エンタープライズAIエージェントセキュリティソリューション:完全な購入ガイド (2026)

Built for Speed: ~10ms Latency, Even Under Load
Blazingly fast way to build, track and deploy your models!
- Handles 350+ RPS on just 1 vCPU — no tuning needed
- Production-ready with full enterprise support
はじめに
2025年7月、ReplitのAIコーディングエージェントが、ライブコーディングセッション中に本番データベース全体を消去するという事態が発生しました。 2026年1月、エージェント型AIシステムに初めて割り当てられたCVEであるCVE-2026-25253は、OpenClawランタイムにおける細工されたスキルパッケージを介したリモートコード実行を実証しました。その数週間後、ClawHavocキャンペーンでは、攻撃者がOpenClawマーケットプレイスに1,200以上の悪意のあるスキルを公開し、企業開発者のマシン全体にAMOS認証情報窃取マルウェアを展開しました。
これらは、セキュリティ研究論文に書かれているような理論上の攻撃シナリオではありません。 これらは、企業規模のエージェント型AI導入が始まって最初の12ヶ月間に発生した、本番環境でのインシデントです。 そして、これらは公に開示された、文書化された失敗にすぎません。開示されたインシデントと実際のインシデントとの間のギャップは、はるかに大きい可能性があります。
企業向けAIエージェントセキュリティ市場は、すでに進行中の導入の波に対応して構築されつつあります。 組織は、セキュリティツールが成熟するのを待ってからエージェントを導入しているわけではなく、エージェントを導入し、その後、実稼働環境でセキュリティのギャップを発見しているのです。
このガイドでは、企業向けAIエージェントセキュリティソリューションの全体像を網羅的に解説します。具体的には、攻撃対象領域の現状、ベンダー市場の構成、存在するギャップ、そして2026年のエージェント型AIにおける完全な企業セキュリティアーキテクチャの姿を明らかにします。その中で、どのように TrueFoundryのAI Gateway と MCP Gateway がこの広範なエコシステム内でインフラストラクチャのコントロールプレーンとして機能するかを説明します。
AIエージェントが従来のセキュリティツールを破綻させる理由
エージェント型AIを評価するほとんどのセキュリティチームは、SaaSアプリケーションを管理するのと同じツールを適用しようとします。具体的には、APIサーフェスにはWAF、データガバナンスにはCASB、機密データにはDLP、イベント相関にはSIEMといった具合です。 これらのツールはすべて必要不可欠です。しかし、それだけでは不十分なのです。
従来のセキュリティツールは、特定の前提に基づいて設計されています。 人間がアクションを開始し、そのアクションは個別のものである、という前提です。 ユーザーがメールの送信ボタンをクリックする。開発者がgit pushを実行する。データベースに対してクエリが実行される。これらの各アクションには、明確な開始者、明確な範囲、明確な完了境界があります。
AIエージェントは、この前提のあらゆる部分に反します。 エージェントは:
- 自律的に多段階のアクションチェーンを開始する個々のステップは単独では正当だが、チェーン全体としては脅威となる(例:大量ファイル読み取り → API書き込み → 外部アップロード)
- 推論パイプラインの一部として信頼できないコンテンツを処理する ドキュメント、ウェブページ、API応答、データベースレコードなど、あらゆるものに不正な指示が注入される可能性がある
- ツール呼び出し間で状態を維持する コンテキストウィンドウは、あるツール呼び出しから次のツール呼び出しへと情報を引き継ぐため、一度のインジェクションでセッション全体が汚染される可能性がある
- 機械速度で動作する 人間が活動をレビューする前に、完全なデータ流出チェーンが数秒で実行される可能性がある
- 人間以外のIDを持つ 特権アクセス(データベース認証情報、OAuthトークン、APIキーなど)を持ち、IAMシステム内の個々の従業員にはマッピングされない
OWASPのAgentic AI Top 10 (2025) は、この脅威の状況を体系化しています。 上位3つのリスクは、プロンプトインジェクションとジェイルブレイク、メモリポイズニング(エージェントの長期記憶ストアの破損)、およびツール/プラグインの悪用です。これらはいずれも、従来のセキュリティツールでは十分に対応できていません。WAFはエージェントの推論チェーンを理解せず、DLPはLLMのコンテキストウィンドウの内容を検査しません。CASBは、ツール呼び出しがエージェントプロセスから発信された場合、その呼び出しをユーザーIDに紐付けません。
