課題:見えないものは統制できない
エージェントはすでにそこに存在しています。データベース認証情報を持つコーディングアシスタント、いつの間にかオブジェクトストアへの書き込み権限を得た社内RAGサービス、誰も登録していないMCPサーバーを呼び出すスケジュールジョブ。これらは迅速に動くチームによってプロビジョニングされ、セキュリティ組織はそのマップを一度も見ることなく影響範囲(ブラストラディウス)を引き継ぐことになります。アナリストはこの形態に名前を付けています — エージェントスプロール(agent sprawl) — そしてその下に潜む統制ギャップは測定可能です。
AI関連の侵害を被った組織のうち、およそ97%が適切なAIアクセス制御を欠いていました(IBM Cost of a Data Breach 2025, Ponemon)。これはツールの成熟度の問題ではなく、統制面そのものの欠如です。同時にGartnerは、2027年末までにエージェント型AIプロジェクトの40%以上が中止されると予測し、2030年までに「ガーディアンエージェント」がエージェント型AI市場の10〜15%を占めると予測しています(Gartner, プレスリリース)— 市場は、統制されていないエージェントが本格的なセキュリティレビューに耐えられないという事実を織り込みつつあります。
このパターンはセキュリティチームの範囲を超えて広がっています。査読前の暫定的な研究では、およそ95%の生成AIパイロットが測定可能なP&L(損益)への影響を示さず、外部から購入したツールは社内開発のものよりおよそ2倍の確率で成功したとされています(MIT「GenAI Divide」, NANDAプロジェクト, Fortune経由, 2025年8月 — 暫定版)。原因が何であれ、誰も把握できないエージェントで溢れた環境は、まさに侵害リスクと無駄になるパイロットのリスクの双方が複合的に増大する条件です。
これはAI TRiSM(AIのためのトラスト・リスク・セキュリティ管理)のフレーミングにきれいに対応します — そこでは統制とランタイム検査が別個のレイヤーとして位置づけられています。Olivares AIは、エージェントのアクセスを発見し、観測し、統制するレイヤーとなるべく構築されており、その限界がどこにあるかについても誠実です。
Olivares AIがセキュリティリーダーにもたらすもの
統制面としての型付き読み取り/書き込みアクセスマップ
アクセスマップは、すべてのエージェントをノードとして、そしてエージェントが到達できるすべてのリソース — データベース、オブジェクトストア、MCPサーバー、API、キュー — をノードとしてモデル化し、各エッジをR(読み取り)またはRW(読み取り書き込み)として型付けします。このRかRWかの型付けこそが要点です。最小権限のドリフトもインシデントの影響範囲も、単なる接続性ではなく書き込みアクセスの関数であり、フラットな「アクセスあり」リストはまさにそれを隠してしまいます。これは防御側のための偵察(reconnaissance)です — 攻撃者が欲しがるであろうマップそのものを、環境を防御する人々のために構築したものです。
グラフ全体の読み取りは、意図的に特権付きで、テナントスコープに限定され、完全に監査されるアクションとしています。なぜなら、すべてのエージェントが何に触れられるかの完全なマップは、それ自体が偵察用のロードマップだからです。マップは関係性 — 起点、リソース、R/RW、ソース、信頼度、タイムスタンプ — を保存し、エッジ上を流れたペイロード、SQL本体、シークレット、PIIは決して保存しません。保存されていないものは漏洩しようがありません。
許可された権限 vs 観測された挙動:検出結果(finding)となる差分
すべてのエッジは2つの独立した事実を持ちます。そのアクセスが**許可されている(permitted)か(権限付与またはポリシーが許可している)、そしてそれが観測されている(observed)**か(テレメトリとネイティブ監査が実際の発生を示している)です。この2つのレイヤー間の差分こそが統制シグナルです。
- 想定外のアクセス(Unexpected access) — 観測されているが許可されていない。エージェントが、いかなる権限付与もカバーしていない何かに触れました。これがセキュリティ上最も重要な見出しです。
- 未使用の権限(Unused grants) — 許可されているが一度も観測されていない。漠然とした「IAMを見直してください」というリマインダーではなく、具体的な最小権限クリーンアップリストです。
この差分は意図的に保守的です。プラットフォームが、実際に動作している認証情報を、その権限付与が記述された対象のエージェントへとまだ確実に紐付けられない場合、そのエッジは reconciliation_pending とマークされます — 誠実な不確実性であり、捏造された違反では決してありません。完全な突合(reconciliation)契約については許可された権限 vs 観測された挙動をご覧ください。
はったりを拒む忠実度(fidelity)
