Wing
Blog ← Home

AI Governance / AI TRiSM

ガーディアンエージェント:
AI監視・制御の新パラダイムとGartner AI TRiSMフレームワーク

Wing編集部
AIエージェント完全ガイド — 7ステップシリーズ 一覧へ
Lv.1 概念
エージェント革命
Lv.2 設計
設計パターン
Lv.3 リスク
スプロール
Lv.4 ID管理
IAM
Lv.5 監視 ◀
ガーディアン
Lv.6 統合
オーケストレーター
Lv.7 管理
AMP

「AIをAIで監視する」——これは比喩ではなく、Gartnerが2025年に「Market Guide for Guardian Agents」として正式に定義した新しいカテゴリだ。ガーディアンエージェント(Guardian Agent)とは、他のAIエージェントの動作を継続的に観察・評価し、ポリシー違反や異常動作を検知した際に自動介入する専用エージェントのことだ。AIエージェントが自律化・大規模化するほど、人間による監視は限界を迎える。その解決策が「AIによるAI監視」だ。

Figure 1 — ガーディアンエージェントのOERAサイクル
GUARDIAN AGENT O - Observe 全エージェントの 行動ログを監視 E - Evaluate ポリシー適合性・ リスクを評価 R - Respond 介入・停止・ 人間へエスカレーション A - Adapt ポリシー・ルールを 学習・更新

OERAサイクルはガーディアンエージェントが「AIエージェントを継続的に保護する」4段階プロセス(出典:Gartner, G00836388)

40%
2028年までにガーディアンエージェントが必要になるGenAI展開の割合(Gartner予測)
6.5倍
2025〜2028年のガーディアンエージェント市場の成長倍率予測
72%
AI TRiSM対策を導入した企業がAIインシデントを削減できた割合(Gartner調査)

Gartnerの定義:ガーディアンエージェントとは

Gartnerはガーディアンエージェントを次のように定義している:「AI TRiSMフレームワークにおけるAIガバナンスとAIランタイム制御を融合させた、自律的・信頼性・安全性を持つAIエージェント活動と成果を支援するエージェント」

この定義が示す重要な点は3つだ。第一に「AIガバナンス」と「ランタイム制御」の融合——設計時のポリシー策定だけでなく、実行時にリアルタイムで動作すること。第二に「自律的」——人間の介在なしに対応できること。第三に「AI TRiSM(AI Trust, Risk and Security Management)フレームワークの一部」——点の対策ではなく統合的なガバナンス体系の構成要素であること。

AI TRiSMフレームワークとの関係

AI TRiSM(エーアイ・トリズム)はGartnerが提唱するAI信頼性・リスク・セキュリティ管理の統合フレームワークだ。4つのコンポーネントから構成される。

AI TRiSM Framework — 4コンポーネント
T
AI Trust(信頼性)
モデルの説明可能性、公平性、透明性の確保。「なぜそのアウトプットが出たか」を追跡できる仕組み。XAI(Explainable AI)ツールを活用。
R
AI Risk(リスク管理)
幻覚(ハルシネーション)、バイアス、プロンプトインジェクション等のリスクを特定・定量化。リスクベースのエージェント展開承認フロー。
i
AI Security(セキュリティ)
エージェントへの攻撃(プロンプトインジェクション、モデル汚染、データポイズニング)からの防御。IAM・ネットワーク分離・監視の統合。
M
AI Management(管理)
エージェントのライフサイクル管理、パフォーマンス監視、コスト最適化、コンプライアンス報告。ガーディアンエージェントはここに直接貢献。

ガーディアンエージェントはAI TRiSMの全4コンポーネントに横断的に機能する(出典:Gartner AI TRiSM Framework)

OERAサイクルの詳細:4段階の機能

ガーディアンエージェントの中核機能はOERA(Observe-Evaluate-Respond-Adapt)サイクルとして整理される。

フェーズ 機能内容 典型的な検知・対応例
Observe
観察		 全エージェントのAPIコール、データアクセスパターン、出力内容をリアルタイムに収集・記録 エージェントが通常の10倍のAPIコールを実行していることを検知
Evaluate
評価		 収集データをポリシールール・ベースラインと照合し、リスクスコアを算出。異常度を定量化 過去パターンとの乖離が閾値を超え、「異常な大量データアクセス」と判定
Respond
対応		 リスクレベルに応じた自動対応を実行。軽微:警告ログ。中程度:処理を一時停止。重大:即時停止+人間へ通知 エージェントへのアクセストークンを失効させ、セキュリティチームにSlack通知を送信
Adapt
適応		 インシデント事例をポリシーエンジンに反映し、検知精度を継続的に向上。False Positiveの削減も含む 誤検知だったパターンをホワイトリストに追加し、次回からの警告を抑制