このセキュリティギャップは設定の問題ではありません。カテゴリのミスマッチです。 企業はエージェント層向けに専用のツールを必要としており、2026年にはその市場は5つの異なるベンダーカテゴリに分類されています。
5層の攻撃対象領域
ベンダーの状況を理解するには、それが保護するように設計された攻撃対象領域を理解する必要があります。エンタープライズAIエージェントには 脅威が顕在化する5つの異なる層があります:
ベンダー市場は、これら5つの層を中心に構成されています。 どのベンダーもこれら5つの層すべてを網羅的にカバーしているわけではありません。各ベンダーカテゴリが何を対象とし、どこにギャップが残っているかを理解することが、企業評価の基礎となります。
企業向けAIエージェントセキュリティ ベンダーランドスケープ
1. AIエージェントIDセキュリティ
これが解決する課題: AIエージェントは、特権アクセスを持つ非人間IDです。従来のPAMツールは人間ユーザー向けに構築されていました。エージェントは動的に起動・停止し、しばしば過剰な権限を持つ認証情報が付与されており、従業員が退職する際に人間のアクセスを取り消すオフボーディングフローには関連付けられていません。
CyberArk はこのカテゴリで支配的なベンダーであり、AIエージェントID向けにIDセキュリティプラットフォームを特別に拡張しました。主な機能には、SaaS、クラウド、開発者環境全体での自動エージェント検出、ゼロスタンディング特権の強制、およびジャストインタイムの認証情報発行が含まれます。CyberArkの調査によると、 組織の10%未満しかAIエージェントIDに対する適切な特権制御を持っていない —これはCyberArkが明確にターゲットとしている市場です。
不足している点: CyberArkは認証情報の発行とIDライフサイクルを管理します。しかし、それらの認証情報が何に使われているか(プロンプト、ツール呼び出し、応答)の内容は検査しません。そのためには他の層が必要です。
2. AIランタイムセキュリティプラットフォーム
これが解決する課題: ランタイムにおける悪意のあるエージェント活動(プロンプトインジェクションの試み、ジェイルブレイク、異常なツールシーケンス、データ流出パターンなど)の挙動検知。
Palo Alto Networks Prisma AIRS (バージョン3.0、2026年3月リリース)は、AIアプリケーションセキュリティ、AIモデルセキュリティ、AIデータ保護、AIエージェント保護を統合プラットフォームでカバーする、このカテゴリで最も包括的なプラットフォームです。AIランタイムファイアウォールは、LLMのI/Oを検査し、インジェクションパターンとポリシー違反を検出します。AIRSには、AIレッドチーム機能とポスチャ管理が含まれています。
Lasso Security は、エージェントワークロード全体にわたるプロンプトインジェクション保護とLLMインタラクション監視に特化しており、MCP可視性を主要な差別化要因としています。 Straiker と HiddenLayer は、モデルレベルの脅威検出とレッドチーム活動でこのカテゴリを締めくくります。
欠けている点: ランタイムセキュリティプラットフォームは脅威を検出しますが、通常、インフラストラクチャを管理せず、監視モードで稼働します。モデルのアクセス制御、予算上限、レート制限を強制したり、エージェントがそもそもどのツールにアクセスできるかを決定するMCPサーバーレジストリを提供したりすることはありません。
3. AIゲートウェイ(LLMプロキシレイヤー)
これが解決する問題: すべてのLLMリクエストに対する一元的なガバナンス(認証、モデルルーティング、レート制限、予算の強制、リクエストレベルの可観測性)。AIゲートウェイは、エージェントとモデルプロバイダーの間に透明なプロキシとして位置します。
このカテゴリには多くの製品があります: TrueFoundry AI Gateway、 Portkey、 LiteLLM、 Bifrost、および AWS Bedrock と Google Vertex AI。主な差別化要因は、マルチプロバイダー対応(ゲートウェイがAnthropic、OpenAI、Azure、Bedrock、Vertexに同時にルーティングできるか)、可観測性の深さ、そしてゲートウェイがMCPガバナンス層と統合されているかどうかです。
