“シャドー AI エージェント”を統制せよ！Google Cloudで作る「次世代エージェント基盤」

利便性の裏に潜む、シャドー AI エージェントの台頭リスク

　AIエージェントとは、与えられたゴールを達成するために、①環境を認識し（ユーザーの要望や必要なデータの所在など）、②LLMで推論・意思決定し、③何らかの行動に移す──これらを自律的に行う。さらに全体を見て④学習・適応することで、結果的にはゴール達成させるものを指す。

　技術的には「LLMを推論エンジンとして使い、目的に向けて様々なツールを呼び出す実行単位」とも言える。ユーザーがゴールをインプットすると、エージェントは何かしらの計画を立て、ツールやAPIを駆使して、最終的な結果に帰着する。チャットボットとの大きな違いは「答える」だけではなく、「実行する」ところだ。

　今では誰もが簡単にAIエージェントを作れるようになり、便利なエージェントが次々と誕生し、現場の生産性は爆上がりしている。グーグル・クラウド・ジャパン 関本信太郎氏は「大エージェント時代」と呼ぶ。

　その一方、新たな課題も生まれてきている。たとえば、企業のシステム管理者の目が届かないところで勝手に動くシャドーAIエージェント。個人のアカウントで作られ、会社から承認されてない外部APIを使うなど、独自ルールで動いていたりする。今のところ「便利だからいい」と見過ごされがちだが、放置したままではどのような悪影響があるか考えてみよう。

　大枠でとらえると、AIエージェントもアプリケーションの一種と考えることができる。では、何が違うのか。一般的なアプリケーションはインプットから固定のロジックを経てアウトプットを導き出すのに対して、AIエージェントは先述したように、推論・実行後に再判断・再実行する可能性もあるため、途中経過や結果は必ずしも同じとは限らないという性質を持つ。

　またAIエージェントは各種ツールを駆使することで、従来の生成AIのような「回答者」から「実行者」へと変貌を遂げている。なお、この場合のツールというのは、検索、クエリ、更新など、API、データベース、SaaS、何らかのコード実行などを指す。

　そうしたことから関本氏は「エージェント設計は、APIの設計だけではなく、何ができるかの権限設計、何を実行したかの監査設計が重要になります」と強調した。

　AIエージェントは同じ依頼でも、異なる経路を取る可能性があるため、そこはリスクととらえることができる。AIエージェントの利便性が高まり、重要なデータを扱えるようになるほど価値は高まるものの、リスクも同時に大きくなる。ただし関本氏は「だから危険ととらえるのではなく、毎回同じ経路をたどらないという特徴を鑑みた上で、ガードレールを敷くことや、監査や再現性の設計が重要になります。出力品質だけではなく、安全性のためには実行経路の説明可能性を担保することが大事です」と念を押す。