“シャドー AI エージェント”を統制せよ！Google Cloudで作る「次世代エージェント基盤」

セキュアな次世代エージェント基盤を実現するための機能を紹介

　Agent Platformで主要な機能をピックアップしよう。まずは実行基盤となる「Gemini Enterprise Agent Runtime」だ。AIエージェントを本番環境に簡単にデプロイできて、自動でスケールもできるフルマネージドなプラットフォームだ。AIエージェントのフレームワークはGoogleのAgent Development Kitだけではなく、LangChainなどオープンなフレームワークや、Pythonでの実行もサポートしている。

　関本氏は「デプロイしたら、自動的にオブザーバビリティ機能と連携、コード実行のためのサンドボックス、コンテキスト管理のためのマネージドなメモリなども簡単に使えるのがいいところです」と話す。

　逆にあえてDIYが必要なケースとなるのは、業務ロジックから必要なときにエージェントを使えるように既存アプリに組み込むとか、エージェントネイティブなアプリを作るようなケースだ。DIYならエージェント単体ではなく、周辺システム全体を設計し、同じプラットフォームに載せられるのが強みとなる。

　ここからはセキュアなエージェントプラットフォームを簡単に実現するための機能を列挙していく。

Agent Identity

　エージェントにアイデンティティを持たせるための機能だ。ここでは「SPIFFE」というワンタイムのアイデンティティを使う。特徴はエージェントそのものとして振る舞うことと、エンドユーザーとして振る舞うこと、両方できるので2つの顔を持つ。加えて、ネットワークアイデンティティのレベルのポリシーを適用することも可能だ。

　ここで重要になるのが「エージェントを誰として動かすか」を定義できるところだ。それぞれのエージェントを実行主体として扱い、追跡可能な固有のアイデンティティを持たせることで、「誰の委任で、どのエージェントが、どのツールにアクセスしたか」などを追跡できる。

Ambient Networking（現在はプレビュー版）

　Kubernetesのサービスメッシュ機能。エージェント同士やエージェントとツール間の通信を安全にする仕組みで、サービス検出、サービス接続、認証、可観測性を簡素化する。主にDIYエージェントプラットフォームのときに有効になる機能と言える。

Agent Gateway

　ユーザーからのアクセス、またはエージェント通信の入口に検問のような形で置くことで、統一的なデータのポリシーを適用することができる。なお使い分けとしては、エージェント間の通信はAmbient Networking、外部との通信の入口はAgent Gatewayが担う。

Agent Observability

　繰り返しになるが、AIエージェントの実行パスは非決定的なので、再現性やデバッグが課題となる。そこで「Agent Observability」は、OpenTelemetryプロトコルを使用してオブザーバビリティ機能を付与することで、エージェントからトレース、メトリクス、ログを自動的に収集できるようになる。これにより、エージェント間やエージェントとツールの接続を可視化したり、どのような動きをしているのかを追跡したりすることが可能となる。

　AIエージェントのオブザーバビリティで重要なのは結果だけでなく、経路を見ることだ。ガバナンスの観点だけではなく、不要なツールを多数呼び出していないか、遅いツールはないかをチェックすることで品質を安定させ、不審な挙動がないかといった監査にも有効となる。

Model Armor

　あらゆる経路からのAIエージェントの保護に有効なのが「Model Armor」だ。プロンプトインジェクションのように悪意あるユーザーがプロンプトにコードを埋め込むことでシステムを破壊する攻撃から保護したり、危険・不適切・有害コンテンツを排除したり、個人識別情報をマスキング・遮断したり、悪意あるファイル・ドキュメントや危険なURLをブロックしたりする。

　このModel Armorを先述したAgent GatewayやGoogle CloudのGatewayなどと連携させることで、インプットの無害化や遮断ができて安全性を高められる。関本氏は「これらは予防的な防御なので、完ぺきに防げるわけではありませんが、様々なレイヤーでかけておくことが重要で、役立ちます」と話す。

GKE Agent Sandbox

　DIYエージェントプラットフォーム向けの機能で、LLMがコードを生成し、エージェントが実行するとき、安全ななかでコードを実行する。オープンソースとして提供されているものを拡張してGKEに実装している。一般的にサンドボックスは必要になってから起動するため時間がかかりがちだが、あらかじめ起動済みのサンドボックスを用意しておいて、リクエストが来たら即座に割り当てられるので、低レイテンシを実現できている。

Pod Snapshots

　AIエージェントが何か実行している間にユーザーが離席するとき、課金されないようにいったん止めることでコストを節約する。ユーザーが戻ってきたらPodをリストアして作業再開する。

　さて、これまでGemini Enterprise Agent RuntimeとGKEの両方に言及してきたので「どちらがいいだろう」と悩むかもしれない。関本氏は「両方提供し、使いやすいプラットフォームを目指すといい」と勧めた。基本的なエージェントはAgent Runtime、既存アプリにエージェントを組み込むならDIY（GKE）といった具合にどちらも公式ルートとして選べるようにするということだ。

　最後に関本氏は「エージェント時代の競争力は、個別のエージェントではなく、安全に届け続けるようなクラウドネイティブなエージェントプラットフォームとなるでしょう。Agent Platformでエージェントの開発・実行・統制を標準化し、一方、複雑な業務組み込み・独自推論基盤・細かな実行制御が必要な領域にはGKE/Kubernetesで補完することで、安全かつ素早くエージェントを作れるようにするといいと思います」と述べた。