TrueFoundry AI Gateway は、エンタープライズ向けエージェント型デプロイメントのために特別に構築されています。4ミリ秒未満のp95レイテンシ、1 vCPUで350以上のRPS、基盤となるプロバイダーAPIキーをエンドユーザーに決して公開しない仮想キー管理、そしてLLMとツールの統合ガバナンスを実現するTrueFoundryのMCPゲートウェイとのネイティブ統合が特徴です。
彼らが欠いている点: AIゲートウェイはモデル呼び出し層を管理します。連携するMCPゲートウェイがなければ、最も重要なエージェントアクションが発生するツール呼び出しは、管理されないままになります。
4. MCPゲートウェイ(ツール層)
この解決策が解決する問題: すべてのMCPツール呼び出しの一元的なガバナンス。具体的には、どのサーバーに到達可能か、どのIDがどのツールにアクセスできるか、実行前ガードレール、そして各エージェントが各ツールで何をしたかの完全な監査証跡を提供します。
これは最新かつ最も急速に成長しているカテゴリです。 MCPエコシステムが数千のサーバーに拡大するにつれて、サプライチェーンのリスクが著しくなっています。SnykのToxicSkills監査では、 3,984件のスキャンされたエージェントスキルのうち36.82%に、少なくとも1つのセキュリティ上の欠陥がありました。任意のファイル読み取り、RCE(リモートコード実行)、ツールポイズニングの脆弱性が、広く使用されている公式MCPサーバーで確認されています。
TrueFoundry MCPゲートウェイ は、ツールレベルでのRBACを備えた一元化されたサーバーレジストリ、インジェクションパターンツールシーケンスを検出する実行前ガードレール、そしてユーザーID、ツール名、リクエストペイロード、レスポンス、レイテンシを含む完全な呼び出しログを提供します。これらはOpenTelemetryを介して任意のSIEMにエクスポート可能です。
参照: TrueFoundry MCP Gatewayドキュメント アーキテクチャの詳細については。
彼らが欠いている点: MCPゲートウェイはツールアクセスを管理しますが、ツール選択を駆動するモデル推論層は検査しません。そのためには、ランタイムセキュリティまたはAIゲートウェイのガードレールが必要です。
5. AIレッドチーム演習とポスチャー管理
解決する課題: 攻撃者よりも先に、自動化されたレッドチーム演習、ポスチャー評価、継続的なセキュリティスキャンを通じて、エージェントのデプロイにおける脆弱性をプロアクティブに特定します。
プラットフォーム全体の比較:各カテゴリがカバーするもの
TrueFoundryの役割:インフラストラクチャ制御プレーン
上記で説明したベンダーの状況は、特定のメンタルモデルに当てはまります。 一部のベンダーは脅威を検知しますが、TrueFoundryはポリシーを適用します。 これらは競合する機能ではなく、補完的なものです。
Palo Alto AIRSとLasso Securityは、エージェントの挙動を監視し、異常があればアラートを発します。 TrueFoundryは、そもそも何が起こりうるかを管理します - いかなる脅威も実行される機会を得る前に。
アーキテクチャは3つの層で構成されています。
レイヤー1:AIゲートウェイ - LLM適用ポイント

組織内のすべてのエージェントからのすべてのモデル呼び出しは、 TrueFoundryのAIゲートウェイ を ANTHROPIC_BASE_URL 経由で (またはOpenAI、Azure、Bedrock、Vertexの同等のもの)ルーティングされます。このレイヤーでは:
- 仮想キー管理 - 開発者とエージェントプロセスは、基盤となるプロバイダーAPIキーを公開することのないスコープ付きキーを受け取ります。プロバイダーアカウントに触れたり、他のユーザーに影響を与えたりすることなく、仮想キーを失効させることができます。
- モデルアクセス制御 - 各チーム、ユーザー、またはエージェントのIDがどのモデルにアクセスできるかを定義します。Claude Sonnetのみを使用すべきチームに対してはGPT-4oをブロックします。不要な自動化パイプラインには高性能モデルへのアクセスを制限します。
- 予算上限とレート制限 - ユーザーごと、チームごと、プロジェクトごとの支出制限により、エージェントが暴走するシナリオ(Replitのインシデントなど)が無制限の計算リソースを消費するのを防ぎます。
- リクエストレベルのトレーシング - すべてのLLM呼び出しは、ユーザーの帰属、モデル、トークン数、レイテンシ、コストとともにログに記録されます。OpenTelemetryを介してGrafana、Datadog、Splunk、またはお客様のSIEMにエクスポートされます。これにより、Coworkの監査ギャップ、Claude Codeの可観測性ギャップ、およびAPIキーの帰属ギャップを同時に解消します。
