この記事の概要
MicrosoftがOSSで公開した Agent Governance Toolkit は、AIエージェントのランタイムセキュリティを「OSカーネル」の発想で実現する7パッケージ構成のフレームワークです。
OWASP Agentic Top 10の全10リスクに対応し、0.1ms以下のポリシー実行レイテンシを達成しています。
インフラチームがAIエージェントを本番環境に投入する前に、知っておくべき新しい標準となりつつあります。
AIエージェントはもう「チャットボット」ではない — なぜ今ガバナンスが必要か
AIエージェントが「答えを返すだけ」の存在から、「実際に何かを実行する」存在へと変わりつつあります。
LangChain、AutoGen、CrewAI、Microsoft Agent Framework——これらのフレームワークを使えば、フライトの予約、コードのデプロイ、インフラの変更を自律的に実行するエージェントを、驚くほど短期間で構築できます。
しかし、エージェントが自律的に動くということは、「誰がエージェントの行動を制御するか」 という問いが生まれることを意味します。
2025年12月、OWASPは 「OWASP Top 10 for Agentic Applications 2026」 を公開しました。
これはAIエージェント特有のリスクを初めて体系化したもので、以下の10項目が挙げられています。
- Goal Hijacking(目的ハイジャック)— プロンプトインジェクションでエージェントの目的を書き換える
- Tool Misuse(ツール悪用)— エージェントに意図しないAPIを呼び出させる
- Identity Abuse(ID乱用)— 別エージェントに成りすます
- Supply Chain Risks(サプライチェーンリスク)— 悪意のあるプラグインの混入
- Code Execution(コード実行リスク)— サンドボックス外でのコード実行
- Memory Poisoning(メモリ汚染)— 長期記憶への不正なデータ注入
- Insecure Communications(通信の不安全性)— エージェント間通信の盗聴・改ざん
- Cascading Failures(連鎖障害)— 一つのエージェント障害が全体に波及
- Human-Agent Trust Exploitation(人間との信頼関係の悪用)— 人間を欺くエージェント
- Rogue Agents(不正エージェント)— 制御を逸脱したエージェントの暴走
これらはいずれも、インフラエンジニアが本番環境でAIエージェントを動かす際に直面しうるリアルなリスクです。
そして、これに正面から答えるOSSがMicrosoftから登場しました。
「OSカーネルをエージェントに適用する」という発想 — Agent Governance Toolkitの全貌
Agent Governance Toolkit は、2026年4月2日にMicrosoftがMITライセンスで公開した、AIエージェント向けランタイムガバナンスフレームワークです。
開発チームが採用したアプローチは独創的でした。
「エージェントが抱える問題は、OSが解決済みのものと本質的に同じではないか」という問いからスタートし、OSカーネル・サービスメッシュ・SREの実績ある手法をエージェントの世界に持ち込みました。
7つのパッケージはそれぞれ独立してインストール可能で、Python、TypeScript、Rust、Go、.NETに対応しています。
パッケージ構成
| パッケージ | 役割 | 例え |
|---|---|---|
| Agent OS | エージェントの全アクションを事前にインターセプトするポリシーエンジン | OSカーネル |
| Agent Mesh | DIDベースの暗号ID・エージェント間信頼スコアリング | Service Mesh |
| Agent Runtime | 動的実行リング・サーガオーケストレーション・キルスイッチ | CPU特権リング |
| Agent SRE | SLO・エラーバジェット・サーキットブレーカー・カオスエンジニアリング | SRE実践 |
| Agent Compliance | EU AI Act・HIPAA・SOC2・OWASP対応の自動コンプライアンス検証 | 監査対応 |
| Agent Marketplace | プラグインのライフサイクル管理・Ed25519署名 | App Store |
| Agent Lightning | 強化学習(RL)トレーニングのポリシー制御 | MLOps |
中でも注目すべきは Agent OS です。
エージェントがツールを呼び出す前に必ずポリシーエンジンを通過させる仕組みで、YAML・OPA Rego・Cedarの3つのポリシー言語に対応しています。
実行レイテンシはp99で0.1ms未満という、本番ユースを意識した性能設計になっています。
実際にKubernetes上で使ってみる — サイドカーパターンによるAKSデプロイ
ここでは、AKS上でAIエージェントを動かしているチームが最初にやるべき「Agent OS」の導入手順を見ていきます。
インストール
# 最小構成(ポリシーエンジンのみ)
pip install agent-governance-toolkit[agent-os]
# フルインストール
pip install agent-governance-toolkit[full]
LangChainエージェントへの組み込み
既存のLangChainコードへの変更は最小限です。
ガバナンスはコールバックハンドラとして差し込みます。
from langchain.agents import create_tool_calling_agent
from agent_os import GovernanceCallbackHandler, PolicyEngine
# ポリシーエンジンの初期化
policy_engine = PolicyEngine.from_yaml("policies/production.yaml")
