AIエージェントへ権限を与えるときは、「使ってよい機能を増やす」ことよりも、「何をさせないか」を先に決めるほうが安全です。エージェントは、読み取り、下書き作成、送信、更新、削除を組み合わせて動けるため、権限を雑に広げると、誤操作や権限外の実行が起きやすくなります。
この記事では、AIエージェントに与える権限を、データ、ツール、操作、承認、停止条件に分けて整理し、最小権限で運用するための考え方をまとめます。権限は一度決めて終わりではなく、試行と見直しで段階的に調整します。
AIエージェントの権限設計とは
権限設計とは、AIエージェントが何を読めるか、どのツールを使えるか、どの操作を実行できるか、どの操作で人の承認が必要かを決めることです。OpenAIは、エージェントを実装するときに人の承認を入れられるようにし、重要な操作は利用者が確認できる形にすることを勧めています。
NISTのゼロトラストは、暗黙の信頼を前提にせず、アクセス要求ごとに状況を評価する考え方です。AIエージェントでも、最初から広い信頼を与えず、必要な範囲にだけ権限を絞る発想が重要です。
権限を3つに分ける
1. データ権限
どの文書、データベース、メール、検索結果、添付ファイル、RAG文書を読めるかを決めます。個人情報、認証情報、機密情報、未公開情報は、原則として必要最小限だけにします。
2. ツール権限
検索、ファイル参照、メール送信、CMS更新、外部API呼び出しなど、どのツールを利用できるかを決めます。ツールごとに読み取り専用か、更新可能か、送信可能かを分けて設定します。
3. 操作権限
ツールを使って最終的に何を実行できるかを決めます。たとえば、下書き作成は許可しても、公開、削除、支払い、権限変更は人の承認なしには実行しない、といった分け方をします。
5段階の権限レベル
- 助言のみ: 候補や手順だけを出し、人が実行する。
- 読み取りのみ: 許可した範囲の情報を参照して要約する。
- 下書き作成: 文案や更新案を作り、人が承認する。
- 限定実行: 低リスク操作だけを条件付きで実行する。
- 拡張実行: 評価と監査を確認しながら範囲を広げる。
最初から「完全自動」にしないことが重要です。まずは助言や読み取りから始め、失敗例と事故時の影響を確認してから、限定実行へ進めます。
人の承認が必要な操作
- 外部へのメール送信や通知
- CMSや業務システムの公開・更新・削除
- 顧客情報、契約、請求、支払いに関わる操作
- アクセス権や認証情報を変える操作
- 法律・医療・金融など高リスク分野の最終判断
承認は「必要かどうか」だけでなく、「誰が」「何を見て」「どの条件で許可するか」まで決めます。承認者が結果を判断できるよう、対象、差分、影響、元データを一緒に提示します。
権限表に入れる項目
- 目的と対象業務
- 使用するデータの種類
- 使えるツールと接続先
- 許可する操作と禁止する操作
- 人の承認が必要な操作
- 回数上限、時間上限、金額上限
- 停止条件と引き継ぎ先
- ログの保存先と見直し日
権限表は、エージェントごとに別々に持たせると管理しやすくなります。人間の「このくらいなら大丈夫」という感覚ではなく、表で決めると見直しもしやすくなります。
安全に狭く始める方法
- まずは読み取り専用で試す
- 本番データではなく検証データから始める
- 送信・更新・削除は一時的に禁止する
- 必要な操作だけを個別に昇格させる
- 定期的に権限を棚卸しし、不要なものを外す
権限を広げるより、不要になった権限を外すほうが重要な場合もあります。業務が変われば、必要な権限も変わるため、導入後の見直しを前提にします。
まとめ
AIエージェントの権限は、データ、ツール、操作に分けて考えると整理しやすくなります。最初は助言・読み取り・下書きに限定し、公開、削除、送信、支払い、権限変更のような高リスク操作は人の承認を必須にします。権限表で明文化し、回数上限や停止条件もセットで決めると、安全に段階的な拡張ができます。
AIエージェントの基本構造はAIエージェントとは何か、導入前のガバナンス全体はAIエージェント導入前チェックリスト、攻撃対策はプロンプトインジェクションとは?AIエージェントを守る基本対策で確認できます。関連記事はAIエージェントガイドへ順次追加します。
確認した公式・専門資料
- Google Cloud: Using IAM securely
- OpenAI: A practical guide to building agents
- OWASP: Agentic AI – Threats and Mitigations
- NIST: Zero Trust Architecture (SP 800-207)
資料の最終確認日: 2026年6月11日