完全なデプロイメントアーキテクチャについては、以下を参照してください。 TrueFoundry Claude Code統合ガイド。
レイヤー2:MCPゲートウェイ - ツール強制ポイント
すべてのMCPツール呼び出しは、以下を経由します。 TrueFoundryのMCPゲートウェイ - の単一の承認済みエンドポイントです。 managed-settings.json。このレイヤーでは:
- 一元化されたサーバーレジストリ - プラットフォームチームによって明示的に承認されたサーバーのみが到達可能です。開発者が悪意のあるマーケットプレイススキルをインストールするClawHavocスタイルの攻撃は、呼び出しが発生する前にネットワーク層でブロックされます。
- ロールベースのツールアクセス - エンジニアはコードツールにアクセスできます。財務アナリストは読み取り専用の財務データツールにアクセスできます。管理者パイプラインは書き込みツールにアクセスできます。これらはエージェントプロセスから信頼されるのではなく、ゲートウェイで強制されます。
- 実行前ガードレール 注入挙動をパターンマッチングするツールシーケンス(大量のファイル読み込みに続く外部書き込み、データ持ち出しパターンAPI呼び出しなど)は、実行前にフラグ付けまたはブロックされます。
- 完全な呼び出し監査証跡 - ユーザーID、ツール名、サーバーURL、リクエストペイロード、レスポンス、成功/失敗、レイテンシー — すべてのエージェント、すべてのセッション、すべてのチームにおける、あらゆるツール呼び出しについて。
MCPガバナンスアーキテクチャについては、 TrueFoundry MCPゲートウェイのドキュメント.
レイヤー3:インフラストラクチャ - エンドポイント、MDM、ネットワーク制御
両方のゲートウェイの下にあるプラットフォーム層: managed-settings.json MDM経由で展開されることでエンドポイント設定がロックされ、プロキシでのテナント制限により個人アカウント認証のバイパスが防止され、ネットワーク出力制御によりブラウザとシェルへのアクセス範囲が制限されます。これは、以下で詳細に説明されています。 TrueFoundryのClaude向けエンタープライズセキュリティガイド.
OWASPエージェントAIトップ10:各リスクと制御のマッピング
OWASPが2025年12月に発表したエージェントアプリケーション向けトップ10は、自律型エージェント向けの業界初の標準化されたリスクフレームワークです。主要なリスクが具体的な制御にどのようにマッピングされるかを以下に示します。
無策の代償
エンタープライズAIエージェントセキュリティソリューションを導入するコストは確かに存在します。しかし、それを導入しない場合のコストは、より甚大です。
Replitのプロダクションデータベース消去は、直接的な収益に影響を与える事業継続インシデントでした。ClawHavocキャンペーンは、エンタープライズ規模で開発者の認証情報ストアを標的にしました。CVE-2026-25253は、広く展開されているプラットフォームのエージェントランタイムに対するRCE(リモートコード実行)を実証しました。これらのインシデントは、実際の修復コスト、評判の損害、そして場合によっては規制当局による調査を引き起こしました。
インシデント以外にも、コンプライアンスコストがあります。 HIPAA、SOC 2、GDPR、または金融規制のコンテキストで、リクエストレベルの可観測性とMCPガバナンスなしにCoworkまたはClaude Codeを運用している組織は、監査ギャップを抱えたまま運用していることになります。 そのギャップは、最終的に査定官に説明しなければならなくなります。そのギャップを早期に解消すればするほど、解消にかかるコストは低くなります。
このカテゴリのセキュリティツールは、エンタープライズ導入の場合、月額数千ドルかかります。エンタープライズ規模での認証情報漏洩に対するインシデント対応には、数百万ドルかかります。
よくある質問
エンタープライズAIエージェントセキュリティソリューションとは何ですか?
エンタープライズAIエージェントセキュリティソリューションとは、プロンプトインジェクション、ツール誤用、ID侵害、サプライチェーン攻撃、監査失敗といったエージェントシステムに特有の脅威から自律型AIエージェントの導入を保護するために設計されたプラットフォームと制御の集合体です。これらは、IDセキュリティ、ランタイムセキュリティ、AIゲートウェイ、MCPゲートウェイ、レッドチームの5つのカテゴリにわたります。 1つのプラットフォームで5つのレイヤーすべてをカバーすることはできません。エンタープライズアーキテクチャでは、複数のツールを重ねて使用します。
OWASP Agentic Applications Top 10とは何ですか?
