原則（ゼロトラスト、最小権限）をAIに適用する。 - 開発から運用までのライフサイクル全体で、セキュリティアセスメント、監視、パッチ管理、インシデント対応の仕組みを確立し、継続的に改善する。 #### ●業務担当者（現場のユーザー） - AIエージェントシステムの機能や制約、潜在的なセキュリティリスクについて正確な知識を持つ。 - AIエージェントが自律的に行動する際の人間による承認プロセスや監視ルールを厳守する。 - AIエージェントの不審な動作や予期せぬ結果、セキュリティ上の懸念を早期に発見し、速やかにシステム担当者に報告する体制を確立する。 ### ■今後必要な知見・スキル（計画/構築/運用） #### ●組織の責任者（経営層・部門長） - AI倫理、AIガバナンス、AIリスクマネジメントフレームワークに関する深い理解。 - AI技術の急速な進化とそれに伴うセキュリティ情勢の変化を予測し、戦略に反映する能力。 - 国際的なAI規制動向、標準化活動への知見と、それらを組織のビジネスモデルに統合するスキル。 #### ●システム担当者（情シス・エンジニア） - AI/MLセキュリティ（敵対的攻撃、モデルの脆弱性、プロンプトエンジニアリングのセキュリティ側面）に関する専門知識。 - AIエージェントのアーキテクチャ設計、安全な開発・展開、運用におけるセキュリティ実装スキル。 - AIシステムに特化した監視、ログ分析、インシデント検知・対応の能力。 - 既存のサイバーセキュリティベストプラクティス（ゼロトラスト、最小権限など）をAIシステムに効果的に適用する知識と経験。 #### ●業務担当者（現場のユーザー） - AIエージェントシステムの安全な利用に関するガイドラインや手順を理解し遵守する能力。 - AIの出力や行動に対する批判的思考力と、異常を検知・報告するスキル。 - データプライバシー、情報セキュリティに関する基本的な意識と知識。 ### ■関連キーワード（5〜10個） - AIエージェントシステム - NIST CAISI - セキュリティ脅威 - 情報提供要請 (RFI) - 自律行動 - プロンプト・インジェクション - データ・ポイズニング - 人間の監視 - AIリスクマネジメントフレームワーク - サイバーレジリエンス ### ■参考にすべき文献・サイト - NIST - CAISI: CAISI Issues Request for Information About Securing AI Agent Systems - Federal Register: Request for Information Regarding Security Considerations for Artificial Intelligence Agents - NIST AI 100-2e2025: Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations - NIST AI 100-1: Artificial Intelligence Risk Management Framework - NIST AI 600-1: Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile - NIST AI 800-1 2pd: Managing Misuse Risk for Dual-Use Foundation Models - NIST SP 800-218A: Secure Software Development Practices for Generative AI and Dual-Use Foundation Models: An SSDF Community Profile - NIST SP 800-53 Rev. 5: Security and Privacy Controls for Information Systems and Organizations