7月1日、John Burkeが「The agentic AI 'lethal trifecta': What CISOs should know」と題した記事を公開した。AIエージェントの企業導入が加速する中、セキュリティ担当者が見落としがちな「構造的なリスクの組み合わせ」がある。単一の脆弱性ではなく、複数の特性が重なった瞬間に企業の防御が崩壊する——この記事はその仕組みと対策を、CISOの視点から体系的に整理している。
「致死的トリフェクタ」とは何か
「lethal trifecta(致死的トリフェクタ)」という言葉は、プログラマーのSimon Willisonが提唱したとされる概念だ。AIエージェント(自律的に判断・行動するAIシステム)が持つ複数の特性が重なったとき、企業に壊滅的なリスクをもたらすという考え方である。Willisonはこの概念をプロンプトインジェクション攻撃の危険性を論じる文脈で提示しており、特定の条件が揃ったAIエージェントが攻撃者にとって「理想的な武器」になりうると警告した。
Willisonが最初に示した3つの特性は以下のとおりだ:
- 機密情報へのアクセス ── 従業員・顧客の個人情報、社内の知的財産など
- 制御されていないコンテンツの取り込み ── 企業が管理していない外部Webサイト等を読み込み、意図的な誤情報や隠されたプロンプトインジェクションを受け入れてしまう可能性
- 外部への通信能力 ── データを外部へ流出させられる経路を持つ
これら3つが揃ったとき、エージェントは「攻撃者にとって絶好のツール」にも「インサイダー脅威の温床」にもなりえる。従来のセキュリティ設計は「人間が操作する系」を前提としており、自律的に動作するAIエージェントがこの3条件を同時に満たす状況を想定していない点が、問題の根深さを示している。
3つにとどまらないリスクの拡張
記事では、セキュリティ研究者の間で「トリフェクタ」の定義が一致していないことも指摘されている。実際には以下のような特性も候補として挙がっている:
- 他システムへの影響力 ── ネットワーク機器の再設定やデータベース変更など
- 長期目標の自律追求 ── CVSSスコアの低い脆弱性を連鎖させて、最終的にルートアクセスを得るような適応的な攻撃行動
- 自己改善能力 ── コードや目標の自己修正、外部ツールの取り込み
- アジェンティック・ベロシティ ── 人間のガバナンス速度を超えて動作する能力。人間が承認プロセスを回している間にエージェントが行動を完了してしまう状況を指す
- プロンプトドリフト(非決定性) ── 同じ入力に対して異なる出力を返す性質。多くのジェイルブレイク攻撃がこの確率的な揺らぎを悪用し、繰り返し試行によって意図した応答を引き出そうとする
- コスト不確定性 ── トークン消費が予測不能に膨らむ「context rot(コンテキスト腐敗)」による再帰ループ。会話履歴や参照コンテキストが蓄積されるにつれてモデルの応答品質が劣化し、無限ループに近い処理が発生するリスクを指す
- ハイプノシス(目標の書き換え) ── 悪意ある入力によってエージェントの目標そのものが上書きされる攻撃。プロンプトインジェクションの高度な形態であり、エージェントが当初の指示を忘れ、攻撃者の指示に従って動き続ける状態を指す
- 超人的な説得能力 ── 人間では不可能なスケールで巧妙なソーシャルエンジニアリング攻撃を実行できる
記事はこれらを「3つに絞る必要はないが、語呂のいい言葉がない」と率直に認めている。
CISOが問うべきリスク評価の5つの問い
記事では、自組織のリスク露出を把握するために、以下の問いを自問するよう求めている:
- AIエージェントは、CRMなどの中核的な業務システムにどの程度アクセスできるか?
- AIエージェントは、社内データにどの程度アクセスできるか?
- AIエージェントは、ネットワーク機器やIaaS環境・DNSサービスなどのインフラにどの程度アクセスできるか?
- AIエージェントは、インターネットにどの程度接続できるか?
- MCP(Model Context Protocol)経由で外部エンティティが自組織のシステムにどの程度アクセスできるか?
これらの問いに自信を持って答えられない状態そのものが、重大なリスクの証拠である、と記事は強調する。5つの問いはいずれも「AIエージェントに何をさせているか」ではなく「AIエージェントが何をできる状態にあるか」を問うている点が重要だ。設定した権限ではなく、実際に行使可能な権限の全体像を把握することが出発点となる。
具体的な緩和策:ゼロトラストの徹底
記事が推奨する最善策は、ゼロトラストアーキテクチャのAIインフラへの適用だ。具体的には以下の対応が求められる:
- AIエージェント向けのID管理の導入。Kubernetesコンテナ向けのID管理システムを転用・拡張することも一案として挙げられている
- MCPゲートウェイ等を通じてエージェントの通信を一元的に制御・監視する
- デフォルト「全拒否」のアクセスポリシーを設定し、必要なものだけを明示的に許可する
- セマンティックファイアウォールの導入。プロンプトインジェクションや「ハイプノシス(目標の書き換え)」を検出する
- 経路依存型アクセス管理。過去のプロンプト文脈を踏まえてアクセス可否を判定し、緩やかな攻撃パターンを検知する
- モデルドリフト監視と行動脅威モニタリング。許可のない操作を繰り返すエージェントのアクセス権を自動で剥奪するなど、リスクある行動パターンを捕捉・遮断する
従来のWebアプリケーションファイアウォール(WAF)はプロンプトインジェクション攻撃に対応できないという点も明示されており、既存ツールだけでは不十分であることが強調されている。ゼロトラストの原則をAI固有のリスク特性に合わせて再設計することが、現時点での現実的な対応策として位置づけられている。
詳細はThe agentic AI 'lethal trifecta': What CISOs should knowを参照していただきたい。