ガーディアンエージェントが防ぐ5つの脅威

ガーディアンエージェントが実際に防ぐリスクは多岐にわたる。Gartnerが特定した主要脅威は以下の5つだ。

  • プロンプトインジェクション:悪意のある入力によってエージェントの動作を乗っ取る攻撃。ガーディアンが入力・出力をリアルタイムサニタイズ
  • ハルシネーション連鎖:一つのエージェントの誤った出力が次のエージェントへの入力となり、誤りが増幅されるカスケード障害。出力の事実確認レイヤーを挟む
  • 過剰なリソース消費:ループ状態に陥ったエージェントがAPIコストを爆発的に消費する。コスト閾値トリガーによる自動停止
  • 機密データの不正外部送信:エージェントが意図せずPII・営業秘密を外部サービスへ送信するリスク。出力フィルタリングによる検知・遮断
  • 権限昇格(Privilege Escalation):エージェントが設計外の方法で権限を拡大しようとする動作。IAMシステムと連携した異常権限リクエストの自動拒否

主要ベンダーの比較

ベンダー カテゴリ ガーディアン機能の特徴
Cisco AI Defense ネットワークセキュリティ ネットワークレベルでのAIトラフィック監視、プロンプトインジェクション検知、データ漏洩防止
Palo Alto Networks セキュリティプラットフォーム AI Access Security、エージェント通信の可視化、CASB統合でのSaaS AIアクセス制御
Protect AI AI/MLセキュリティ専業 MLモデルのスキャン・監視、サプライチェーン攻撃対策、OSSモデルの脆弱性検知
Credo AI AIガバナンスプラットフォーム ポリシーエンジンによる自動コンプライアンス確認、EU AI Act対応、リスクスコアリング
Arthur AI AI監視・パフォーマンス LLMの出力品質監視、バイアス検知、ドリフト検知、ガードレール実装
Caution — ガーディアンエージェント自体のガバナンス
ガーディアンエージェントは「他のエージェントを止める権限」を持つ。つまり、ガーディアンエージェント自体が最も厳密に管理・監視される必要がある。誰がガーディアンを管理するのか——この「Quis custodiet ipsos custodes(誰が守護者を守るのか)」問題に対応するには、ガーディアンエージェントには人間の管理者による直接監督と、詳細な監査ログが必須だ。

日本企業への適用:段階的導入アプローチ

ガーディアンエージェントの完全な自律動作(自動停止権限付き)は、組織内で相当の信頼が築かれた後に導入すべきだ。日本のエンタープライズでは以下の3段階が現実的だ。

導入ロードマップ — 3段階
S1
Observe Only(観察のみ)
まず全エージェントのログ収集・可視化のみを実施。介入は行わない。「何が起きているか」を把握するフェーズ。期間:3ヶ月。
S2
Notify & Review
異常検知時に人間へ通知し、人間が介入を判断。ガーディアンは「警告機」として機能。FalsePositiveのチューニング期間。期間:3〜6ヶ月。
S3
Autonomous Response
高リスクパターンに対して自動介入を有効化。自動停止の権限は最初はサブセットのみ(外部送信系)から開始し、段階的に拡大。
Wing's View
ガーディアンエージェントは「AIをコントロールする最後の砦」ではなく、「AIを信頼して使うための基盤」として位置づけるべきだ。監視体制が整っているからこそ、より多くの業務をエージェントに委任できる。Wingでは、ガーディアンエージェントの導入を「AIエージェント活用の加速器」として捉え、ガバナンスと活用拡大を同時に設計するアプローチを推奨している。

Consulting

AI TRiSM設計とガーディアンエージェント
導入を Wing がご支援します

AI監視ポリシー策定、ガーディアンエージェントの選定・設計・実装まで。信頼できるAIエージェント活用基盤の構築を支援します。

無料相談を予約する →
Next in Series
Lv.6
ユニバーサルオーケストレーター:マルチベンダーAIエージェント統合の決定版アーキテクチャ
複数ベンダーのエージェントを統合調整する新アーキテクチャを解説 →