“複雑化したAs-Is”が最大の脅威になる？AIエージェント実装前に押さえておきたい「リスク管理術」

AIエージェント導入で求められる「可視化」のレベルは？

　では、エージェンティックAIに求められる可視化とはどのようなものなのだろうか。従来のIT運用、つまりAs-Isにおける可視化は、ログやメトリクスといった断片的な情報、あるいは静的な構成管理情報に依存しており、前述の“関係性”を横断的に捉えることを前提としていない。特にマルチクラウド環境においては、情報がサイロ化しやすく、AIエージェントのように複数のシステムやサービスをまたいで動的に振る舞う主体を追跡することは極めて難しい。

　単なるログやメトリクスを表示するだけのダッシュボードではなく、「誰が、どのリソースに対して、どのような権限のもとで、どのような経路をたどってアクセスしたのか」という関係性そのものを把握するアプローチが欲しいところだ。ここで桂田氏がWizのアプローチとして紹介しているのがデータを関係性でつなぐグラフデータベースである。

　「システム全体の関係性を把握するアプローチとして、Wizが提供しているのがグラフデータベース（Wiz Security Graph）です。単なるログ管理の延長ではなく、マルチクラウドで構成されるシステム全体を単一のグラフとしてモデル化し、各リソースやアイデンティティ、設定情報、脆弱性などをノードとして統合的に管理することで、エージェントの行動を制御しやすくしています」（桂田氏）

　グラフデータベースは基本的にノード（点）とエッジ（線）で関係性を表す。エージェンティックAIシステムにグラフデータベースを適用する場合、ユーザーやAIエージェント、MCPサーバ、クラウドリソース、SaaS、APIといった要素をノードとして表現し、それらの間のアクセス関係や権限、通信経路をエッジとして結びつけ、マルチクラウドを含むシステム全体を構造的に把握する。

　「グラフデータベースで関係性を可視化することで、たとえば一見無関係に見える設定ミスや過剰な権限が、実際にはどのように連鎖して重大なリスクにつながるのかを、グラフ上で把握することが可能になります」（桂田氏）

　桂田氏は加えて、Wizのグラフデータベースは単なる構成情報の集約にとどまらず、それぞれの要素がどのような関係性の中にあり、どの経路をたどることでリスクが顕在化するのかという“コンテキスト”を可視化できる点が大きな特徴だと強調する。マルチクラウド環境では膨大な数のアラートが発生するが、それらに一つ一つに対応するよりもリスクをコンテキストとして理解することで可視化が容易になるという。

　「コンテキストは防御する側のほうに情報がたくさんあります。Wizはユーザー企業のクラウド環境におけるすべてのライフサイクルのデータをコンテキストとして管理しており、これらのデータを活用した攻撃経路の可視化、さらには修正すべき脆弱性の優先順位も直感的に理解しやすいものとしています」（桂田氏）

　エンタープライズITの世界ではシステムの可視化は常に重要な目標として掲げられてきた。しかしマルチクラウドが普及し、システムの複雑化が加速するにしたがって、システム全体の可視化は実現可能な目標というよりも努力目標に位置づけられていたような感がある。だが、AIエージェントのように複数のシステムを横断しながら動的に振る舞う主体を扱うのであれば、可視化はむしろ必達目標に近い。可視化によって関係性に潜む危険性を見抜く。エージェンティックAIの時代においては「何が起きたか」だけでなく、「何が起こり得るか」を構造的に理解することが求められる。その意味で、グラフデータベースは可視化のためのツールにとどまらず、制御のためのインフラとしても有効だといえるだろう。