自律型AIエージェントのガバナンス：二層アーキテクチャ

自律型AIエージェントを導入する企業は、既存のセキュリティフレームワークでは対応できないガバナンスギャップに直面しています。Cloud Security AllianceとToken Securityが2026年1月に実施した418人のITおよびセキュリティ専門家を対象とした調査では、65%の組織が過去12か月間にAIエージェントのセキュリティインシデントを経験しており、報告されたすべてのインシデントで測定可能なビジネス影響が生じていました。最も一般的だった影響はデータ流出（61%）です。同調査では、82%の組織が、セキュリティまたはITチームの認識なしに少なくとも一つのAIエージェントが環境内で稼働していることを発見しています。本論文は、効果的なエージェントガバナンスには二層アーキテクチャが必要であり、ガバナンス層の制御（ポリシー施行、コンプライアンスマッピング、説明責任構造、監査証跡、意思決定権の割り当て）と基盤層の制御（モデルの出所、計算環境の整合性、トレーニングデータのガバナンス、ファインチューニングのドリフト管理、基礎モデルのサプライチェーンセキュリティ）を分離すべきと主張します。Agentic Trust Framework（ATF）は、整ったガバナンス層ソリューションを提供しますが、ATFは必要条件に過ぎず、基盤層はまだ未対応です。本論文は二層アーキテクチャの詳細を説明し、その中でのATFの位置づけを示し、基盤層のギャップを正確にマッピングし、企業のリーダーシップ向けに実行可能な推奨事項を提示します。中小企業向けには簡略化された二層の準備フレームワークとしても適用可能です。