Google CloudのAIエージェント・ガバナンス・スタック、「エージェントをエンジニア組織のように管理せよ」

Google CloudがCloud Next 26で発表したGemini Enterprise Agent Platformのガバナンス・スタックは、AIエージェントのセキュリティ管理に関する体系的なフレームワークを提示しています。中核となる哲学はシンプルです。エージェント群（fleet）をエンジニアリング組織のように扱え、ということです。アイデンティティを付与し、アクセス権限を統制し、ポリシーを強制し、振る舞いを監視し、すべてを監査（audit）せよ、という話です。

背景

• 設定ミスのあるSaaSツールはデータを受動的に露出させますが、設定ミスのあるAIエージェントは能動的に誤った行動を実行します。2015年のシャドーIT（組織が把握していない未承認IT利用）の問題が、いまAIエージェント領域で繰り返されていると警告しています。

5層ガバナンス・スタック要約

• 第1層 - エージェント・アイデンティティ（Agent Identity）: すべてのエージェントに固有の暗号化IDを付与します。従来は1つのサービスアカウントで全エージェントを運用していたため問題追跡が不可能だった構造を改善します。最小権限の原則（Principle of Least Privilege）を適用し、エージェントごとにアクセス可能なテーブル、バケット、APIエンドポイントを細かく指定します。
• 第2層 - エージェント・レジストリ（Agent Registry）: 組織内のすべてのエージェント、MCPツール、エンドポイントを中央管理するカタログです。企業内向けnpmリポジトリに似た概念で、プラットフォームチームが承認したツールだけを本番エージェントで使えるようにします。ツールのデータアクセス範囲、必要権限、利用中のエージェント一覧などのメタデータを含み、脆弱性パッチ時に影響範囲を即座に把握できます。
• 第3層 - エージェント・ゲートウェイ（Agent Gateway）: セキュリティポリシーを自然言語で記述すると、ゲートウェイを通過するすべてのエージェントに即座に適用される中央執行ポイントです。エージェント50体を個別修正する必要なく、ポリシーを1回書くだけで全体に適用できます。Model Armorを統合し、プロンプトインジェクション（悪意ある命令注入）と機密データ流出も防御します。
• 第4層 - 異常検知および脅威検知（Anomaly & Threat Detection）: 統計モデルで各エージェントの正常行動ベースラインを設定し、逸脱時に警告します。別のLLMが審判（judge）の役割を担い、エージェントの推論過程における論理の飛躍や範囲外の判断を検知します。脅威検知レイヤーはリバースシェル、悪性IP接続、権限昇格の試みなどの意図的攻撃を監視します。
• 第5層 - エージェント・セキュリティ・ダッシュボード（Agent Security Dashboard）: Security Command Centerを基盤として、上記4層の情報を統合的に可視化します。エージェント-モデル関係のマッピング、自動アセット探索、脆弱性スキャン、層間シグナルの相関分析などを1つの画面で提供します。

差別化ポイント

• エージェントを「エンジニア組織の運営」という馴染みのあるメンタルモデルに対応づけ、セキュリティガバナンスを5つの層で体系化した点が目を引きます。特に自然言語によるポリシー記述と全体への即時適用、LLM-as-a-judge方式の推論監査は、従来のクラウドセキュリティのアプローチと一線を画します。

示唆

• エージェント展開の初期段階でガバナンス・スタックを構築した組織は、エージェントが増えるほど限界コストがほぼ0に近づく複利的な効果を享受できます。逆に、管理なしでエージェントを増やした組織は、シャドーIT時代と同じように攻撃対象領域の拡大や監査の複雑性増大に直面する可能性があります。金融、医療などの規制産業では、エージェントごとの固有アイデンティティと監査証跡が事実上の規制要件に当たるため、このフレームワーク導入の圧力を最も早く実感する領域と見られます。