Google CloudのAIエージェント・ガバナンス・スタック、「エージェントをエンジニア組織のように管理せよ」

Google CloudがCloud Next 26で発表したGemini Enterprise Agent Platformのガバナンス・スタックは、AIエージェントのセキュリティ管理に向けた体系的なフレームワークを提示しています。中核となる哲学はシンプルです。エージェントの集団（fleet）をエンジニアリング組織のように扱え、ということです。アイデンティティを付与し、アクセス権を制御し、ポリシーを強制し、挙動を監視し、すべてを監査（audit）せよ、という考え方です。

背景

• 設定を誤ったSaaSツールはデータを受動的に露出させますが、設定を誤ったAIエージェントは能動的に誤った行動を実行します。2015年のシャドーIT（組織が把握していない未承認IT利用）の問題が、いまAIエージェントの領域で繰り返されていると警告しています。

5階層ガバナンス・スタックの要約

• 第1階層 - エージェント・アイデンティティ（Agent Identity）: すべてのエージェントに固有の暗号化IDを付与します。従来は1つのサービスアカウントで全エージェントを運用していたため問題追跡が不可能だった構造を改善します。最小権限の原則（Principle of Least Privilege）を適用し、エージェントごとにアクセス可能なテーブル、バケット、APIエンドポイントを細かく指定します。
• 第2階層 - エージェント・レジストリ（Agent Registry）: 組織内のすべてのエージェント、MCPツール、エンドポイントを中央で管理するカタログです。企業内向けnpmリポジトリに似た概念で、プラットフォームチームが承認したツールだけを本番エージェントで使えるようにします。ツールのデータアクセス範囲、必要権限、利用中のエージェント一覧などのメタデータを含み、脆弱性パッチ時に影響範囲を即座に把握できます。
• 第3階層 - エージェント・ゲートウェイ（Agent Gateway）: セキュリティポリシーを自然言語で記述すると、ゲートウェイを通過するすべてのエージェントに即時適用される中央執行ポイントです。50個のエージェントを個別に修正する必要なく、ポリシーを1回書くだけで全体に適用できます。Model Armorを統合し、プロンプトインジェクション（悪意ある命令注入）や機密データ流出も防ぎます。
• 第4階層 - 異常検知および脅威検知（Anomaly & Threat Detection）: 統計モデルで各エージェントの正常行動ベースラインを設定し、逸脱時に警告します。別のLLMが審判（judge）の役割を担い、エージェントの推論過程における論理の飛躍や範囲外の判断を検知します。脅威検知レイヤーは、リバースシェル、悪性IP接続、権限昇格の試行などの意図的攻撃を監視します。
• 第5階層 - エージェント・セキュリティ・ダッシュボード（Agent Security Dashboard）: Security Command Centerを基盤として、上記4階層の情報を統合的に可視化します。エージェントとモデルの関係マッピング、自動資産探索、脆弱性スキャン、階層間のシグナル相関分析などを1つの画面で提供します。

差別化ポイント

• エージェントを「エンジニア組織の運営」という馴染みあるメンタルモデルに対応づけ、セキュリティガバナンスを5つの階層に体系化している点が目を引きます。特に、自然言語によるポリシー作成と全体への即時適用、LLM-as-a-judge方式の推論監査は、従来のクラウドセキュリティのアプローチと一線を画しています。

示唆

• エージェント展開の初期にガバナンス・スタックを構築した組織は、エージェントが増えるほど限界コストがほぼ0に近づく複利効果を享受できます。逆に、管理なしでエージェントを増やした組織は、シャドーIT時代と同様の攻撃面拡大と監査複雑性の増加に直面する可能性があります。金融、医療などの規制産業では、エージェントごとの固有アイデンティティと監査証跡が事実上の規制要件に当たるため、このフレームワーク導入の圧力を最も早く体感する領域になりそうです。