OWASP Agentic Applications Top 10(2025年12月版)は、OWASP LLM Top 10とは異なり、自律型AIエージェントのために特別に構築された初の業界標準リスク分類です。上位3つのリスクは、プロンプトインジェクション、メモリポイズニング、ツール/プラグインの誤用であり、これらはいずれも従来のセキュリティツールでは十分な対策が取られていません。これは、エンタープライズAIエージェントのセキュリティ態勢を評価するための主要な評価フレームワークとして機能します。
MCPゲートウェイとは何ですか?また、AIエージェントを導入するすべての企業がそれを必要とするのはなぜですか?
MCPゲートウェイは、AIエージェントと、Model Context Protocolを介してアクセスする外部ツールとの間の集中管理レイヤーです。これがない場合、開発者またはエージェントが接続するすべてのMCPサーバーが、ガバナンス、監査証跡、最小権限の強制なしに、直接攻撃対象領域を拡大します。これがあれば、承認されたサーバーのみに到達可能となり、ツールへのアクセスはロールによって範囲が限定され、実行前ガードレールはインジェクションによってトリガーされるシーケンスをブロックし、すべての呼び出しがログに記録されます。参照: TrueFoundry MCP Gateway ドキュメント 実装の詳細について。
Claude CodeまたはClaude Coworkを導入する企業にとって、最小限の実行可能なセキュリティアーキテクチャとは何ですか?
少なくとも:
(1) エンタープライズティア(Team/Pro/Maxではない)、
(2) IdP経由でのSSO + SCIM、
(3) managed-settings.json MDM経由でバイパスが無効化され、認証情報パスがブロックされた状態で、
(4) 全てのLLMトラフィックはTrueFoundry AI Gateway経由で、
(5) 全てのMCPトラフィックはTrueFoundry MCP Gateway経由で、
(6) SIEMへのOTELルーティング。これには、ID、モデルガバナンス、ツールガバナンス、および可観測性が含まれます。ランタイム挙動検知。
完全なハードニングガイドは TrueFoundry Claude コードガバナンスドキュメントにあります。
結論
エンタープライズAIエージェントセキュリティ市場が存在するのは、デプロイメントの波がセキュリティツールよりも先行したためです。 今日、組織はガバナンス、可観測性、制御の度合いが様々であるにもかかわらず、インフラ全体で自律型エージェントを稼働させています。インシデントはもはや理論上の話ではありません。コンプライアンスのギャップも、規制当局の監視も、もはや理論上の話ではありません。
ベンダーの状況は、IDセキュリティ、ランタイムセキュリティ、AIゲートウェイ、MCPゲートウェイ、レッドチームの5つのカテゴリに分類されています。 単一のベンダーでフルスタックをカバーできるわけではありません。 防御可能な体制を構築している企業は、これらのカテゴリを意図的に重ね合わせています。まず強制、次に検知、そしてその両方のアウトプットとしてコンプライアンスを位置づけています。
TrueFoundryのAIゲートウェイとMCPゲートウェイは、このアーキテクチャの強制レイヤーを占めています。これは、エージェントが何に、どのくらいの量で、どのようなガバナンスで、どのような監査証跡でアクセスできるかを決定するコントロールプレーンです。検知レイヤーはその基盤の上に位置します。コンプライアンスの証拠は両方から得られます。
デプロイメントの波に先んじる機会は狭まりつつあります。 今のうちにガバナンスインフラを構築する組織は、規制の枠組みが要求する前に防御可能な体制を整えるでしょう。待機する組織は、インシデントに対応して構築することになるでしょう。
TrueFoundry AI Gateway delivers ~3–4 ms latency, handles 350+ RPS on 1 vCPU, scales horizontally with ease, and is production-ready, while LiteLLM suffers from high latency, struggles beyond moderate RPS, lacks built-in scaling, and is best for light or prototype workloads.
The fastest way to build, govern and scale your AI












.webp)




.png)








.webp)
.webp)