知っていることを誇張するセキュリティツールは、何もないより悪いものです。すべてのエッジは2つの誠実な軸を持ちます。R/RW分類の**カバレッジ(Coverage)**は clean | lossy | opaque の階層になっています — ネイティブ監査が曖昧さを排除する clean(pgAudit経由のPostgres、CloudTrail経由のオブジェクトストレージ、各種データウェアハウス、加えてカーネルレベルのeBPFバックストップ)から、モードが推測されるのではなく unknown とマークされる opaque ストア(Redis、SQLite、D1)まで。**アトリビューション(Attribution)**は、エージェントごとのアイデンティティシグナルがアクセスを単一のエージェントに解決できる場合は firm、共有サービスアカウントがどのエージェントが動作したかを隠す場合は approximate となります。clean/firm のエッジと、かろうじて観測されたエッジが、同等に確実なものとして描画されることは決してありません — 忠実度モデルをご覧ください。
deny-closedの統制、デュアルコントロール、そしてキルスイッチ
統制(Governance)はread-first(読み取り優先)かつdeny-closedです。認可コアはdeny-by-default(デフォルト拒否)でテナントスコープに限定され、confused-deputy(混乱した代理)やIDORのクラスを構造的に閉じます。その上に配線するあらゆる属性ベースのポリシーは、さらに制限することしかできません — 合成は積集合(intersection)であるため、ポリシーが権限付与を拡大することは決してありません。
本製品がアクションをゲートする場合、そのループは次の通りです:ある面(surface)が提示し(ドリフト、検出結果)→ 権限を持つオペレーターが決定し → その決定が記録される。承認エンジンは職務分掌(要求者は自らの要求を決定できない)と重複決定者ガードを、安定した人間のアイデンティティをキーとして強制します — システムトークンはアイデンティティを持たず、決定できません。critical なアクションには、NIST SP 800-53 AC-3(2)に由来する必須の二者承認下限値が課され、作成時に強制されるだけでなく決定時にも再導出されるため、ティアを引き下げるオペレーターポリシーがあっても、criticalなアクションを単独で実行可能にすることはできません。03:00のインシデントに備えて、監査される**ブレークグラス(break-glass)**バルブが存在します — 構造的に目立ち、ハードウェアによるステップアップ認証を要し、時間制限があり、事後レビューを強制されます。
キルスイッチは環境全体のデナイゲートです。作動は意図的に軽量です(管理者ティア、理由の入力、定足数不要)— なぜなら、コンセンサスを待つ停止は停止ではないからです。統制対象のあらゆる作動ゲートは停止行をライブで参照し、読み取りエラー時には**フェイルクローズ(fails closed)**します。再有効化は決して一方的に行えません — 新たなデュアルコントロール承認をゲートとし、ブレークグラス経路を持ちません。なぜなら「環境は停止したままである」ことが安全な状態だからです。
改ざん検知可能なエビデンス
すべての変更(mutating)アクションは、変更と同一トランザクション内で、実際のアクターとともに追記専用・ハッシュチェーン化された監査台帳に追記されます。機微な読み取りはコミットされた書き込みの中で自己監査されます。履歴の書き換えは検知可能であり、台帳がPIIを含むことは決してありません。コンプライアンスモジュールは、そのランタイムエビデンスを統制フレームワークにマッピングするため、アセスメントは質問票ではなく観測された現実から供給されます。
これは何であり — 何ではないか
- セルフホストかつ主権的(sovereign)。 コントロールプレーンは自社インフラ上で稼働し、エアギャップにできます。Olivares AIはオープンでセルフホスト可能なプラットフォーム(AGPL-3.0)です。セキュリティモデルとアーキテクチャをご覧ください。
- デフォルトでディテクティブ(検知型)、アクションする箇所ではdeny-closed。 広範に観測・統制しますが、広範に作動(actuate)することはありません。アクションを実行できる箇所では、その面はライブ、オンデマンド、または明示されたシーム(seam)のいずれかであり — モジュールカタログがどれに該当するかをマークします。エンフォースメントの不在は、通常は設計によるものです。
- 1.0未満。23モジュールの公開カタログを持ち、現時点でおよそ20が配線済み。 すべてが稼働しているわけではありません。完全なカバレッジを示唆するのではなく、どれがどれであるかを明言します。
- エアギャップが適用されるのはOlivaresのコントロールプレーンであり、あなたのモデルではありません。 Claudeのようなホスト型モデルがエアギャップになることは決してなく、セルフホスト型モデル(vLLM、Ollama)のみがオフラインで稼働します。いずれの場合もOlivaresはアクセスを統制します。
- 認証なし。 Olivares AIはSOC 2、ISO/IEC 42001、およびEU AI Actに準拠することを目指して設計されていますが、一切の認証を保有しておらず、保有していると主張することもありません。
高等教育機関や研究機関の環境にも、この問題の並行版が存在します — 教職員全体にわたるAIの広範な利用に対して、正式なAI統制や利用規程のカバレッジが追いついていません(EDUCAUSE research, 2025)。それがあなたの状況であれば、高等教育をご覧ください。インフラを運用するプラットフォームチームは、プラットフォームエンジニアリングから始めてください。