# ガバナンスハンドラをエージェントに追加
handler = GovernanceCallbackHandler(policy_engine=policy_engine)
agent = create_tool_calling_agent(
llm=llm,
tools=tools,
prompt=prompt,
callbacks=[handler] # ← ここだけ追加
)
ポリシーファイルの例(YAML)
# policies/production.yaml
version: "1.0"
rules:
# 本番DBへの書き込みは事前承認が必要
- id: "db-write-requires-approval"
match:
tool: "database_write"
environment: "production"
action: require_approval
approvers: ["sre-team"]
# ネットワーク外部への接続は許可リストのみ
- id: "network-allowlist"
match:
tool: "http_request"
condition: "target_domain not in allowed_domains"
action: deny
message: "外部ドメインへのアクセスは許可リスト外です"
# コード実行はサンドボックス内のみ
- id: "sandbox-code-exec"
match:
tool: "code_interpreter"
action: sandbox
runtime: "firecracker" # Firecrackerマイクロ仮想マシンで隔離
AKS上でのサイドカーデプロイ
# agent-deployment.yaml
apiVersion: apps/v1
kind: Deployment
metadata:
name: my-ai-agent
spec:
template:
spec:
containers:
# メインエージェントコンテナ
- name: agent
image: myregistry.azurecr.io/my-agent:latest
env:
- name: AGENT_GOVERNANCE_ENDPOINT
value: "http://localhost:8080"
# ガバナンスサイドカー
- name: agent-governance
image: mcr.microsoft.com/agent-governance-toolkit:latest
ports:
- containerPort: 8080
volumeMounts:
- name: policy-config
mountPath: /policies
volumes:
- name: policy-config
configMap:
name: agent-policies
このサイドカーパターンにより、エージェントのコードを一切変更せずにガバナンスを後付けで適用することも可能です。
Mermaid図:ガバナンスフロー
sequenceDiagram
participant A as AIエージェント
participant OS as Agent OS(ポリシーエンジン)
participant T as ツール(DB/API等)
participant H as 人間(承認者)
A->>OS: ツール呼び出しリクエスト
OS->>OS: ポリシー評価(<0.1ms)
alt ポリシー: 許可
OS->>T: ツール実行
T-->>A: 結果を返却
else ポリシー: 承認が必要
OS->>H: 承認リクエスト通知
H-->>OS: 承認
OS->>T: ツール実行
T-->>A: 結果を返却
else ポリシー: 拒否
OS-->>A: 実行拒否(理由付き)
end
インフラチームが今すぐ取り組むべき3つのステップ
Agent Governance Toolkitは「全部一気に入れる必要はない」という設計思想で作られています。
段階的に導入することをMicrosoft自身も推奨しています。
ステップ1: Agent OSで可視化から始める
まずauditモードでポリシーエンジンを動かし、エージェントが実際に何をしているかを記録することから始めましょう。
いきなりブロッキングルールを入れると業務が止まります。
まず「何が起きているか」を把握するのが先決です。
# 監査モードで起動(ブロックせず記録のみ)
AGENT_OS_MODE=audit python my_agent.py
ステップ2: 高リスクアクションだけブロックする
監査ログを分析して、本番DBへの書き込みや外部APIへのPOSTリクエストなど「絶対に人間の確認が必要」なアクションを特定し、そこだけポリシーを適用します。
ステップ3: Agent SREでSLOを設定する
エージェントにも人間のサービスと同じようにSLOを設定することで、「エージェントの品質」を定量的に測れるようになります。
サーキットブレーカーを設定しておけば、エージェントが暴走した際の自動停止も可能です。
まとめ
AIエージェントの本番運用は「作る」よりも「安全に動かし続ける」ほうが難しいです。
Microsoft Agent Governance Toolkitは、OSカーネルやサービスメッシュといった実績ある概念をエージェントの世界に持ち込み、その難問に本気で取り組んでいます。
MITライセンスのOSSで、pip一発でインストールできます。既存のLangChain・AutoGen・CrewAIコードに数行追加するだけで導入できます。
AKS上のサイドカーとしても動きます。
インフラチームがAIエージェントを本番に投入する前の「保険」として、まず触れてみる価値は十分にあります。
OWASPが体系化したリスクに対して、「うちはまだ大丈夫」と言える根拠がないなら、今がガバナンスを始めるタイミングです。
コメント